高職網絡管理實踐中NetFlow技術的運用

摘要:當前高職網絡教學與網絡辦公等應用的開展使得用戶對網絡的依賴性越來越強，但是校園網用戶防范力差的網絡安全現狀，給校園網絡的安全管理帶來了壓力。該文理論聯系實際，對高職網絡管理中NetFlow技術的運用進行了探討。

關鍵詞:大學;NetFlow;網絡管理

中圖法分類號:TP3文獻標識碼:A文章編號:1009-3044(2009)36-10193-02

Higher Network Management Practice of the use of NetFlow Technology

BIAN Jin-ding

(Changzhou Tourism Business Higher Vocational School， Changzhou 213032， China)

Abstract: The current vocational education and network office network applications such as enabling users to carry out increasingly dependent on networks， but the campus network users with poor network security forces against the status quo， to the campus network has put pressure on the safety management. This theory with practice， right in NetFlow network management vocational use of technology were discussed.

Key words: college; NetFlow; network management

1 背景

隨著計算機網絡技術在全球的迅猛發展與應用，網絡為教育注入了新的活力。目前，大部分高職的校園網絡都已具有相當的規模，要做到有效的網絡管理，就需要通過有效的網絡監控機制搜集相關信息，主動找出問題點并加以解決。

2 NetFlow技術原理

2.1 NetFlow簡介

NetFlow技術是基于網流而發展起來的，是1996年由Cisco公司開發的一套網絡流量統計技術。最初是設計作為一種緩存機制來改善訪問列表的處理速度，后來網絡管理人員意識到這些統計信息對網絡安全的研究很有價值。目前該技術已成為事實工業標準，被包括Juniper、Extreme、Foundry等大多數主流網絡設備提供商支持。

2.2 NetFlow數據格式

NetFlow版本有很多，其中NetFlow Version5是常見的NetFlow數據格式，一個NetFlow信息流由以下字段的集合識別:源IP地址(Source IP address)、目的IP地址(Destination IP address)、源端口號(Source Port Number)、目的端口號(Destination Port Number)、協議類型(Protocol type)、服務類型(Type of service)、路由器輸入接口(Router input interface)。NetFlow數據報采用UDP協議發送。一個NetFlow數據報由一個報頭和20-50個流記錄組成。

NetFlow Version5流記錄主要內容字節名稱描述0-3 Srcaddr源IP地址4-7 Dstaddr目的IP地址8-11 Nexthop下一個“跳”路由器的IP地址12-15 Input and output輸入和輸出接口的SNMP索引16-19 DPkts流中的報文數20-23 Doctets在流的數據包中第3層字節的總數32-35 Srcport and DstportTCP/UDP源和目的端口號或相等值37 Tcp_flags TCP_flag累積OR38-39 Protand Tos IP協議和IP服務類型。

下面以目前常用的NFC2.0采集的一種流量數據為例，介紹各字段的對應含義。61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1數據中各字段的含義如下:源IP地址|目的IP地址|源端口號|目的端口號|流入接口號|流出接口號|源端口|目的端口|協議類型|包數量|字節數|流數量

2.3 NetFlow組成部分

一個完整的NetFlow應用，從功能上分，通常需要三個部分。

1) 數據導出(NetFlow data exporter)具備NetFlow功能的路由器對流經統計接口的所有數據生成Flow記錄，定期以UDP數據報的形式發送給數據庫服務器。

2) 數據采集(NetFlow data collector)負責接收并存儲由路由器發送的含有NetFlow統計數據的UDP數據報。

3) 數據分析(NetFlow data analyzer)借助Flow-tools工具對采集到的網絡流量信息進行數據分析和統計，也可將數據導出到外部數據庫，利用數據庫強大的數據處理能力，對收集到的海量信息進行數據挖掘。

2.4 工作原理

NetFlow技術利用流信息，可依據源IP地址、目地IP地址對數據包進行包個數、字節數的統計。其根據網絡數據包傳輸時連續相鄰的數據包通常是往相同目的地地址傳送的特性，配合Cache快取機制，利用標準路由模式處理數據流的第一個IP數據報，生成NetFlow緩存，隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸，不再匹配相關的訪問控制等策略，同時NetFlow緩存包含了隨后數據流的統計信息。

3 NetFlow技術在校園網中的應用

3.1 可行性分析

NetFlow的記錄能夠提供足夠的信息來協助校園網管理者掌握所管轄網絡中的網絡異常事件，而且由于NetFlow不需要對數據包內容進行分析，大大減輕了網絡設備運算處理的負擔，所以很適合用來分析高速、忙碌的網絡環境。由于校園網一般都設計成三層結構:核心層、匯聚層和接入層，所以在校園網的出口都設有邊界路由器。從網絡使用的角度看，校園網的絕大部分流量都是經過核心交換機或邊界路由器訪問Internet和訪問網絡中心服務器群的流量。通過對訪問Internet和網絡中心服務器群的流量分析，可以使校園網管理者及時掌握當前網絡的運行狀態。因此，在核心交換機和邊界路由器上部署NetFlow，進行流量分析，不僅可以達到主要的校園網流量分析的目的，而且部署簡便，效果顯著，實施成本低。

3.2 NetFlow對常見網絡攻擊的應用

伴隨著互聯網的普及，網絡上各種各樣的網絡攻擊也隨之而來，如震蕩波、沖擊波病毒、網絡蠕蟲病毒等。每一種網絡攻擊通常都有其特定模式，校園網絡管理者可以利用Netflow技術進行流量分析、地址匹配和端口匹配，分析處理以減少異常流量發生時帶來的影響和損失。首先通過對流量大小變化的監控，發現異常流量，特別是異常流量的流向，進而選擇有問題的物理端口去采集數據;然后選擇合適的網絡設備端口，實施Netflow配置，采集問題端口的Netflow數據。通過對收集的Netflow數據進行分析，可以過濾出異常流量的源地址、目的地址、端口號和協議類型等多種信息，應用Neflow分析技術，可以根據病毒流量特征，快速定位感染病毒的IP地址及病毒端口號，并參考NetFlow數據流的其它特征在網絡設備上采取相應的限制、過濾措施，從而達到抑制病毒流量傳播的目的。

3.3 其它應用

還可以通過流量分析，統計校園網出口的主要流量HTTP、TCP和UDP的比例，通過查看P2P軟件的常用端口4662和4672的流量，可以查找出占用大量帶寬資源的BT下載、eMule下載、迅雷下載等P2P軟件用戶，找出網絡濫用的行為，并進行適當處置以降低其所造成的傷害。

4 結束語

隨著網絡技術的發展，如何科學、高效地管理校園網絡，是目前高職管理的重要內容。因此網絡流量的統計分析及應用的作用日趨重要，Netflow技術分析網絡流量因其方便、快捷、高效的特點，為越來越多的校園網管理者所接受，并成為校園網安全管理的重要手段，是數據流量采集的發展方向。

參考文獻:

[1] 趙小林.網絡安全技術教程[M].北京:國防工業出版社，2003.

[2] 董玉格.網絡安全與實用防護技術[M].北京:人民郵電出版社，2004.