互聯(lián)網(wǎng)業(yè)務(wù)流量監測技術(shù)的應用和設計

NetFlow記錄的流包含了豐富的信息，非常適合于網(wǎng)絡(luò )性能分析。NetFlow不需要其他硬件流量設備的支持，開(kāi)啟和關(guān)閉都非常方便，因此在國外已有很多運營(yíng)商用它來(lái)收集流量，服務(wù)于網(wǎng)絡(luò )規劃、設計和優(yōu)化等領(lǐng)域。但開(kāi)啟NetFlow需要消耗一定的路由器資源（CPU和內存）。

根據NetFlow的特點(diǎn)，該技術(shù)非常適用于大型網(wǎng)絡(luò )。NetFlow采集實(shí)施成本較低、安裝方便，而且不受速率的限制，是目前運營(yíng)商流量監測的首選技術(shù)。

采集到的NetFlow數據，結合邊界網(wǎng)關(guān)協(xié)議（BGP）路由信息，可以更加精確地分析路由信息和互聯(lián)流量的自治域（AS）屬性。

2.2　流量采集對業(yè)務(wù)網(wǎng)絡(luò )的影響評估

2.2.1　帶寬占用

采用NetFlow方案不要求處理從某個(gè)接口接受到的每個(gè)數據包，用來(lái)對被監控路由器進(jìn)行流量分析的數據來(lái)自采集到的NetFlow數據，從路由器送出的非采樣NetFlow數據不到流經(jīng)該路由器數據量的1%，使用采樣NetFlow時(shí)數據更為大大減少。根據計算，在采樣率為1000：1時(shí)，對10Gbit/s的流量進(jìn)行NetFlow分析，只產(chǎn)生1.3Mbit/s的流量。因此，NetFlow產(chǎn)生的這部分流量對于骨干網(wǎng)的帶寬占用很少。

2.2.2　路由器性能消耗

利用NetFlow技術(shù)實(shí)現流量監測需要路由器開(kāi)啟NetFlow協(xié)議以配合采集數據，因此會(huì )對路由器的CPU造成一定的負擔。Cisco公司和Juniper公司等路由器廠(chǎng)家都針對這些問(wèn)題作了詳細的研究。不同的產(chǎn)品系列和NetFlow協(xié)議是否經(jīng)過(guò)采樣等，對CPU的影響程度也不同。

根據Cisco公司的“NetFlow Performance Analysis”白皮書(shū)，在非采樣方式下，路由器開(kāi)啟NetFlow后，其CPU使用狀況如下：

a）如果有10 000條同時(shí)在線(xiàn)的Flow，則路由器的CPU使用率平均增加7.14%；

b）如果有45 000條同時(shí)在線(xiàn)的Flow，則路由器的CPU使用率平均增加19.16%；

c）如果有65 000條同時(shí)在線(xiàn)的Flow，則路由器的CPU使用率平均增加22.98%。

這些數據是基于不同的產(chǎn)品系列進(jìn)行測試的平均值。

在采樣方式下開(kāi)啟NetFlow對路由器的CPU影響會(huì )更小。根據Cisco公司的資料顯示，12000系列的路由器在非采樣方式下需要增加23.5%的CPU使用率來(lái)處理65 000條Flow，而在采用100:1的采樣率時(shí)CPU使用率僅增加3%。在不同的采樣率下，CPU的負擔增加程度也不同。

路由器上不同類(lèi)型的線(xiàn)卡對NetFlow的支持情況也有所不同。仍以Cisco公司路由器為例，Engine 3和Engine 4+的線(xiàn)卡是采用專(zhuān)門(mén)的硬件來(lái)處理NetFlow數據，開(kāi)啟NetFlow對路由器性能影響較??；而通常認為Engine 2的線(xiàn)卡開(kāi)啟NetFlow對路由器性能的影響相對較大。

2.3　NetFlow采樣率的設定

在采樣方式下，路由器按照一定的采樣率采集NetFlow數據，流量分析系統接收NetFlow數據對網(wǎng)絡(luò )的流量進(jìn)行計算和分析，因此路由器的采樣率在很大程度上決定了分析結果的準確性。如果路由器設定的采樣率過(guò)高（如1000:1或更高），流量分析的誤差將加大，尤其對小Flow或混雜在大流量中的部分關(guān)鍵的小Flow的分析，更容易產(chǎn)生比較大的誤差。

在路由器上開(kāi)啟NetFlow會(huì )消耗一些設備資源，特別是需要占用一些CPU和Memory等重要資源，而且采樣率越低，對資源的占用越大。如果設置過(guò)低的NetFlow采樣率會(huì )對路由器的性能帶來(lái)較大的影響。因此，應根據路由器上需要打開(kāi)的NetFlow功能板卡的主要類(lèi)型，并結合設備上開(kāi)通的電路的流量情況靈活地設置路由器的NetFlow采樣率，包括100:1、500:1、1 000:1和3 000:1等。

2.4　流量采集點(diǎn)的設置

為了實(shí)現對所監測網(wǎng)內的所有流量進(jìn)行分析，首先需要合理地設置流量采集點(diǎn)。采集點(diǎn)的設置非常關(guān)鍵，直接影響到系統能否準確地對流量進(jìn)行全面分析。下面主要針對運營(yíng)商網(wǎng)絡(luò )優(yōu)化應用提出采集點(diǎn)設置建議方案。

由于主要是實(shí)現對運營(yíng)商網(wǎng)絡(luò )的優(yōu)化，所以不一定需要對網(wǎng)絡(luò )中傳送的所有流量數據進(jìn)行100%的監測。為減少對網(wǎng)絡(luò )設備的資源占用，降低對系統的容量要求，可以選用數據包抽樣的NetFlow數據采集方式，對網(wǎng)絡(luò )中的所有流量進(jìn)行統計。

通常情況下，運營(yíng)商網(wǎng)絡(luò )結構包括核心層和邊緣層兩個(gè)層次，網(wǎng)絡(luò )流量通過(guò)邊緣層的路由器匯接進(jìn)入核心層，由核心層的路由器進(jìn)行轉接。而NetFlow技術(shù)只能對端口的流入流量進(jìn)行分析，因此，流量采集點(diǎn)的設置主要有兩種方案可供選擇：

a）方案一：采集點(diǎn)設置在網(wǎng)絡(luò )的核心層，核心層路由器之間的互聯(lián)端口不需要開(kāi)啟NetFlow，核心節點(diǎn)路由器對外的互聯(lián)端口開(kāi)啟NetFlow流入流量采集。

該方案的優(yōu)點(diǎn)是被采集的路由器數量少，因此管理比較簡(jiǎn)單，配置工作量比較??；缺點(diǎn)是采集端口集中在核心層路由器上，增加了核心層路由器的負擔，對業(yè)務(wù)網(wǎng)絡(luò )的影響較大。

b）方案二：采集點(diǎn)設置在網(wǎng)絡(luò )的邊緣層，邊緣層路由器對外的互聯(lián)端口開(kāi)啟NetFlow流入流量采集，對從其他AS進(jìn)入到網(wǎng)內的流量進(jìn)行分析。

該方案的優(yōu)點(diǎn)是采集端口分散在邊緣層的多臺路由器上，相應地減少了單臺路由器上的采集數據量和因流量采集而增加的負擔，降低了開(kāi)啟NetFlow對業(yè)務(wù)網(wǎng)絡(luò )的影響；缺點(diǎn)是被采集的路由器數量較多，管理的復雜程度和配置工作量都相應加大，而且這種方案需要將采集的NetFlow數據從邊緣層的路由器傳送到集中設置的采集機，會(huì )在網(wǎng)內增加一定的流量而占用網(wǎng)絡(luò )帶寬。

在實(shí)際應用中，流量采集點(diǎn)的設置應根據網(wǎng)絡(luò )的具體情況和管理要求來(lái)選擇合適的方案。{{分頁(yè)}}

圖3為運營(yíng)商網(wǎng)絡(luò )優(yōu)化時(shí)的流量采集點(diǎn)設置示意圖。

 

                      

                                圖3　運營(yíng)商網(wǎng)絡(luò )優(yōu)化流量采集點(diǎn)設置示意圖

2.5　系統組織方案

流量分析系統由采集機和分析服務(wù)器組成。被采集的路由器將NetFlow數據包發(fā)往NetFlow流量采集機，采集機將采集到的NetFlow數據送到分析服務(wù)器進(jìn)行分析。被采集的路由器分布在全網(wǎng)各個(gè)節點(diǎn)，當系統規模較大時(shí)，需要配置多臺采集機和分析服務(wù)器。采集機和分析服務(wù)器的部署有以下兩種方案。

a）方案一：將采集機分別部署在各個(gè)核心節點(diǎn)，每個(gè)核心節點(diǎn)的采集機負責采集連接至該核心節點(diǎn)的路由器；分析服務(wù)器集中部署在網(wǎng)管中心。該方案采集機通過(guò)以太網(wǎng)接口接入核心路由器或與核心路由器連接的局域網(wǎng)交換機，實(shí)現與被采集路由器的互通。利用用戶(hù)數據報協(xié)議（UDP）從被采集路由器上的端口采集NetFlow數據，再通過(guò)IP網(wǎng)絡(luò )傳送到分析服務(wù)器，由分析服務(wù)器進(jìn)行數據匯總和分析處理，如圖4所示。

 

                       

                                   圖4　流量分析系統組織方案一示意圖

該方案的優(yōu)點(diǎn)是，在至分析服務(wù)器的IP網(wǎng)絡(luò )連接出現突發(fā)故障時(shí)，可以充分利用采集機的存儲能力，暫存NetFlow數據，待網(wǎng)絡(luò )連接恢復時(shí)，再向分析服務(wù)器傳送；這種分布式的部署方案還可以避免單點(diǎn)出現故障時(shí)導致全網(wǎng)流量無(wú)法采集，而且采集機還可以進(jìn)行一些預處理工作，減輕分析服務(wù)器的壓力。缺點(diǎn)是每個(gè)核心節點(diǎn)都需要配備一套采集機，設備的綜合利用率不夠高，管理和維護不夠集中。

b）方案二：采集機和分析服務(wù)器集中部署，由多臺采集機共同負責采集全網(wǎng)內的路由器。該方案采集機通過(guò)以太網(wǎng)接口接入網(wǎng)管中心，實(shí)現與全網(wǎng)內被采集路由器的互通，采集機利用UDP通過(guò)IP網(wǎng)絡(luò )從各節點(diǎn)被采集路由器上的端口采集NetFlow數據，再通過(guò)局域網(wǎng)傳送到分析服務(wù)器，由分析服務(wù)器進(jìn)行數據匯總和分析處理，如圖5所示。            

                                     圖5　流量分析系統組織方案二示意圖

該方案的優(yōu)點(diǎn)是，流量分析系統設備集中部署，便于統一管理和統一維護，也提高了設備的利用率；缺點(diǎn)是如果IP網(wǎng)絡(luò )不穩定或發(fā)生故障時(shí)，路由器的NetFlow數據將不能傳送到網(wǎng)管中心，處理不當可能造成NetFlow數據的丟失。

實(shí)際部署時(shí)應根據具體的要求來(lái)選擇合適的系統組織方案。

2.6　系統處理能力估算模型的分析

2.6.1　計算數據的取定

首先取定以下計算數據：

a）一個(gè)NetFlow V5輸出數據包的包長(cháng)為1 500 Byte；

b）一個(gè)NetFlow V5輸出數據包中包括的Flow的數量為30；

c）網(wǎng)絡(luò )流量中數據包的平均包長(cháng)為384 Byte；

d）采樣率：500:1

其中，NetFlow V5輸出數據包的包長(cháng)及其包括的Flow的數量是確定的，而網(wǎng)絡(luò )流量中數據包的平均包長(cháng)、采樣率則需要根據具體的網(wǎng)絡(luò )狀況進(jìn)行取定。

2.6.2　系統處理能力

流量分析系統實(shí)現對NetFlow數據的采集和分析處理，本文采用“每秒處理Flow數”來(lái)衡量系統的處理能力。

在估算系統處理能力時(shí)，首先要計算系統需要分析的流量大?。℅bit/s），然后根據前面已經(jīng)取定的計算數據，系統每秒需要進(jìn)行處理的Flow數量為：（系統需要分析的流量大小