高职网络管理实践中NetFlow技术的运用

摘要:当前高职网络教学与网络办公等应用的开展使得用户对网络的依赖性越来越强,但是校园网用户防范力差的网络安全现状,给校园网络的安全管理带来了压力。该文理论联系实际,对高职网络管理中NetFlow技术的运用进行了探讨。

关键词:大学;NetFlow;网络管理

中图法分类号:TP3文献标识码:A文章编号:1009-3044(2009)36-10193-02

Higher Network Management Practice of the use of NetFlow Technology

BIAN Jin-ding

(Changzhou Tourism Business Higher Vocational School, Changzhou 213032, China)

Abstract: The current vocational education and network office network applications such as enabling users to carry out increasingly dependent on networks, but the campus network users with poor network security forces against the status quo, to the campus network has put pressure on the safety management. This theory with practice, right in NetFlow network management vocational use of technology were discussed.

Key words: college; NetFlow; network management

1 背景

随着计算机网络技术在全球的迅猛发展与应用,网络为教育注入了新的活力。目前,大部分高职的校园网络都已具有相当的规模,要做到有效的网络管理,就需要通过有效的网络监控机制搜集相关信息,主动找出问题点并加以解决。

2 NetFlow技术原理

2.1 NetFlow简介

NetFlow技术是基于网流而发展起来的,是1996年由Cisco公司开发的一套网络流量统计技术。最初是设计作为一种缓存机制来改善访问列表的处理速度,后来网络管理人员意识到这些统计信息对网络安全的研究很有价值。目前该技术已成为事实工业标准,被包括Juniper、Extreme、Foundry等大多数主流网络设备提供商支持。

2.2 NetFlow数据格式

NetFlow版本有很多,其中NetFlow Version5是常见的NetFlow数据格式,一个NetFlow信息流由以下字段的集合识别:源IP地址(Source IP address)、目的IP地址(Destination IP address)、源端口号(Source Port Number)、目的端口号(Destination Port Number)、协议类型(Protocol type)、服务类型(Type of service)、路由器输入接口(Router input interface)。NetFlow数据报采用UDP协议发送。一个NetFlow数据报由一个报头和20-50个流记录组成。

NetFlow Version5流记录主要内容字节名称描述0-3 Srcaddr源IP地址4-7 Dstaddr目的IP地址8-11 Nexthop下一个“跳”路由器的IP地址12-15 Input and output输入和输出接口的SNMP索引16-19 DPkts流中的报文数20-23 Doctets在流的数据包中第3层字节的总数32-35 Srcport and DstportTCP/UDP源和目的端口号或相等值37 Tcp_flags TCP_flag累积OR38-39 Protand Tos IP协议和IP服务类型。

下面以目前常用的NFC2.0采集的一种流量数据为例,介绍各字段的对应含义。61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1数据中各字段的含义如下:源IP地址|目的IP地址|源端口号|目的端口号|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量

2.3 NetFlow组成部分

一个完整的NetFlow应用,从功能上分,通常需要三个部分。

1) 数据导出(NetFlow data exporter)具备NetFlow功能的路由器对流经统计接口的所有数据生成Flow记录,定期以UDP数据报的形式发送给数据库服务器。

2) 数据采集(NetFlow data collector)负责接收并存储由路由器发送的含有NetFlow统计数据的UDP数据报。

3) 数据分析(NetFlow data analyzer)借助Flow-tools工具对采集到的网络流量信息进行数据分析和统计,也可将数据导出到外部数据库,利用数据库强大的数据处理能力,对收集到的海量信息进行数据挖掘。

2.4 工作原理

NetFlow技术利用流信息,可依据源IP地址、目地IP地址对数据包进行包个数、字节数的统计。其根据网络数据包传输时连续相邻的数据包通常是往相同目的地地址传送的特性,配合Cache快取机制,利用标准路由模式处理数据流的第一个IP数据报,生成NetFlow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,同时NetFlow缓存包含了随后数据流的统计信息。

3 NetFlow技术在校园网中的应用

3.1 可行性分析

NetFlow的记录能够提供足够的信息来协助校园网管理者掌握所管辖网络中的网络异常事件,而且由于NetFlow不需要对数据包内容进行分析,大大减轻了网络设备运算处理的负担,所以很适合用来分析高速、忙碌的网络环境。由于校园网一般都设计成三层结构:核心层、汇聚层和接入层,所以在校园网的出口都设有边界路由器。从网络使用的角度看,校园网的绝大部分流量都是经过核心交换机或边界路由器访问Internet和访问网络中心服务器群的流量。通过对访问Internet和网络中心服务器群的流量分析,可以使校园网管理者及时掌握当前网络的运行状态。因此,在核心交换机和边界路由器上部署NetFlow,进行流量分析,不仅可以达到主要的校园网流量分析的目的,而且部署简便,效果显著,实施成本低。

3.2 NetFlow对常见网络攻击的应用

伴随着互联网的普及,网络上各种各样的网络攻击也随之而来,如震荡波、冲击波病毒、网络蠕虫病毒等。每一种网络攻击通常都有其特定模式,校园网络管理者可以利用Netflow技术进行流量分析、地址匹配和端口匹配,分析处理以减少异常流量发生时带来的影响和损失。首先通过对流量大小变化的监控,发现异常流量,特别是异常流量的流向,进而选择有问题的物理端口去采集数据;然后选择合适的网络设备端口,实施Netflow配置,采集问题端口的Netflow数据。通过对收集的Netflow数据进行分析,可以过滤出异常流量的源地址、目的地址、端口号和协议类型等多种信息,应用Neflow分析技术,可以根据病毒流量特征,快速定位感染病毒的IP地址及病毒端口号,并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施,从而达到抑制病毒流量传播的目的。

3.3 其它应用

还可以通过流量分析,统计校园网出口的主要流量HTTP、TCP和UDP的比例,通过查看P2P软件的常用端口4662和4672的流量,可以查找出占用大量带宽资源的BT下载、eMule下载、迅雷下载等P2P软件用户,找出网络滥用的行为,并进行适当处置以降低其所造成的伤害。

4 结束语

随着网络技术的发展,如何科学、高效地管理校园网络,是目前高职管理的重要内容。因此网络流量的统计分析及应用的作用日趋重要,Netflow技术分析网络流量因其方便、快捷、高效的特点,为越来越多的校园网管理者所接受,并成为校园网安全管理的重要手段,是数据流量采集的发展方向。

参考文献:

[1] 赵小林.网络安全技术教程[M].北京:国防工业出版社,2003.

[2] 董玉格.网络安全与实用防护技术[M].北京:人民邮电出版社,2004.