【文章內容簡介】 換網的性能和控制能力》Cisco NETFlow交換技術一、發(fā)展歷史Internet/Intranet的部署和使用正在迅猛成長，并且導致了企業(yè)和消費者計算模式的重大轉變。市場已經提出了對流量統(tǒng)計和管理技術的需求，并要求這一技術能有效提供記錄網絡和應用資源利用率所必須的信息。為此，Cisco系統(tǒng)公司在其IOS交換體系結構中引入一種新的交換技術——NetFlow交換。NetFlow交換在虛擬局域網（VLAN）技術的基礎上，在同一個平臺上提供了交換和路由兩種功能。 　 Cisco路由和交換平臺中的NetFlow服務可提供內置在快速、最優(yōu)和CEF交換路徑之中的網絡數據流統(tǒng)計功能。NetFlow服務可利用網絡中數據流創(chuàng)造價值，并可在最大限度減小對路由器/交換機性能的影響的前提下提供詳細的數據流統(tǒng)計信息。特別是作為其交換功能的一部分，它能夠為企業(yè)提供網絡的容量規(guī)劃、趨勢分析以及數據優(yōu)先級等方面的信息，這些統(tǒng)計信息包括用戶、協(xié)議、端口和服務類型等。NetFlow交換可以部署在網絡中的任何位置，作為對現有尋徑基礎設施的擴展。NetFlow還可對訪問列表進行有效的處理，進而實現數據包過濾和安全性服務。NetFlow數據可被用于多種多樣的用途，如網絡管理與規(guī)劃、企業(yè)財務、基于利用率的計費以及針對市場營銷目的的數據倉庫和數據采集等。 二、適應范圍：由于Cisco NETFlow交換技術與路由器平臺無關，因此它完全適用于異構環(huán)境（只有少數路由器被升級支持Cisco NETFlow交換技術，其他路由器只有傳統(tǒng)IP路由轉發(fā)功能）。三、工作原理：Cisco NETFlow交換技術通過改善網絡核心路由器的處理能力來加速報文的轉發(fā)。 在傳統(tǒng)第三層路由器的報文轉發(fā)處理過程中，每個報文都單獨地進行處理，而不是作為信息流的一部分，如下圖所示。路由表安全策略統(tǒng)計信息安全操作統(tǒng)計操作路由表cache……輸入報文輸出報文傳統(tǒng)路由器轉發(fā)報文所執(zhí)行的操作對于采用Cisco NETFlow交換技術的路由器，它只對信息流的第一個IP報文執(zhí)行傳統(tǒng)IP路由器對每個報文執(zhí)行的一系列操作，用源和目的IP地址、源和目的TCP端口地址定義某個單向傳輸信息流。一旦路由器接收并處理由源和目的IP地址、源和目的TCP端口地址標識的網絡信息流的第一個報文，處理結果將存放在Cache中，后續(xù)的IP報文用Cache內的信息對報文進行處理，而不再執(zhí)行傳統(tǒng)IP路由器所執(zhí)行的一系列操作，如下圖所示，這將有效地減少每個報文的處理時間和報文在網絡中的傳輸時延，改善了整個網絡的性能。路由表安全策略統(tǒng)計信息安全操作統(tǒng)計操作路由表cache……NETFlow 路由操作NETFlow CacheNETFlow統(tǒng)計NETFlow數據輸出輸入報文第一個報文后續(xù)報文輸出處理結果存入Cache實現標簽交換需要兩個關鍵功能模塊： 根據報文所攜帶的標簽信息及標簽交換機（TSR）所維持的標簽轉發(fā)信息完成報文的轉發(fā)。負責建立、維持正確的標簽轉發(fā)信息。轉發(fā)構件實現報文轉發(fā)功能的構件就是轉發(fā)構件。它的操作基于標簽交換機維持的標簽信息庫（TIB）。標簽信息庫的每一項包含輸入標簽、輸出標簽、輸出接口及輸出接口鏈路層信息等字段。當標簽交換機接收到一個攜帶標簽的報文，轉發(fā)構件就用報文攜帶的標簽檢索標簽信息庫，如果在標簽信息庫中找到輸入標簽字段值和報文攜帶的標簽相同的項，轉發(fā)構件就以該項中的輸出標簽替代報文攜帶的標簽，用輸出接口鏈路層信息封裝報文，并把報文通過該項制定的輸出接口轉發(fā)出去。轉發(fā)構件的特點：轉發(fā)決策基于精確匹配固定長度且長度相對較短的標簽，與網絡層IP地址的最長匹配相比，精確匹配簡化了轉發(fā)過程。精確匹配由于簡單，可以直接用硬件（ASCI)實現，這將大大提高報文的轉發(fā)速率。轉發(fā)策略和標簽的轉發(fā)顆粒性無關。轉發(fā)構件和控制構件相互獨立，控制構件增加新的路由功能時，不用改變轉發(fā)構件。 標簽封裝方式IP報文可以通過以下幾種方式攜帶標簽信息：鏈路層首部和網絡層首部之間插入標簽首部。標簽作為鏈路層首部的一部分，由標簽交換機對包含在鏈路層首部中的標簽進行適當處理。標簽作為網絡層首部的一部分，由標簽交換機對包含在網絡層首部中的標簽進行適當處理。由于標簽轉發(fā)表和網絡層無關，只要控制構件適用于特定的網絡層協(xié)議，標簽交換機就能適用于特定的網絡層協(xié)議。 控制構件標簽交換的關鍵是將標簽和網絡層路由綁定在一起，為提供良好的可擴展性，適用多種路由功能，標簽交換應該支持廣泛的轉發(fā)顆粒性，如某個標簽可以綁定一組路由，也可以綁定單個應用信息流（如RSVP信息流），甚至可以綁定一顆組播樹。控制構件負責標簽綁定，在標簽交換機之間分發(fā)標簽綁定信息。它可以是多個模塊的集合，每一個模塊支持特定的路由功能，如果需要支持新的路由功能，只需要增加新的模塊。路由器通?；趫笪牡哪康牡刂仿酚蓤笪?，它根據報文攜帶的目的地址信息和通過路由協(xié)議創(chuàng)建的轉發(fā)信息庫（FIB）對報文組作出轉發(fā)決策。在標簽交換中，標簽交換機和路由器一樣參與路由協(xié)議（如OSPF、BGP），用通過這些協(xié)議獲取的信息構建FIB。但標簽交換需要標簽交換機根據FIB分配標簽并維持標簽信息庫（TIB）。目前有三種分配標簽，管理TIB的方法：下游分配標簽、下游按需分配標簽和上游分配標簽。無論采用何種分配方式，標簽交換機都需要分配標簽，并將標簽綁定到FIB中的某個地址前綴，通過標簽分配協(xié)議（TDP）在標簽交換機之間分發(fā)標簽。S1S3S4S212121211300200100四、應用實例300S1S3S4S220010012121211注意：NETFlow交換并不是第二層交換，而仍然是第三層路由。Cisco公司為了強調確定路由操作和轉發(fā)報文操作的差別，習慣把轉發(fā)報文操作稱為交換。這個交換和傳統(tǒng)的第二層交換是不同的，NETFlow交換是一種通過增強Cache技術來加速第三層報文轉發(fā)處理的技術。和其他直接在源終端和目的終端之間建立第二層交換通路的交換技術不通，NETFlow交換根據信息流標識符（源和目的IP地址以及源和目的TCP端口地址）進行報文轉發(fā)的操作發(fā)生在單個路由器內部，這種所謂的交換僅由單個路由器的內部操作實現，完全是單個路由器的行為，與系統(tǒng)內其他路由器沒有任何關聯(lián)，不存在路由器間的任何互操作問題。五、優(yōu)缺點：優(yōu)點：標簽交換技術通過對路由綁定標簽，并隨后通過標簽交換轉發(fā)報文，大大提高了報文轉發(fā)速率。這種技術與網絡傳輸系統(tǒng)和網絡層協(xié)議無關，可以適用于廣域網、局域網和多種網絡協(xié)議，可以說是一種通用的IP交換技術。缺點。不足之處在于它只是Cisco的專用技術，不能被廣大的路由器生產廠家所支持。 補充知識：(一)、NetFlow交換及其特點 　　 NetFlow交換在網絡層實現高性能的交換，它提供一個高效的機制，可以用來處理安全訪問列表，從而不必像其他交換方式那樣，為完成同樣的任務而付出很高的性能代價。NetFlow交換識別主機之間的網絡流量，并在提供相關服務的同時，對網絡流量中的分組進行交換。在傳統(tǒng)的網絡交換中，每一個輸入分組是單獨處理的，路由器為每個分組進行一系列獨立的查詢，利用一系列函數去檢查訪問列表、獲取記賬數據、交換該分組。然后將它發(fā)送（即交換）到目的地。這些查詢包括確定是否采用安全訪問過濾，以及更新網絡統(tǒng)計計賬記錄。而在NetFlow交換中，查詢過程僅對分組流中的第一個分組進行，當一個網絡流被識別并確定了與其相關的服務后，那么后面所有的分組都作為該信息流的一部分，在面向連接的基礎上進行處理，這樣就繞過了訪問列表的檢查，進而依次對分組進行交換和獲取統(tǒng)計信息。 　　　　 NetFlow交換中要創(chuàng)建一個信息流高速緩存，里面包含對所有活動信息流進行交換和訪問列表檢查所需要的信息，利用標準的快速交換路徑先處理信息流中的第一個分組，這樣就生成了NetFlow高速緩存，這樣每個信息流都與一個即將到來的接口端口號和要發(fā)出的接口端口號相關聯(lián)，并且有一個特定的安全訪問權限和加密策略。高速緩存中還包含用于數據流統(tǒng)計的條目。隨著后面分組的交換，這些條目也不斷地更新。NetFlow高速緩存被創(chuàng)建后，那些被標識為屬于現有的一個信息流的分組即可以依據高速緩存信息被交換，從而繞過了安全訪問列表檢查。對于所有活動信息流，在NetFlow高速緩存中保留相應的信息。 　　　　 對分組進行交換，并且一個任務接一個任務地按順序為分組提供服務。這種流線型處理分組的方式提高了網絡服務的能力，提高了Cisco IOS有關安全性、服務質量（QoS）和網絡流量計賬的服務性能。同時，NetFlow交換提供了以每個用戶和每個應用（即會話）為基礎的更有效的服務。 　　?。ǘetFlow的數據格式 　　 NetFlow以UDP數據報文的形式輸出信息流，它有2種格式: （1）版本1格式。這是最初發(fā)布的格式。 （2）版本5格式。這是后來發(fā)布的一種加強格式，它增加了邊界網關協(xié)議（BGP）的自治系統(tǒng)（AS）信息和信息流的序列號。 　　　　 在版本1和版本5 格式中，數據報文由一個頭標信息、一個或多個信息流記錄構成。通常情況下，接收程序不管接收哪種格式，它都會分配一個足夠大的緩沖區(qū)，以便數據報文到來時，可以容納下最大的數據。此外，它使用頭標信息中的版本信息來決定如何理解這些數據報文。頭標信息中的第二個字段是數據報文中記錄的個數，可以用它來對記錄進行索引。 　 因為NetFlow輸出采用UDP協(xié)議來發(fā)送輸出的數據報文，所以可能會丟失數據。為了確定信息流輸出信息是否丟失，版本5的頭標信息格式中包含了一個信息流序列號。這個序列號等于前一個序列號加上剛剛過去的數據報文中信息流的個數。當接收到一個新的數據報文后，接收程序可以從頭標信息中的序列號中提取出預期的序列號，這樣即可以獲取丟失信息流的數目。（三）、管理和使用NetFlow交換的統(tǒng)計信息 　 通過NetFlow交換，還可以獲取豐富的統(tǒng)計