Tải bản đầy đủ

Tìm hiểu về Netflow

Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
MỤC LỤC
DANH SÁCH HÌNH ẢNH SỬ DỤNG
1.1. Lý do chọn đề tài...............................................................................2
1.2 Mục đích chọn đề tài..........................................................................2
1.3. Giới thiệu công cụ thực hiện ............................................................4
1.4. Giới thiệu về cơ sở thực tập.............................................................4
2.1 Lịch sử phát triển................................................................................7
2.2. Khái niệm...........................................................................................8
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 3
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Danh sách hình ảnh sử dụng
Hình 2.1: Mô hình mạng Netflow
Hình2.2: Ví dụ về một NetFlow cache
Hình 3.1: Mô hình mạng cơ bản
Hình 3.2: Cấu hình qua Telnet
Hình 3.3: Sử dụng Dynamip để chạy hệ điều hành
Hình 3.4: Giao diện chương trình
Hình 3.5: Trạng thái Route
Hình 3.6: Chọn khoảng thời gian trống cho thiết bị
Hình 3.7: Không có thời gian trống của hệ thống

Hình 3.8: Giao diện chương trình
Hình 3.9: Ping IP sau khi cấu hình
Hình 3.10: Biểu đồ biểu hiện lưu lượng theo thời gian và bảng thể hiện
lưu lượng theo ứng dụng
Hình 3.11: phân tích lưu lượng của ứng dụng
Hình 3.12: Cập nhập mới dữ liệu mạng
Hình 3.13: Biểu đồ biểu hiện lưu lượng theo thời gian và bảng thể hiện
lưu lượng theo ứng dụng
Hình 3.14: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
Hình 3.15: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
Hình 3.16: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
Hình 3.17: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 4
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
LỜI MỞ ĐẦU
Phân tích tình hình mạng, lưu lượng mạng thông qua các báo cáo và một
số tài liệu khác có ý nghĩa rất quan trọng không những đối với các cơ quan
doanh nghiệp nhà cung cấp và các cơ quan hữu quan khác. Giám sát lưu
lượng mạng được thể hiện trên nhiều góc độ khác nhau
Netflow là một công cụ nhúng trong các phần mềm IOS của Cisco để
phân tích hoạt động của mạng. Đây là một công cụ không thể thiếu cho
người quản trị mạng chuyên nghiệp. Để đáp ứng lại các đòi hỏi và nhu cầu
cấp bách của hệ thống mạng, việc tìm hiểu xem quá trình hoạt động của
mạng ra sao là rất quan trọng.
Netflow của Cisco có thể đáp ứng được tất cả những yêu cầu trên. Nó
tạo ra một môi trường mà người quản trị mạng có đầy đủ các công cụ để
biết được thời gian địa điểm, đối tượng cũng như cách thức lưu thông của
lưu lượng mạng. Khi mà hoạt động của mạng được nắm vững thì hiệu quả
của mạng tăng lên rất nhiều. Báo cáo tốt nghiệp của em được trình bày qua
ba chương:
Chương 1: Giới thiệu về đề tài
Chương 2: Tìm hiểu về Netflow
Chương 3: Cấu hình Netflow
Em xin chân thành cám ơn Thạc Sĩ Cao Thu Hương – giảng viên bộ
môn công nghệ thông tin đã tận tình giúp đỡ em hoàn thiện đề tài này. Em
cũng xin chân thành cám ơn các cô chú trong ban lãnh đạo Công ty cổ
phần VTC đã tạo điều kiện thuận lợi cho em trong công việc tại công ty và
hoàn thành tốt báo cáo tốt nghiệp này.
Hà Nội ngày 25 tháng 05 năm 2012
Sinh viên thực hiện


Nguyễn Tuấn Hoàng
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 1
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
CHƯƠNG 1: GIỚI THIỆU VỀ
ĐỀ TÀI
1.1. Lý do chọn đề tài
Với một niềm say mê và định hướng cho tương lai, với đề tài mà em nghiên
cứu phần lớn đã nói lên được niềm say mê nghiên cứu, tìm hiểu những công
nghệ mới ngày một phát triển để áp dụng công nghệ thông tin trong cuộc sống.
Em chọn đề tài là vì:
 Định hướng cho tương lai
 Tìm hiểu công nghệ mới áp dụng vào cuộc sống
 Có niềm say mê nghiên cứu
1.2 Mục đích chọn đề tài
ManageEngine NetFlow Analyzer là một trang webside dựa trên công cụ giám
sát băng thông Gathers NetFlow từ số liệu thống kê của Cisco để cung cấp các
thiết bị trong sâu phân tích lưu lượng truy cập mạng và băng thông sử dụng. Nó
giúp các quản trị viên hiểu được những tác động của ứng dụng lưu lượng truy cập
trên mạng hiệu suất tốt hơn và xác định các ứng dụng băng thông tiêu thụ quá
nhiều. Sử dụng thông tin này, các quản trị viên có thể mất corrective các biện pháp
để cải thiện hiệu suất mạng và chủ động quản lý băng thông có sẵn:
- Phân tích giản Bandwidth: Xem băng thông sử dụng các mẫu và tạo ra
các báo cáo trên mạng LAN và Sickly liên kết mà không cần phải triển
khai phần cứng đắt tiền Probes.
- NetFlow Analyzer bao gồm các đồ thị khác nhau và báo cáo với các tùy
chọn để khoan xuống cho các chi tiết cụ thể, cung cấp cho bạn các
quyền truy cập vào những thông tin đó là quan trọng nhất cho bạn. Xem
đồ thị trực tuyến cho các thời điểm khác nhau, xuất khẩu chúng dưới
dạng PDF.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 2
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
- Hữu ích trong , và thiết lập, tính năng này trong NetFlow Analyzer cho
phép bạn nhóm các thiết bị xuất khẩu NetFlow vào chuyên mục khác
nhau, chúng giám sát độc quyền, và cấp quyền truy cập đặc quyền cho
người sử dụng.
- Cấu hình lưu lượng truy cập: NetFlow Analyzer xác định hầu hết các
doanh nghiệp applications như Seer, PeopleSoft… tự động và tuỳ chỉnh
các ứng dụng có thể dễ dàng nhận ra, bởi một sự kết hợp của các cổng
và giao thức được sử dụng.
- Có thẩm quyền truy cập: NetFlow Analyzer cho phép bạn tạo ra bất kỳ
số lượng người sử dụng, với việc cho phép truy cập khác nhau và chọn
lọc cho phép lưu lượng truy cập để xem đồ thị, tạo ra các báo cáo lưu
lượng truy cập, vv.
- Dựa trên net truy cập từ xa: NetFlow Analyzer cung cấp một trang
spider’s web dựa trên giao diện người sử dụng làm cho nó dễ dàng để
xem các báo cáo và lưu lượng truy cập các snapshots Sickly của các liên
kết từ bất cứ nơi nào trên mạng bằng cách sử dụng chỉ cần một trình
duyệt spider’s web.
- Đa nền tảng triển khai: NetFlow Analyzer có thể được chạy trên
Windows, Linux, Solaris và nền tảng làm cho nó thích hợp cho việc sử
dụng đa dạng các doanh nghiệp.
- Giải pháp giá cả phải chăng : NetFlow Analyzer là giá thấp, và chạy như
là một stand-một mình không giống như hầu hết các công cụ quản lý
mạng lưới cung cấp các giải pháp phân tích NetFlow.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 3
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
1.3. Giới thiệu công cụ thực hiện
Để thực hiện đề tài, sử dụng các công cụ sau:
 Phần mềm Netflow Analyzer 7
 Route
 Phần mềm Tera Team để Telnet vào cấu hình
 Phần mềm Dynamip
 Phần mềm Wireshark (Tham khảo thêm)
1.4. Giới thiệu về cơ sở thực tập
Tổng Công ty Truyền thông Đa phương tiện Việt Nam (tên giao dịch quốc tế là
Vietnam Multimedia Corporation hay Vietnam Television Corporation - VTC) là
doanh nghiệp trực thuộc Bộ Thông tin và Truyền thông Việt Nam.
Địa chỉ liên hệ: 65 La
̣
c Trung - Hà Nội
Điện thoại: 04.34501101
04. 34501114
Fax: 04.39439867
Website: http://www.vtc.com.vn
Trong 22 năm hình thành và phát triển VTC liên tục kinh doanh có lãi, từ năm
2005 – 2010 tăng trưởng 200%/năm. VTC đã trở thành đơn vị đi tiên phong trong
lĩnh vực hội tụ đa phương tiện Truyền hình – Viễn thông – CNTT. Hiện nay,
Tổng Công ty VTC đang hoạt động theo mô hình Công ty Mẹ - Công ty Con, gồm
32 đơn vị thành viên, được phân chia thành 3 khối: Khối truyền thông, Khối Công
nghệ và Nội dung số và Khối Viễn thông. Tổng số CBCNV của Tổng Công ty
VTC hiện có hơn 3.000 người (chưa kể hệ thống CTV), với gần 70% có trình độ
đại học, hơn 2/3 là lao động trẻ được đào tạo chuyên ngành chính quy, có trình độ
chuyên môn cao.
Ngày 22/9/2010, Thủ tướng Chính phủ đã ký quyết định số 1755/QĐ-TTg Phê
duyệt đề án “Đưa Việt nam sớm trở thành nước mạnh về công nghệ thông tin và
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 4
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
truyền thông”, tạo cơ sở pháp lý để Tổng Công ty VTC đổi mới mô hình quản lý
theo hướng “Hình thành Tập đoàn Truyền thông Đa phương tiện Việt nam. Theo
chỉ tiêu phát triển của đề án, đến năm 2015, VTC là một trong 4 tập đoàn CNTT
của VN đạt trình độ, quy mô khu vực ASEAN, có các hoạt động kinh doanh trên
thị trường quốc tế, có tổng doanh thu đạt trên 10 tỷ USD và tăng lên 15 tỷ USD
vào năm 2020. VTC hoàn toàn đáp ứng những yêu cầu của Chính phủ về tiêu chí
để thành lập Tập đoàn từ năm 2011. Việc VTC trở thành Tập đoàn sẽ hình
thành Tập đoàn kinh tế Nhà nước mạnh đầu tiên của VN về lĩnh vực truyền thông
đa phương tiện, xây dựng ngành kinh tế truyền thông trở thành ngành kinh tế mũi
nhọn của đất nước để tăng cường sức mạnh cạnh tranh trong nước và hội nhập
kinh tế truyền thông quốc tế.
• Khối Truyền Thông
Tổng Công ty VTC cũng là đơn vị đầu tiên nghiên cứu và đưa công
nghệ truyền hình kỹ thuật số vào VN. Đài Truyền hình Kỹ thuật số với đầy đủ
trang thiết bị mang tầm cỡ khu vực. VTC đã chính thức cung cấp tổng số lên 5 gói
kênh truyền hình HD và SD, phát sóng đầy đủ 30 kênh truyền hình độ nét cao
(HD) và 70 kênh truyền hình độ nét tiêu chuẩn (SD). VTC trở thành đơn vị đầu
tiên phát sóng đạt kỷ lục tới 100 kênh truyền hình.
Theo định hướng trở thành Tập đoàn, VTC sẽ trực tiếp đầu tư, quản lý hoạt
động của các cơ quan báo chí trực thuộc: Phát thanh, truyền hình, báo in, tạp
chí, báo điện tử, trang tin điện tử,… dưới định hướng của Bộ TT-TT và sự chỉ
đạo của Chínhgphủ
• Khối Viễn Thông
Dịch vụ viễn thông của Tập đoàn VTC phát triển mạnh mẽ, sở hữu tất cả
các giấy phép:
- Cung cấp dịch vụ kết nối Internet (IXP)
- Cung cấp dịch vụ truy nhập Internet (ISP)
- Cung cấp dịch vụ điện thoại cố định(PSTN) và VoIP
- Nhà cung cấp dịch vụ WIMAX/LTE thử nghiệm
- Cung cấp mạng dịch vụ điện thoại di động ảo (cung cấp dịch vụ di động
không phát triển hạ tầng)
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 5
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
• Khối Công nghệ và nội dung số
- Khối Công nghệ và Nội dung số (VTC Intecom, VTC Online, , EAC, VTC
Mobile và chi nhánh VTC tại Tp Hồ Chí Minh) được thành lập năm 2006,
sau 5 năm hoạt động đã lần lượt trở thành:
- Nhà cung cấp nội dung di động số 1 (2006)
- Nhà cung cấp dịch vụ Game Online số 1 (2007)
- Nhà cung cấp dịch vụ Ngân hàng điện tử số 1 (2008)
- Công ty đa quốc gia với 10 công ty con trên toàn cầu (2009).
- Ngày 19/5/2010, Mạng Việt Nam Go.vn, mạng xã hội giáo dục - giải trí
tương tác đầu tiên của cộng đồng mạng Việt Nam và do người Việt Nam
làm chủ đã chính thức ra mắt. Đây là dự án lớn nằm trong chủ trương và kỳ
vọng của Chính phủ, Bộ Thông tin & Truyền thông, sự ủng hộ và mong đợi
của các doanh nghiệp và cộng đồng mạng Việt Nam, với mục tiêu huy động
trí tuệ người Việt Nam để xây dựng mạng thông tin khổng lồ của người
Việt Nam, sản phẩm trí tuệ, công nghệ cao có quy mô và tầm vóc thế giới
về giáo dục, giải trí và chia sẻ thông tin. Hiện, mạng Việt Nam đã xây dựng
34 phân hệ cho người dùng, tập trung vào Giáo dục, Giao tiếp và Giải trí,
tương tác với người dùng trên đồng thời cả Internet, Viễn thông và Truyền
hình
• Định hướng của Khối đến năm 2015
- Nhà cung cấp dịch vụ CNTT và Nội dung số số 1 ASEAN
- Việt Nam trong TOP 10 quốc gia trên thế giới về Nội dung số
- 10 triệu Ngôi nhà số Việt Nam (Gia đình VTC)
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 6
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
CHƯƠNG II: TÌM HIỂU VỀ NETFLOW
2.1 Lịch sử phát triển
NetFlow là một công nghệ của Cisco chuyển mạch gói cho các thiết bị định
tuyến Cisco IOS 11.x , thực hiện khoảng năm 1990. Ban đầu là một phần mềm
thực hiện cho Cisco 7000, 7200 và 7500, nơi nó được nghĩ như là một cải tiến so
với phần mềm chuyển mạch hiện hành sau đó nhanh Cisco.
Ý tưởng là các gói tin đầu tiên của dòng chảy sẽ tạo ra một hồ sơ chuyển đổi
NetFlow. Hồ sơ này sau đó sẽ được sử dụng cho tất cả các gói sau cùng của dòng
chảy, cho đến khi hết thời hạn của dòng chảy. Chỉ có các gói tin đầu tiên của một
dòng chảy sẽ yêu cầu một cuộc điều tra của bảng định tuyến để tìm các tuyến
đường kết hợp cụ thể nhất. Đây là một hoạt động tốn kém trong việc triển khai
phần mềm, đặc biệt là những người không có cơ sở thông tin chuyển tiếp. Biên
bản NetFlow chuyển đổi đã được thực sự một số loại hồ sơ bộ nhớ cache tuyến
đường, và các phiên bản cũ của IOS vẫn đề cập đến bộ nhớ cache NetFlow ip
route-cache.
Công nghệ này là thuận lợi cho các mạng địa phương. Điều này đặc biệt đúng
nếu một số lưu lượng truy cập đã được lọc bởi một ACL (Access Control List)
như chỉ có các gói tin đầu tiên của một dòng chảy đã được đánh giá bởi các ACL.
NetFlow chuyển đổi nhanh chóng chuyển sang không phù hợp cho các thiết bị
định tuyến lớn, đặc biệt là thiết bị định tuyến đường trục Internet, nơi mà số lượng
của dòng chảy đồng thời là quan trọng hơn nhiều so với những người trên mạng
lưới địa phương, và một số giao thông gây ra rất nhiều dòng chảy thời gian sống
ngắn, như hệ thống tên miền. Tên yêu cầu (có cổng nguồn là ngẫu nhiên vì lý do
an ninh). Là một công nghệ chuyển đổi, NetFlow được thay thế khoảng năm 1995
bởi Cisco (Cisco Express Forwarding ). Điều này đầu tiên xuất hiện trên các bộ
định tuyến Cisco 1200, và sau đó thay thế chuyển mạch NetFlow trên tiên tiến IOS
cho Cisco 7200 và Cisco 7500.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 7
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Năm 2012, công nghệ tương tự như chuyển đổi NetFlow vẫn còn được sử
dụng trong hầu hết các bức tường lửa và bộ định tuyến IP dựa trên phần mềm. Ví
dụ tính năng Conntrack Netfilter khuôn khổ sử dụng Linux .
2.2. Khái niệm
Netflow là tính năng của Cisco IOS ( Hệ điều hành dung riêng các thiết bị của
Ciso do Cisco phát triển) cho phép thống kê lưu lượng gói qua router.
Netflow thực hiện giám sát, phân tích, tính toán lưu lượng gói.
Hình 2.1: Mô hình mạng Netflow
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 8
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.3. Netflow sử dụng phổ biến khi nào?
2.3.1. Giám sát mạng
Cho phép giám sát hiện trạng mạng gần như thời gian thực.
Giám sát mạng là kỹ thuật dựa vào flow (tập những gói có cùng 7 thông tin : IP
nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao thức lớp 3, cổng vào) nhằm
thực hiện thu thập thông tin theo lưu lượng gói, theo luồng liên quan đến một thiết
bị router, switch hoặc sự kết hợp của nhiều lưu lượng từ nhiều thiết bị giúp chủ
động nhận diện được vấn đề, hiệu quả trong quá trình xử lý sự cố và đưa ra giải
pháp giải quyết vấn đề một cách nhanh chóng.
2.3.2 Giám sát ứng dụng
Cho phép người quản trị nhìn thấy một cách chi tiết về hoạt động của ứng
dụng trên mạng theo thời gian. Thông tin này được dung để hiểu được những
dịch vụ mới nhằm phân phối tài nguyên mạng (băng thông, chất lượng dịch
vụ…) và tài nguyên cho ứng dụng cũng như là kế hoạch mở rộng.
2.3.3 Giám sát người dùng
Cho phép người vận hành mạng hiểu rõ tài nguyên mạng và tài nguyên
ứng dụng mà người dung sử dụng từ đó có kế hoạch phân phối tài nguyên một
cách hợp lý cho người dung, cũng như nhận diện được những vấn đề liên quan
đến an ninh mạng hoặc vi phạm chính sách.
2.3.4. Xây dựng kế hoạch phát triển mạng
Do có khả năng giám sát và phân tích lưu lượng dữ liệu trong một khoảng
thời gian dài, điều này cho phép người quản trị có cơ hội theo dõi, dự đoán sự
phát triển của mạng để có kế hoạch nâng cấp như tăng số lượng router, những
cổng với băng thông lớn…
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 9
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.3.5. Phân tích an ninh mạng
Netflow định danh và phân loại những loại tấn công như Dos, DDos, virus,
worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong
mạng.
2.3.6. Tính toán lưu lượng
Netfow cho phép người quản trị có được thông tin chi tiết lưu lượng dữ
liệu như địa chỉ IP, ứng dụng, ToS (type of service), số lượng gói, số lượng
byte, thời gian hoạt động giúp cho việc tính toán tài nguyên mạng được sử
dụng theo người dung, ứng dụng trong khoảng thời gian cụ thể.
Lưu lượng qua router hoặc switch khi thu thập và phân tích sẽ được đặt
trong cache (Netflow cache), có thể truy xuất thông qua CLI hoặc ứng dụng
bên ngoài.
2.3.7. Cơ chế hoạt động của NetFlow
NetFlow của Cisco là Darren Kerr và Barry Bruins vào năm 1996 và phát
triển một công nghệ mạng lưới giám sát giao thông, hiện nay được xây dựng
vào hầu hết các router Cisco, Juniper, Ex-treme, Harbour Mạng và các nhà
cung cấp thiết bị mạng khác cũng hỗ trợ NetFlow công nghệ, mà đã dần trở
thành một tiêu chuẩn chấp nhận được cho tất cả.
NetFlow chính nó là một giao thức mạng lưới giao thông thống kê, mà
nguyên tắc chính là dựa trên mạng lưới truyền dữ liệu gói, các gói lân cận liên
tục thường được gửi đến địa chỉ IP cùng một đích đến, cùng với cơ chế cache
bộ nhớ cache, khi các quản trị mạng để mở NetFlow router hoặc chuyển đổi
chức năng giao diện, điện thoại sẽ nhận được một gói tin trong việc phân tích
các tiêu đề dữ liệu gói để có được thông tin giao thông, và các thông tin lưu
lượng gói tin nhận được biên dịch vào một khoản Flow, trong NetFlow thỏa
thuận Flow được định nghĩa là một hướng duy nhất giữa hai điểm cuối của một
dòng dữ liệu liên tục, có nghĩa là mỗi kết nối sẽ là một bản ghi tương ứng dữ
liệu thành hai dòng văn bản, trong đó một khách hàng Lian Ji Lu từ Kehu đến
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 10
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
máy chủ, Lingwaisuizhe một hồ sơ trả lại từ phía máy chủ với thông tin khách
hàng.
Thiết bị mạng để phân biệt mỗi trường sau một Flow: địa chỉ IP nguồn
(source IP address), số cổng nguồn (source port number), mục đích của địa chỉ
IP (địa chỉ IP đích), điểm đến cổng số (điểm đến cổng số), loại giao thức
(protocol type), dịch vụ kiểu (loại dịch vụ) và đầu vào giao diện bộ định tuyến
(router đầu vào giao diện), bất kỳ thời gian khi điện thoại nhận được một gói
tin mới, nó sẽ kiểm tra các bảy lĩnh vực để xác định xem các gói tin bất kỳ hồ
sơ của Flow, bất kỳ dữ liệu thu thập được sẽ là một gói phần mềm mới của
thông tin giao thông có liên quan tích hợp vào các hồ sơ lưu lượng tương ứng,
nếu không có gói dữ liệu tương ứng với lưu lượng, ông sẽ tạo ra một hồ sơ mới
để lưu trữ các dòng chảy có liên quan dòng chảy của thông tin. Bởi vì thiết bị
được giới hạn bộ nhớ cache tốc độ cao không có thể phục vụ không hạn chế
ngày càng tăng của Flow Records, Suo Yi NetFlow cũng định nghĩa giao thức
kết thúc cơ chế Flow Jilu, để duy trì mạng lưới Shebei Flow Xin Xi Zhong
Chucun không gian.
Khi thành lập của bất kỳ một trong ba trường hợp sau đây, router sẽ
chuyển gói tin UDP đến việc chấm dứt Flow Records xuất khẩu cho người
dùng trước khi được các thiết bị NetFlow thu thập dữ liệu: Khi một chuyển gói
giao thức trong lĩnh vực màn hình hiển thị flag trong việc truyền tải thông điệp
để hoàn tất như pm TCP FIN; giao thông dừng quá 15 giây; dòng chảy tiếp tục
gửi, mỗi 30 phút tự động chấm dứt.
Mặc dù hầu hết các mạng lưới hỗ trợ phần cứng NetFlow nhà cung cấp,
NetFlow phiên bản nhưng có rất nhiều, bao gồm NetFlow Phiên bản 5 là một
định dạng dữ liệu NetFlow chung có chứa các lĩnh vực:
- Địa chỉ IP nguồn (máy nguồn địa chỉ IP), Điểm đến Địa chỉ IP ( các máy
chủ lưu trữ địa chỉ IP đích)
- Nguồn TCP / UDP Port (Nguồn số Port sử dụng bởi các máy chủ),
- Điểm đến TCP / UDP Port (máy điểm đến cổng số được sử dụng),
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 11
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
- Next Hop Địa chỉ (địa chỉ của thiết bị đầu cuối tiếp theo)
- Nguồn AS Số (từ máy chủ thuộc về AS số)
- Điểm đến AS số (máy đích thuộc về AS số)
- Nguồn Mask (mặt nạ mạng con của nguồn lưu trữ tên miền của họ)
- Điểm đến số xe Mask (máy đích subnet mask của họ code)
- Protocol (giao thức truyền thông được sử dụng)
- TCP Flag (Gói kiểm soát đánh dấu)
Loại hình dịch vụ (QoS Yêu cầu), bắt đầu sysUpTime (bắt đầu từ thời
gian), End sysUpTime (kết thúc thời gian), đầu vào ifIndex (dòng thông tin vào
giao diện số), đầu ra ifindex (thông tin lưu chuyển trên giao diện số), Packet
Count (số gói tin), Byte Count (Byte số).
Zhichi NetFlow tính năng của thiết bị mạng sẽ được thu thập từ các dòng
chảy thông tin của họ để UDP Shu Ju Bảo gửi Yuxianshezhi tốt
Liuliangjieshou Chư Kỵ, với bộ sưu tập phần mềm NetFlow Xiangguan, Shi
Yuan những dữ liệu này lưu thông xử lý, lưu trữ cung cấp sau cho có liên quan
ứng dụng.
NetFlow trên các ứng dụng liên quan đến an ninh mạng
NetFlow của hồ sơ là cung cấp đủ thông tin để giúp mạng lưới kiểm soát
mạng lưới quản lý thuộc thẩm quyền của các dị thường mạng, và vì NetFlow
không yêu cầu phân tích dữ liệu nội dung gói tin, giúp giảm thiểu các thiết bị
mạng, phí chế biến, tốt cho phân tích tốc độ cao, bận rộn môi trường mạng.
Kể từ khi NetFlow nguồn dữ liệu là lớp mạng dữ liệu chuyển tiếp thiết bị,
ba thiết bị từ các dữ liệu thu thập bởi các thông tin NetFlow để giúp nắm bắt
tình hình tổng thể của mạng, và thông qua các phân tích thích hợp của NetFlow
thông tin có thể giúp nhà quản lý trong các ổ dịch worm hay mạng lưới phân
tích hành vi bất thường trong những vấn đề nhanh chóng mạng ban đầu. Tiếp
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 12
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
theo, chúng tôi tiếp tục giới thiệu việc sử dụng các thông tin có trong NetFlow
để phát hiện hành vi bất thường
• Từ góc nhìn của lớp mạng
Nhìn chung, các cuộc tấn công mạng sẽ có một số tính năng có sẵn để
công nhận, chúng tôi có thể nhận được các tính năng này để các dữ liệu
NetFlow với so sánh, và sau đó xác định được những hành vi bất thường.
Chúng ta có thể phân tích dữ liệu NetFlow cảng số lĩnh vực chủ đích sử dụng
để xác định các thông tin lọc tương ứng NetFlow về cuộc tấn công; Ngoài ra,
chúng tôi có thể sử dụng hợp lý nguồn hoặc địa chỉ IP đích để xác định các bất
thường. Ngoài ra, địa chỉ Internet được giao tổ chức (Internet chức cấp phát số,
IANA) IP, địa chỉ của ba phần sau đây dành cho các mạng cá nhân 10.0.0.0 ~
10.255.255.255,172.16.0.0 ~ 172.31.255.255, và 192.168.0.0 ~
192.168.255.255, các phần của địa chỉ mạng không thể xuất hiện bên ngoài môi
trường mạng, nhưng vì thiếu sót trong thiết kế mạng ban đầu, router nhận các
gói tin cho trường địa chỉ nguồn không xác nhận, do đó, kẻ tấn công có thể sử
dụng lỗ hổng này giả mạo nguồn IP (IP Spoofing) để khởi tấn công, để tránh bị
truy nguồn từ nguồn gốc của cuộc tấn công, vì vậy chúng tôi có thể nhận được
từ các nguồn dữ liệu NetFlow của chúng tôi được sử dụng bởi các địa chỉ host
IP (Source IP Address) lĩnh vực, để xác định địa chỉ nguồn giả mạo của giao
thông, tái sử dụng dữ liệu NetFlow trong dòng chảy thông tin vào số lượng
giao diện (Input IFindex) lĩnh vực thông tin, để xác định các bộ định tuyến
thượng nguồn để kết nối với giao diện này, và yêu cầu họ giúp đỡ trong việc
điều tra hoặc điều trị.
Một số hành vi bất thường có thể được kết nối với một hoặc một số địa chỉ
cụ thể. Ví dụ, trong năm 2001, gây ùn tắc nghiêm trọng trong sâu Code Red,
phân tích của chúng tôi NetFlow dữ liệu thu thập có thể được tìm thấy rằng các
cuộc tấn công của sâu này có một đặc tính, mỗi điểm đến Flow của TCP / UDP
port giá trị trường sẽ bằng 80, Packet Count lĩnh vực giá trị bằng 3, Byte Count
lĩnh vực giá trị bằng 144bytes, quản lý mạng có thể chương trình viết để phân
tích dữ liệu NetFlow thu thập để xác định với các ðặc tính của dữ liệu lưu
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 13
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
lượng có thể được xác định trong hệ thống có nguy cơ thuộc thẩm quyền của
Code Red worm chủ nhà, và buộc đội chủ nhà ra khỏi dây chuyền lắp ráp hoặc
chặn các cổng vật lý để giảm thiểu tác hại của sâu. Sử dụng các đặc tính của
các cuộc tấn công đã được thu thập thông tin NetFlow với các lĩnh vực có liên
quan để xác định các cuộc tấn công có thể hơn có thể gây ra thiệt hại nghiêm
trọng cho mạng trước, có biện pháp để giảm bớt khả năng xảy ra sự hình thành
của các vấn đề nghiêm trọng.
• Từ góc nhìn của lớp vận tải
Chúng tôi Tongguo có thể NetFlow dữ liệu để xác định số lượng lớn nhất
của các mạng để thiết lập phiên sở tại, Yin Wei, nếu một máy chủ lưu trữ trên
máy chủ Teding lớn bất thường số lượng kết nối, có thể đại diện cho sâu mới,
tấn công từ chối dịch vụ, mạng quét Đặng khả năng như là một máy chủ thông
thường sẽ có một liên kết đến các tần số bình thường, nếu bình thường máy
chủ bị nhiễm sâu này, bạn có thể bắt đầu sản xuất hành vi của mạng không bình
thường, bắt đầu sản xuất một số lượng lớn các kết nối của nhu cầu bên ngoài
để tìm mục tiêu tiếp theo của nhiễm trùng, chúng tôi worm từ các máy chủ bị
nhiễm một số lượng lớn các NetFlow thông tin tìm thấy trong các nhu cầu kết
nối bên ngoài, cùng một nguyên tắc, nếu thẩm quyền của người sử dụng mạng
để tải về từ mạng lưới các nỗ lực tấn công từ chối dịch vụ tấn công chương
trình công cụ phát động các cuộc tấn công, hoặc sử dụng bằng cách sử dụng
chức năng quét các công cụ như Nmap quét một URL cụ thể để xác định mục
tiêu chủ nhà rằng có thể có điểm yếu hoặc dễ bị tổn thương, chúng tôi có thể
tìm thấy từ các dữ liệu NetFlow trong một địa chỉ cụ thể từ các tên miền đã gửi
một số lượng lớn các phiên họp.
Ngoài việc phát hiện tấn công mạng, chúng tôi cũng có thể tìm hiểu bằng
cách phân tích các hành vi theo cách phiên web của lạm dụng, chẳng hạn như
phân tích dữ liệu NetFlow trong số điểm đến cổng máy chủ được sử dụng bởi
các thông tin, bằng cách phân tích các cổng 25 bên ngoài để kết nối các thông
tin có liên quan, nếu một trạm chủ nhà số 25 bên ngoài cổng để kết nối một
thời gian nhất định vượt trên mức bình thường, chúng tôi hợp lý có thể nghi
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 14
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
ngờ rằng máy này được sử dụng để phân phối thư rác, hoặc qua e-mail worm,
chúng ta có thể áp dụng cùng một nguyên tắc để phân tích là emule và các
peer-to-peer chia sẻ tập tin phần mềm thường được sử dụng 4.662 TCP / UDP
4.672 cảng, để xác định các hành vi lạm dụng mạng và xử lý thích hợp để giảm
thiểu tác hại do mình gây ra.
• Sử dụng TCP kiểm soát để lọc ra nghi ngờ Flow
Nhưng đối với các mạng lớn, NetFlow thông tin liên quan đến các cuộc tấn
công khác có thể được pha loãng NetFlow thông tin bình thường, chẳng hạn
như nhiễm trùng ban đầu hacker thận trọng, có thể sử dụng dòng chảy bình
thường để trang trải các hành vi khác thường của nó. Ngoài ra, khi chúng ta
gặp phải phương pháp mới của cuộc tấn công hay virus, có thể không được là
người đầu tiên nắm bắt được các đặc tính lưu lượng, cũng không bằng cách so
sánh để xác định đặc điểm của giao thông bình thường. Để nhanh hơn và hiệu
quả giao thông phát hiện bất thường, chúng tôi cố gắng để đăng nhập vào kiểm
soát phân tích TCP, hy vọng sẽ tiếp tục giảm nhu cầu để phân tích các dữ liệu
NetFlow, cũng như phát hiện sớm giao thông bình thường. Của sâu, vì mạng
lưới của mình bị nhiễm một số lượng lớn các máy chủ thông qua bản chất tự
sao chép của sâu trong một thời gian rất ngắn cố gắng hết sức để phát hiện
nhiễm trùng có thể có của mục tiêu, và hầu hết các sâu máy tính đang lây lan
qua giao thức TCP để truyền, Vì vậy, chúng ta có thể kiểm soát từ những lá cờ
tìm thấy một số manh mối TCP
Một quá trình kết nối TCP bình thường thành lập, những khách hàng đầu
tiên sẽ gửi một gói SYN đến host đích dữ liệu, sau đó các máy chủ đích sẽ đáp
ứng với một gói SYN ACK /, khách hàng nhận được gói tin này, sau đó quay
trở lại để gói tin đích đến các máy chủ ACK để hoàn tất việc kết nối, nhưng
không thể thành công thiết lập kết nối mọi lúc, bởi vì NetFlow sẽ được truyền
cho từng phiên khi tất cả các cờ TCP kiểm soát tất cả lưu trữ trong một lá cờ dữ
liệu kiểm soát gói tin (TCP Flag) trong lĩnh vực này , để chúng ta có thể thông
qua các lĩnh vực thông tin này để giúp chúng tôi đoán các đặc tính của một host
nào đó trên mạng.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 15
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Flow nếu một kết nối TCP được thiết lập đúng cách, kiểm soát các gói dữ
liệu (TCP Flag) trường sẽ ghi có chứa ACK, SYN, FIN và kiểm soát các dấu
hiệu khác, nhưng nếu các cử chỉ bị nhiễm giun, không phải là do lựa chọn ngẫu
nhiên của chủ nhà phải tồn tại, hoặc thậm chí nếu không có việc mở cửa sâu,
nhưng các máy chủ mục tiêu bị nhiễm bệnh với các cổng TCP, trong trường
hợp này, NetFlow thông tin từ các máy chủ bị nhiễm trực tuyến bên ngoài các
gói dữ liệu được tạo ra bởi cờ kiểm soát lưu lượng (TCP Flag) trường sẽ chỉ
kiểm soát của cờ TCP SYN đó, theo các nhà quản lý mạng lưới đặc trưng này
có thể bắt đầu kiểm soát dữ liệu gói cờ NetFlow (TCP Flag) lĩnh vực, chỉ có
SYN flag soát lưu lượng dữ liệu được lọc ra theo cách này chúng ta có thể làm
cho lớn một phần của quy tắc dòng chảy bình thường, lần này chúng tôi đang
nghi ngờ về dữ liệu từ ngoại lệ để tìm ra dòng sản sẽ giảm bớt những khó khăn
của nhiều người, có thể nhanh chóng xác định vấn đề, mà còn tránh lãng phí
không cần thiết của các tài nguyên máy tính.Sử dụng thông điệp ICMP để giúp
lọc ra nghi ngờ Flow
Một số con sâu hoặc mạng sẽ sử dụng ICMP để thực hiện các cuộc tấn
công, chúng ta có thể lọc ra dữ liệu từ NetFlow, bất thường hành vi của chủ
nhà, lần đầu tiên xác định các giao thức truyền thông (giao thức) giá trị lĩnh
vực 1 Flow, thay mặt cho các giao thức truyền thông được sử dụng cho ICMP,
sau đó là số cổng theo chủ đích ( đích TCP / UDP) của một giá trị lĩnh vực đại
diện bởi các thông điệp ICMP, chẳng hạn như các máy chủ đích đến số cổng
(điểm đến giá trị trường TCP / UDP) của năm 2048, đã được chuyển đổi thành
bát phân 800, các chữ số đầu tiên đại diện thay mặt cho ICMP loại, hai chữ số
cho các loại ICMP trong các mã, có nghĩa là tổng thể là ICMP echo yêu cầu,
nhưng nếu giá trị của 769 trường, đã được chuyển đổi sang bát phân 301, code
này đại diện cho ICMP host unreachable; Nếu giá trị là 771 trường thay mặt
cho ICMP port unreachable; lĩnh vực giá trị là 768 thay mặt cho mạng ICMP
unreachable. Đầu tiên chúng ta có thể tìm thấy các giao thức truyền thông được
sử dụng cho các ICMP của Flow, nhằm tiếp tục lọc ra số cổng máy chủ sử
dụng cho các 768.769.771 của Flow, một phân tích sâu hơn để xác định có thể
có hành vi bất thường. Bằng cách này một số lượng lớn dữ liệu NetFlow từ
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 16
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
danh sách nghi ngờ để lọc ra, và sau đó danh sách các dữ liệu lưu lượng để
phân tích thêm, nó có thể giúp các nhà quản lý mạng một cách nhanh chóng
xác định được vấn đề.
Khi băng thông mạng được phát triển nhanh chóng hiện nay, chỉ có việc
triển khai các NetFlow trong lớp lõi có thể dẫn đến hiệu suất thiết bị. Harbour
Networks có thể bây giờ hội tụ lớp FlexHammer 5.210 series, lõi lớp
BigHammer 6.800 loạt để cung cấp các tính năng NetFlow tương ứng, thông
qua cốt lõi và lớp tập hợp của việc triển khai phân phối của NetFlow, bạn có
thể đảm bảo rằng hiệu suất mạng dưới tiền đề của việc cung cấp loại virus âm
thanh và dị thường mạng kiểm soát cơ chế, để giúp các nhà quản lý mạng lưới
bảo trì mạng lưới hoàn chỉnh, mạng lưới trung tâm cho các trường đại học khác
nhau làm giảm áp lực hành chính.
2.4. Tầm quan trọng của việc nhận thức hoạt động mạng
2.4.1. Sự kiểm tra bằng SNMP truyền thống
Các khách hàng truyền thống thường hay sử dụng giao thức SNMP để
kiểm tra hoạt động của băng thông.Mặc dù có một số ưu điểm nhất định nhưng
SNMP khó có thể phân tích được sự lưu thông của các ứng dụng và mô hình
trên mạng mà điều đó là rất cần thiết để biết được hệ thống mạng hỗ trợ công
việc thế nào.Việc tìm hiểu cách thức sử dụng băng thông là một điểu rất quan
trọng trong hệ thống mạng IP ngày na
2.4.2. Tầm quan trọng của NetFlow
Khả năng phân tích lưu lượng IP và nắm được cách thức và địa điểm lưu
thông của nó là rất quan trọng đối với việc quản trị mạng.Việc kiểm tra dòng
lưu lượng IP sẽ đảm bảo tài nguyên mạng được sử dụng một cách hợp lí
hơn.Nó giúp người quản trị nhận biết được chất lượng dịch vụ(QoS),nhận biết
được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ
(DoS),việc phát tán virus, cũng như hàng loạt các sự cố khác.NetFlow có thể
giải quyết nhiều vấn đề đặt ra đối với một người quản trị chuyên nghiệp
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 17
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng:
nhận dạng các ứng dụng mạng mới, ví dụ như VoIP chẳng hạn…
Giảm sự quá tải của lưu lượng WAN
Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
Phát hiện các lưu lượng WAN trái phép
Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
2.4.3. Cách thức hoạt động của Netflow
NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa
thông tin về tất cả các luồng đang hoạt động.NetFlow cache được xây dựng
trước hết bằng cách xử lý packet đầu tiên của một luồng thông qua một đường
chuyển mạch chuẩn.Một bản ghi về luồng được duy trì bởi NetFlow cache cho
tất cả luồng hoạt động.Mỗi một bản ghi luồng trong NetFlow cache chứa các
trường thuộc tính có thể được sử dụng sau đó để xuất dữ liệu tới một thiết bị
thu thập dữ liệu.Mỗi một bản ghi luồng được tạo ra bằng cách so sánh thuộc
tính của các packet và đếm số packet và số byte của mỗi luồng.
2.4.4. Ví dụ về một NetFlow cache
Hình2.2: Ví dụ về một NetFlow cache
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 18
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.4.5. Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động
mạng
Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng
Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng
Port cho biết loại ứng dụng đang sử dụng lưu lượng
Lớp dịch vụ chiếm quyền ưu tiên lưu lượng
Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng
Kiểm tra packet và byte cho biết độ lớn của lưu lượng
Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có
thế biết tính toán được số packet và byte truyền đi trong mỗi giây.
Địa chỉ IP hop kế tiếp
Subnet mask của địa chỉ nguồn và đích
TCP flag.
2.4.6. Cách truy cập dữ liệu tạo ra bởi NetFlow : có 2 phương pháp
chính để truy cập dữ liệu của NetFlow.
Thứ nhất đó là chế độ dòng lệnh CLI(Command Line Interface).Chế độ này
có thế giúp phát hiện ra những thay đổi tức thì của mạng,điều đó rất có lợi cho
việc xử lí sự cố xảy ra trong mạng
Thứ hai đó là chế độ chuyển các thông tin NetFlow tới một reporting server
gọi là “NetFlow collector”. NetFlow collector có nhiệm vụ thu thập thông tin
về luồng và tổng hợp chúng lại để tạo ra một report về vấn đề lưu lượng cũng
như phân tích an ninh mạng.Không giống như SNMP, NetFlow thường xuyên
gửi thông tin một cách định kỳ tới NetFlow reporting collector.NetFlow cache
liên tục được lấp đầy bởi các luồng và phần mềm trong router hoặc switch sẽ
tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra
NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc. Lượng
dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 19
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
router.Những ghi nhận chi tiết của NetFlow về từng packet cung cấp một cái
nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã chuyển qua router hoặc
switch.Sau đây là các bước cơ bản để thực hiện một report của NetFlow:
- NetFlow được cấu hình để bắt luồng vào NetFlow cache
- NetFlow export được cấu hình để để gửi các luồng tới Collector
- NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó
tới NetFlow collector server.
- Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới
NetFlow collector server.
- Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ
liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow
Collector: một luồng sẵn sàng được export khi nó ko hoạt động trong một
khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian
hoạt động cho phép.Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt
động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong
15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30
phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng mạng.
Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung
tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân tích và
giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc
mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất
để cài đặt NetFlow chình là ở gấn server đó.
Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới
collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header
chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng
chứa thông tin về luồng,ví dụ như địa chỉ IP,port,thông tin định tuyến.Có các
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 20
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu
có sự khác nhau.
Nội dung của một bản ghi của NetFlow
Lựa chọn version NetFlow phù hợp
Ứng dụng NetFlow: phần mềm Cisco IOS NetFlow là một phần của họ các
sản phẩm,tiện ích quản lí của Cisco.Các phần mềm được thiết kế đồng bộ kết
hợp chặt chẽ với nhau để có thể quản lí kiểm tra giám sát hệ thống mạng một
cách tốt nhất
2.5. NetFlow các trường đại học công nghệ và quản lý mạng
Để đạt được hiệu quả quản lý mạng, cơ chế mạng lưới giám sát về sự cần
thiết phải thu thập thông tin có liên quan, được chủ động cho thấy vấn đề và
giải quyết nó. NetFlow là một lưu lượng mạng thông tin để cung cấp các thỏa
thuận, các quản trị viên có
thể nhanh chóng và hiệu quả thông qua mạng lưới tổng thể NetFlow thuộc
thẩm quyền của nhà nước.
Với sự phát triển nhanh chóng của các ứng dụng mạng, nhiều trường học
tăng băng thông mạng, trong khi các mạng không tỷ lệ thuận với việc tăng
cường hiệu suất. Để đạt được hiệu quả quản lý mạng, cơ chế mạng lưới giám
sát về sự cần thiết phải thu thập thông tin có liên quan, được chủ động cho thấy
vấn đề và giải quyết nó. NetFlow là một lưu lượng mạng thông tin để cung cấp
các thỏa thuận, các quản trị viên có thể nhanh chóng và hiệu quả thông qua
mạng lưới tổng thể NetFlow thuộc thẩm quyền của nhà nước. Chúng tôi sẽ giới
thiệu trình tự tiếp theo trước khi NetFlow và quản lý mạng và cơ chế hoạt động
giữa các cơ chế, các NetFlow hiện Cuối cùng, các ứng dụng có liên quan.
NetFlow xuất xứ.
Theo truyền thống, nhà quản lý mạng thường là thông qua SNMP (Simple
Network Management Protocol) cho các công cụ hỗ trợ giao thức SNMP từ các
cơ sở mạng lưới để thu thập dữ liệu lưu lượng mạng, mặc dù các thông tin thu
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 21
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
được theo cách này sẽ không dẫn đến gánh nặng xử lý quá nhiều, nhưng để
cung cấp cho SNMP chỉ có một, rough thông tin ngắn gọn. Thông tin này có
thể cho phép các nhà quản lý xác định vấn đề, nhưng không tiếp tục giải quyết
vấn đề.
Cung cấp một công nghệ mạng thông tin chi tiết hơn Network thăm dò
(Sniffer) hoặc các công cụ giám sát tương tự bắt đầu được triển khai trong các
thiết bị mạng được sử dụng để nắm bắt các gói dữ liệu qua các gói dữ liệu
được dịch để xác định các thông tin dữ liệu tiêu đề lĩnh vực, và phân tích thêm
về nội dung của nó để có được thông tin chi tiết hơn.
Mặc dù gói công cụ giám sát thông qua để có được một mạng lưới thông
tin chi tiết hơn, nhưng các công cụ giám sát thường tập trung vào một nội dung
gói tin mạng duy nhất, do đó, các nhà quản lý mạng từ công cụ giám sát rất khó
để cung cấp thông tin để nắm bắt tình trạng mạng tổng thể. Ngoài ra, việc phân
tích các dữ liệu gói tốn thời gian, và theo dõi việc lưu trữ các gói dữ liệu và sự
cần thiết phải phân tích số lượng rất lớn dữ liệu cho việc tiêu thụ các nguồn tài
nguyên và nhân viên là tuyệt vời, phương pháp này rõ ràng là không thích hợp
cho môi trường mạng đại học quản lý. NetFlow là trong trường hợp này ra đời
và trở thành một công cụ phổ biến cho nhân viên quản lý mạng, một số lượng
ngày càng tăng của các trường trong việc nuôi con nuôi của công cụ này để
hiểu cách sử dụng mạng.NetFlow có thể không chỉ cung cấpmạng thông tin chi
tiết hơn, và phân tích cách để tránh các băng thông mạng và tài nguyên máy
tính, một gánh nặng quá nặng.
2.6. Các phiên bản Netflow
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 22
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.6.1. Netflow phiên bản 1(Version 1)
Dòng tiêu đề định dạng
Bytes Nội dung Mô tả
0-1 phiên bản NetFlow số phiên bản định dạng xuất
2-3 tính Số dòng chảy xuất khẩu trong gói này (1-24)
4-7 sys_uptime
Thời gian hiện tại trong mili giây kể từ khi xuất khẩu các
thiết bị khởi động
8-11 unix_secs Hiện đếm giây kể từ 0000 UTC 1970
12-16 unix_nsecs Còn lại nano giây kể từ 0000 UTC 1970
Dòng ghi lại định dạng
Bytes Nội dung Mô tả
0-3 srcaddr Nguồn địa chỉ IP
4-7 dstaddr Địa chỉ IP đích
8-11 nexthop Địa chỉ IP của router hop tiếp theo
12-13 đầu vào SNMP chỉ số giao diện đầu vào
14-15 đầu ra SNMP chỉ số giao diện đầu ra
16-19 dPkts Gói dữ liệu trong dòng chảy
20-23 dOctets
Tổng số của Layer 3 byte trong gói dữ liệu của dòng
chảy
24-27 1 SysUptime tại bắt đầu của dòng chảy
28-31 cuối cùng
SysUptime tại thời điểm gói tin cuối cùng của dòng
chảy đã được nhận được
32-33 srcport TCP / UDP số cổng nguồn hoặc tương đương
34-35 dstport Điểm đến cổng TCP / UDP số hoặc tương đương
36-37 pad1 Chưa sử dụng (không) byte
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 23

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×