【文章內(nèi)容簡(jiǎn)介】 換網(wǎng)的性能和控制能力》Cisco NETFlow交換技術(shù)一、發(fā)展歷史Internet/Intranet的部署和使用正在迅猛成長(zhǎng)，并且導(dǎo)致了企業(yè)和消費(fèi)者計(jì)算模式的重大轉(zhuǎn)變。市場(chǎng)已經(jīng)提出了對(duì)流量統(tǒng)計(jì)和管理技術(shù)的需求，并要求這一技術(shù)能有效提供記錄網(wǎng)絡(luò)和應(yīng)用資源利用率所必須的信息。為此，Cisco系統(tǒng)公司在其IOS交換體系結(jié)構(gòu)中引入一種新的交換技術(shù)——NetFlow交換。NetFlow交換在虛擬局域網(wǎng)（VLAN）技術(shù)的基礎(chǔ)上，在同一個(gè)平臺(tái)上提供了交換和路由兩種功能。 　 Cisco路由和交換平臺(tái)中的NetFlow服務(wù)可提供內(nèi)置在快速、最優(yōu)和CEF交換路徑之中的網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)功能。NetFlow服務(wù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價(jià)值，并可在最大限度減小對(duì)路由器/交換機(jī)性能的影響的前提下提供詳細(xì)的數(shù)據(jù)流統(tǒng)計(jì)信息。特別是作為其交換功能的一部分，它能夠?yàn)槠髽I(yè)提供網(wǎng)絡(luò)的容量規(guī)劃、趨勢(shì)分析以及數(shù)據(jù)優(yōu)先級(jí)等方面的信息，這些統(tǒng)計(jì)信息包括用戶、協(xié)議、端口和服務(wù)類型等。NetFlow交換可以部署在網(wǎng)絡(luò)中的任何位置，作為對(duì)現(xiàn)有尋徑基礎(chǔ)設(shè)施的擴(kuò)展。NetFlow還可對(duì)訪問列表進(jìn)行有效的處理，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)包過濾和安全性服務(wù)。NetFlow數(shù)據(jù)可被用于多種多樣的用途，如網(wǎng)絡(luò)管理與規(guī)劃、企業(yè)財(cái)務(wù)、基于利用率的計(jì)費(fèi)以及針對(duì)市場(chǎng)營(yíng)銷目的的數(shù)據(jù)倉(cāng)庫(kù)和數(shù)據(jù)采集等。 二、適應(yīng)范圍：由于Cisco NETFlow交換技術(shù)與路由器平臺(tái)無(wú)關(guān)，因此它完全適用于異構(gòu)環(huán)境（只有少數(shù)路由器被升級(jí)支持Cisco NETFlow交換技術(shù)，其他路由器只有傳統(tǒng)IP路由轉(zhuǎn)發(fā)功能）。三、工作原理：Cisco NETFlow交換技術(shù)通過改善網(wǎng)絡(luò)核心路由器的處理能力來(lái)加速報(bào)文的轉(zhuǎn)發(fā)。 在傳統(tǒng)第三層路由器的報(bào)文轉(zhuǎn)發(fā)處理過程中，每個(gè)報(bào)文都單獨(dú)地進(jìn)行處理，而不是作為信息流的一部分，如下圖所示。路由表安全策略統(tǒng)計(jì)信息安全操作統(tǒng)計(jì)操作路由表cache……輸入報(bào)文輸出報(bào)文傳統(tǒng)路由器轉(zhuǎn)發(fā)報(bào)文所執(zhí)行的操作對(duì)于采用Cisco NETFlow交換技術(shù)的路由器，它只對(duì)信息流的第一個(gè)IP報(bào)文執(zhí)行傳統(tǒng)IP路由器對(duì)每個(gè)報(bào)文執(zhí)行的一系列操作，用源和目的IP地址、源和目的TCP端口地址定義某個(gè)單向傳輸信息流。一旦路由器接收并處理由源和目的IP地址、源和目的TCP端口地址標(biāo)識(shí)的網(wǎng)絡(luò)信息流的第一個(gè)報(bào)文，處理結(jié)果將存放在Cache中，后續(xù)的IP報(bào)文用Cache內(nèi)的信息對(duì)報(bào)文進(jìn)行處理，而不再執(zhí)行傳統(tǒng)IP路由器所執(zhí)行的一系列操作，如下圖所示，這將有效地減少每個(gè)報(bào)文的處理時(shí)間和報(bào)文在網(wǎng)絡(luò)中的傳輸時(shí)延，改善了整個(gè)網(wǎng)絡(luò)的性能。路由表安全策略統(tǒng)計(jì)信息安全操作統(tǒng)計(jì)操作路由表cache……NETFlow 路由操作NETFlow CacheNETFlow統(tǒng)計(jì)NETFlow數(shù)據(jù)輸出輸入報(bào)文第一個(gè)報(bào)文后續(xù)報(bào)文輸出處理結(jié)果存入Cache實(shí)現(xiàn)標(biāo)簽交換需要兩個(gè)關(guān)鍵功能模塊： 根據(jù)報(bào)文所攜帶的標(biāo)簽信息及標(biāo)簽交換機(jī)（TSR）所維持的標(biāo)簽轉(zhuǎn)發(fā)信息完成報(bào)文的轉(zhuǎn)發(fā)。負(fù)責(zé)建立、維持正確的標(biāo)簽轉(zhuǎn)發(fā)信息。轉(zhuǎn)發(fā)構(gòu)件實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)功能的構(gòu)件就是轉(zhuǎn)發(fā)構(gòu)件。它的操作基于標(biāo)簽交換機(jī)維持的標(biāo)簽信息庫(kù)（TIB）。標(biāo)簽信息庫(kù)的每一項(xiàng)包含輸入標(biāo)簽、輸出標(biāo)簽、輸出接口及輸出接口鏈路層信息等字段。當(dāng)標(biāo)簽交換機(jī)接收到一個(gè)攜帶標(biāo)簽的報(bào)文，轉(zhuǎn)發(fā)構(gòu)件就用報(bào)文攜帶的標(biāo)簽檢索標(biāo)簽信息庫(kù)，如果在標(biāo)簽信息庫(kù)中找到輸入標(biāo)簽字段值和報(bào)文攜帶的標(biāo)簽相同的項(xiàng)，轉(zhuǎn)發(fā)構(gòu)件就以該項(xiàng)中的輸出標(biāo)簽替代報(bào)文攜帶的標(biāo)簽，用輸出接口鏈路層信息封裝報(bào)文，并把報(bào)文通過該項(xiàng)制定的輸出接口轉(zhuǎn)發(fā)出去。轉(zhuǎn)發(fā)構(gòu)件的特點(diǎn)：轉(zhuǎn)發(fā)決策基于精確匹配固定長(zhǎng)度且長(zhǎng)度相對(duì)較短的標(biāo)簽，與網(wǎng)絡(luò)層IP地址的最長(zhǎng)匹配相比，精確匹配簡(jiǎn)化了轉(zhuǎn)發(fā)過程。精確匹配由于簡(jiǎn)單，可以直接用硬件（ASCI)實(shí)現(xiàn)，這將大大提高報(bào)文的轉(zhuǎn)發(fā)速率。轉(zhuǎn)發(fā)策略和標(biāo)簽的轉(zhuǎn)發(fā)顆粒性無(wú)關(guān)。轉(zhuǎn)發(fā)構(gòu)件和控制構(gòu)件相互獨(dú)立，控制構(gòu)件增加新的路由功能時(shí)，不用改變轉(zhuǎn)發(fā)構(gòu)件。 標(biāo)簽封裝方式IP報(bào)文可以通過以下幾種方式攜帶標(biāo)簽信息：鏈路層首部和網(wǎng)絡(luò)層首部之間插入標(biāo)簽首部。標(biāo)簽作為鏈路層首部的一部分，由標(biāo)簽交換機(jī)對(duì)包含在鏈路層首部中的標(biāo)簽進(jìn)行適當(dāng)處理。標(biāo)簽作為網(wǎng)絡(luò)層首部的一部分，由標(biāo)簽交換機(jī)對(duì)包含在網(wǎng)絡(luò)層首部中的標(biāo)簽進(jìn)行適當(dāng)處理。由于標(biāo)簽轉(zhuǎn)發(fā)表和網(wǎng)絡(luò)層無(wú)關(guān)，只要控制構(gòu)件適用于特定的網(wǎng)絡(luò)層協(xié)議，標(biāo)簽交換機(jī)就能適用于特定的網(wǎng)絡(luò)層協(xié)議。 控制構(gòu)件標(biāo)簽交換的關(guān)鍵是將標(biāo)簽和網(wǎng)絡(luò)層路由綁定在一起，為提供良好的可擴(kuò)展性，適用多種路由功能，標(biāo)簽交換應(yīng)該支持廣泛的轉(zhuǎn)發(fā)顆粒性，如某個(gè)標(biāo)簽可以綁定一組路由，也可以綁定單個(gè)應(yīng)用信息流（如RSVP信息流），甚至可以綁定一顆組播樹。控制構(gòu)件負(fù)責(zé)標(biāo)簽綁定，在標(biāo)簽交換機(jī)之間分發(fā)標(biāo)簽綁定信息。它可以是多個(gè)模塊的集合，每一個(gè)模塊支持特定的路由功能，如果需要支持新的路由功能，只需要增加新的模塊。路由器通常基于報(bào)文的目的地址路由報(bào)文，它根據(jù)報(bào)文攜帶的目的地址信息和通過路由協(xié)議創(chuàng)建的轉(zhuǎn)發(fā)信息庫(kù)（FIB）對(duì)報(bào)文組作出轉(zhuǎn)發(fā)決策。在標(biāo)簽交換中，標(biāo)簽交換機(jī)和路由器一樣參與路由協(xié)議（如OSPF、BGP），用通過這些協(xié)議獲取的信息構(gòu)建FIB。但標(biāo)簽交換需要標(biāo)簽交換機(jī)根據(jù)FIB分配標(biāo)簽并維持標(biāo)簽信息庫(kù)（TIB）。目前有三種分配標(biāo)簽，管理TIB的方法：下游分配標(biāo)簽、下游按需分配標(biāo)簽和上游分配標(biāo)簽。無(wú)論采用何種分配方式，標(biāo)簽交換機(jī)都需要分配標(biāo)簽，并將標(biāo)簽綁定到FIB中的某個(gè)地址前綴，通過標(biāo)簽分配協(xié)議（TDP）在標(biāo)簽交換機(jī)之間分發(fā)標(biāo)簽。S1S3S4S212121211300200100四、應(yīng)用實(shí)例300S1S3S4S220010012121211注意：NETFlow交換并不是第二層交換，而仍然是第三層路由。Cisco公司為了強(qiáng)調(diào)確定路由操作和轉(zhuǎn)發(fā)報(bào)文操作的差別，習(xí)慣把轉(zhuǎn)發(fā)報(bào)文操作稱為交換。這個(gè)交換和傳統(tǒng)的第二層交換是不同的，NETFlow交換是一種通過增強(qiáng)Cache技術(shù)來(lái)加速第三層報(bào)文轉(zhuǎn)發(fā)處理的技術(shù)。和其他直接在源終端和目的終端之間建立第二層交換通路的交換技術(shù)不通，NETFlow交換根據(jù)信息流標(biāo)識(shí)符（源和目的IP地址以及源和目的TCP端口地址）進(jìn)行報(bào)文轉(zhuǎn)發(fā)的操作發(fā)生在單個(gè)路由器內(nèi)部，這種所謂的交換僅由單個(gè)路由器的內(nèi)部操作實(shí)現(xiàn)，完全是單個(gè)路由器的行為，與系統(tǒng)內(nèi)其他路由器沒有任何關(guān)聯(lián)，不存在路由器間的任何互操作問題。五、優(yōu)缺點(diǎn)：優(yōu)點(diǎn)：標(biāo)簽交換技術(shù)通過對(duì)路由綁定標(biāo)簽，并隨后通過標(biāo)簽交換轉(zhuǎn)發(fā)報(bào)文，大大提高了報(bào)文轉(zhuǎn)發(fā)速率。這種技術(shù)與網(wǎng)絡(luò)傳輸系統(tǒng)和網(wǎng)絡(luò)層協(xié)議無(wú)關(guān)，可以適用于廣域網(wǎng)、局域網(wǎng)和多種網(wǎng)絡(luò)協(xié)議，可以說是一種通用的IP交換技術(shù)。缺點(diǎn)。不足之處在于它只是Cisco的專用技術(shù)，不能被廣大的路由器生產(chǎn)廠家所支持。 補(bǔ)充知識(shí)：(一)、NetFlow交換及其特點(diǎn) 　　 NetFlow交換在網(wǎng)絡(luò)層實(shí)現(xiàn)高性能的交換，它提供一個(gè)高效的機(jī)制，可以用來(lái)處理安全訪問列表，從而不必像其他交換方式那樣，為完成同樣的任務(wù)而付出很高的性能代價(jià)。NetFlow交換識(shí)別主機(jī)之間的網(wǎng)絡(luò)流量，并在提供相關(guān)服務(wù)的同時(shí)，對(duì)網(wǎng)絡(luò)流量中的分組進(jìn)行交換。在傳統(tǒng)的網(wǎng)絡(luò)交換中，每一個(gè)輸入分組是單獨(dú)處理的，路由器為每個(gè)分組進(jìn)行一系列獨(dú)立的查詢，利用一系列函數(shù)去檢查訪問列表、獲取記賬數(shù)據(jù)、交換該分組。然后將它發(fā)送（即交換）到目的地。這些查詢包括確定是否采用安全訪問過濾，以及更新網(wǎng)絡(luò)統(tǒng)計(jì)計(jì)賬記錄。而在NetFlow交換中，查詢過程僅對(duì)分組流中的第一個(gè)分組進(jìn)行，當(dāng)一個(gè)網(wǎng)絡(luò)流被識(shí)別并確定了與其相關(guān)的服務(wù)后，那么后面所有的分組都作為該信息流的一部分，在面向連接的基礎(chǔ)上進(jìn)行處理，這樣就繞過了訪問列表的檢查，進(jìn)而依次對(duì)分組進(jìn)行交換和獲取統(tǒng)計(jì)信息。 　　　　 NetFlow交換中要?jiǎng)?chuàng)建一個(gè)信息流高速緩存，里面包含對(duì)所有活動(dòng)信息流進(jìn)行交換和訪問列表檢查所需要的信息，利用標(biāo)準(zhǔn)的快速交換路徑先處理信息流中的第一個(gè)分組，這樣就生成了NetFlow高速緩存，這樣每個(gè)信息流都與一個(gè)即將到來(lái)的接口端口號(hào)和要發(fā)出的接口端口號(hào)相關(guān)聯(lián)，并且有一個(gè)特定的安全訪問權(quán)限和加密策略。高速緩存中還包含用于數(shù)據(jù)流統(tǒng)計(jì)的條目。隨著后面分組的交換，這些條目也不斷地更新。NetFlow高速緩存被創(chuàng)建后，那些被標(biāo)識(shí)為屬于現(xiàn)有的一個(gè)信息流的分組即可以依據(jù)高速緩存信息被交換，從而繞過了安全訪問列表檢查。對(duì)于所有活動(dòng)信息流，在NetFlow高速緩存中保留相應(yīng)的信息。 　　　　 對(duì)分組進(jìn)行交換，并且一個(gè)任務(wù)接一個(gè)任務(wù)地按順序?yàn)榉纸M提供服務(wù)。這種流線型處理分組的方式提高了網(wǎng)絡(luò)服務(wù)的能力，提高了Cisco IOS有關(guān)安全性、服務(wù)質(zhì)量（QoS）和網(wǎng)絡(luò)流量計(jì)賬的服務(wù)性能。同時(shí)，NetFlow交換提供了以每個(gè)用戶和每個(gè)應(yīng)用（即會(huì)話）為基礎(chǔ)的更有效的服務(wù)。 　　?。ǘetFlow的數(shù)據(jù)格式 　　 NetFlow以UDP數(shù)據(jù)報(bào)文的形式輸出信息流，它有2種格式: （1）版本1格式。這是最初發(fā)布的格式。 （2）版本5格式。這是后來(lái)發(fā)布的一種加強(qiáng)格式，它增加了邊界網(wǎng)關(guān)協(xié)議（BGP）的自治系統(tǒng)（AS）信息和信息流的序列號(hào)。 　　　　 在版本1和版本5 格式中，數(shù)據(jù)報(bào)文由一個(gè)頭標(biāo)信息、一個(gè)或多個(gè)信息流記錄構(gòu)成。通常情況下，接收程序不管接收哪種格式，它都會(huì)分配一個(gè)足夠大的緩沖區(qū)，以便數(shù)據(jù)報(bào)文到來(lái)時(shí)，可以容納下最大的數(shù)據(jù)。此外，它使用頭標(biāo)信息中的版本信息來(lái)決定如何理解這些數(shù)據(jù)報(bào)文。頭標(biāo)信息中的第二個(gè)字段是數(shù)據(jù)報(bào)文中記錄的個(gè)數(shù)，可以用它來(lái)對(duì)記錄進(jìn)行索引。 　 因?yàn)镹etFlow輸出采用UDP協(xié)議來(lái)發(fā)送輸出的數(shù)據(jù)報(bào)文，所以可能會(huì)丟失數(shù)據(jù)。為了確定信息流輸出信息是否丟失，版本5的頭標(biāo)信息格式中包含了一個(gè)信息流序列號(hào)。這個(gè)序列號(hào)等于前一個(gè)序列號(hào)加上剛剛過去的數(shù)據(jù)報(bào)文中信息流的個(gè)數(shù)。當(dāng)接收到一個(gè)新的數(shù)據(jù)報(bào)文后，接收程序可以從頭標(biāo)信息中的序列號(hào)中提取出預(yù)期的序列號(hào)，這樣即可以獲取丟失信息流的數(shù)目。（三）、管理和使用NetFlow交換的統(tǒng)計(jì)信息 　 通過NetFlow交換，還可以獲取豐富的統(tǒng)計(jì)