用Netflow进行IP网流量和流向分析

　　在Netflow技术的演进过程中，思科公司一共开发出了5个主要的实用版本，即：

　　* Netflow V1，为Netflow技术的第一个实用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的实际网络环境中已经不建议使用。

　　* Netflow V5，增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本。

　　* Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。

　　* Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能（共支持11种数据汇聚模式），可以大大降低对数据输出的带宽需求。支持IOS12.0（3）T，12.0（3）S，12.1及其后续IOS版本。

　　* Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种 Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0（24）S和12.3T及其后续IOS版本。在2003年思科公司的Netflow V9还被IETF组织从5个候选方案中确定为IPFIX（IP Flow Information Export）标准。

　　Netflow数据输出格式

　　下面对网络流量和流向分析系统中最常使用的Netflow V5数据输出的数据包格式进行一个简单介绍。

　　下图为Netflow输出数据包的包头格式：

　　下图为包含在每个Netflow V5输出数据包中的具体数据流的流量和流向统计信息的数据格式：

　　Netflow V9的数据输出格式与V5有较大区别，主要是因为Netflow V9采用了基于模板式的数据输出方式。网络设备在进行Netflow V9格式的数据输出时会向上层管理服务器分别发送数据包模板和数据流纪录。数据包模板确定了后续发送的数据流纪录数据包的格式和长度，便于管理服务器对后续数据包的处理。同时为避免传输过程中出现丢包或错误，网络设备会定期重复发送数据包模板给上层管理服务器。

　　如何利用Netflow技术进行IP网的流量和流向分析

　　为充分利用思科Netflow技术在网络流量和流向信息采集和分析领域的强大功能，运营商可以对现有网管中心的网络流量管理系统进行技术改造，在原有利用SNMP协议或RMON协议进行数据采集的基础上，用Netflow技术对其进行补充甚至进行替代。

　　下面对利用Netflow技术在运营商网络中的几种典型使用方式进行介绍。

互联网交换中心（NAP）流量和流向监控

　　互联网交换中心作为专为ISP提供网络互联和交换网络通信的汇聚点，需要及时、准确地掌握各个ISP网络间的通信流量和流向数据，为交换中心合理规划路由策略和调整ISP的接入带宽提供依据。

　　为此互联网交换中心的管理员可以在核心交换设备与每个ISP互联的网络端口上启动Netflow数据采集。如果ISP的接入端口为高速率端口（如速率超过 OC-12），还可以选择采用数据包抽样Netflow采集方式，减少对核心交换设备的资源消耗和Netflow统计结果的输出数据量。

　　通过进一步分析还可以发现，交换中心作为提供ISP互联的服务商，只需要关注下联ISP间的通信流量和流向统计，而无需进行更加详细的统计分析（如基于IP地址，IP网段，服务类型等的流量和流向分析）。由于每个ISP都有各自不同的BGP AS号码，所以交换中心管理员还可以进一步优化核心交换设备的Netflow数据输出选项：利用Netflow V8开始支持的统计数据内置汇聚功能，由核心交换设备对采集到的原始统计数据进行针对不同源和目的地BGP AS号的统计汇总，只把汇总后的统计结果发送给上层管理系统。这样不但可以大大减少输出给上层管理系统的统计数据量，还可以简化上层管理系统的数据分析负荷，使其能够更加简便快速地生成所需的统计报表。

　　下图为一个典型的互联网交换中心利用Netflow技术进行ISP间通信流量和流向管理的系统结构图：

　　运营商间互联链路的流量和流向监控

　　每个电信运营商的网络都是通过互联链路与一个或多个其它运营商的网络相连接的。运营商为更好地服务自己的企业客户或个人用户，需要了解自己客户访问网络的模式以及访问网络资源的所在位置；同时运营商为了和其它运营商谈判签订双边或多边网络访问协议，也需要对双方相互访问的网络资源进行评估，这些都需要对双方网络互联链路进行通信流量和流向的监控和统计。

　　为实现对运营商间互联链路的流量和流向管理，管理员可以在每个与其它运营商互联的边界路由器上启动Netflow，对互联网络端口进行数据采集。根据互联链路的端口速率，可以选择全Netflow采集或数据包抽样Netflow采集方式。

　　由于管理员需要分析自己客户的详细网络访问纪录，了解他们需要获取的网络资源的确切位置，所以管理中心应该收集尽可能详尽的Netflow统计数据，意味着启动了Netflow数据采集的边界路由器不应做任何统计数据的汇聚，而应把Netflow原始统计记录直接发送给上层管理服务器。管理服务器在接收到各个边界路由器发送来的Netflow原始统计记录后，可以对数据进行统一分类处理或把原始记录存储到数据仓库中，由后续的数据挖掘应用程序对入库的数据进行细致分析，并生成运营商需要的统计报表。

　　下图为运营商利用Netflow技术监控与其它运营商间互联链路流量和流向的管理系统实施示意图：

企业客户流量计费

　　随着中国宽带互联网的发展，越来越多的企业客户开始利用宽带网络改变公司的业务处理流程。电信运营商为了适应这种需求，需要提供比往更加丰富的服务内容，如不但提供数据接入业务，还可以提供IP电话、视频和网络存储等业务。由于不同类型业务的差异性，传统固定费率的计费方式也开始变得不能满足客户的需要。运营商需要跟随客户需求的转变，同步改变自己的运营支撑系统，提供多种灵活的业务计费方式供客户选择。

　　利用Netflow技术，运营商可以精确统计出客户租用的接入链路上传送各种不同类型业务的通信流量，包括业务类型，服务等级，通信时间和时长，通信数据量等参数。这些详细的通信流量统计数据可以被运营商的计费和帐务系统进行处理，生成基于客户业务流量的计费账单。

　　为实现客户的业务流量计费，需要在接入客户的所有接入路由器相应网络端口上都启动Netflow数据采集。由于计费数据要求高精确性，所以应该尽量采用全Netflow数据采集方式，避免使用数据包抽样的Netflow数据采集方式。

　　接入路由器采集到的Netflow流量统计数据需要被统一发送给运营商的计费系统，由其进行不同类型业务的流量分类，汇总、批价和计费，最终由帐务系统生成提交给客户的计费账单。

　　下图为利用Netflow技术采集客户业务流量信息的运营支撑系统结构图：

　　运营商网络优化

　　为提高客户对运营商网络的使用满意度，运营商需要及时了解自己网络的负载状况，正确预测可能出现的网络瓶颈，适时规划未来的网络升级，这些管理需求都可以通过利用Netflow技术对运营商网络进行准确的网络带宽使用率监测和网络流向分析来实现。

　　由于主要是实现对运营商网络的优化，所以不一定需要对网络中传送的所有流量数据进行100%的监测。为减少对网络设备的资源占用，降低对上层管理系统的容量要求，可以选用数据包抽样的Netflow数据采集方式，对核心网络的重点链路进行统计。采集到的抽样统计数据可以利用上层管理系统进行全网集中处理，也可以分区域进行局部处理，分别计算出全网的通信流量和流向统计报表或部分区域的通信流量和流向统计报表。由此管理员可以迅速发现网络当前的使用状况，不同链路的使用率变化趋势，并可以此为依据规划网络是否需要调整和扩容，最终实现网络的优化使用。

　　下图为利用Netflow技术进行运营商核心网络优化的管理系统结构图：