HomeSupportResource CenterRoutersH3C SR8800 Router SeriesH3C SR8800 Router SeriesTechnical DocumentsConfigure https://www.h3c.com/en/d_201211/761967_294551_0.htm» target=»_blank»]www.h3c.com[/mask_link]
Overview of NetStream
Faced with ever-increasing Internet services and applications, enterprises require powerful network management and accounting systems. NetStream was developed to meet these requirements. NetStream addresses the limitations (Table 11-1) of the technologies traditionally used in the industry for traffic statistics collection, such as SNMP and port mirroring. NetStream collects service traffic statistics and resource usage based on traffic classification and sends the statistics to a dedicated server or a network management system (NMS) with NetStream software installed for further analysis.
- Wastes CPU and network resources by continuously polling the NMS for statistics collection.
- Is not robust enough.
Based on port mirroring
Проект миграции сети на решения Huawei. Опыт «Инфосистемы Джет»
Duplicates traffic passing through a port and sends the duplicated traffic to a dedicated server for statistics and analysis.
Requires a dedicated server, occupies an interface, and requires that the interface support port mirroring.
Based on traffic duplication at the physical layer
Duplicates traffic using an optical splitter or other devices at the physical layer and then sends the duplicated traffic to a dedicated server for statistics.
Requires a dedicated server and additional hardware.
Benefits
- Accounting
- Number of packets
- Number of bytes
- IP addresses
- Time
- Types of Service (ToS)
- Application type
Источник: support.huawei.com
Сравнение различный форматов сетевых потоков (flows)
Сравнение различный форматов сетевых потоков (flows) 18.12.2018 15:07
- Flowexporter – экcпортер flow, создает записи flow путем объединения информации о пакете и экспортирует записи в один или несколько коллекторов (например, зонд Flowmon Probe).
- Flow collector – коллектор flow, собирает и хранит данные flow (например, Flowmon Collector).
- Analysis application – анализ приложений, позволяет визуализировать и анализировать полученные данные flow (например, Flow Monitoring Center – встроенное приложение с функцией мониторинга и анализа для Flowmon Collector).
Изначально Cisco разрабатывал протокол для собственных решений. Другие производители последовали примеру такого подхода и создали более или менее схожие форматы данных flow.
CISCO STANDARDS
NETFLOW V5
Первый широко используемой версией был протокол NetFlow v5, который стал доступен в 2006 году. Он до сих пор является самым распространенным, и поддерживается рядом роутеров и свитчей. Тем не менее, он уже не соответствует требованиям точного flow-мониторинга, и он не поддерживает IPv6 трафик, MAC адрес, VLAN и другие расширения.
Курс Huawei HCIP Datacom. Лекция 19. Использование зон в OSPF .
NETFLOW V9
NetFlow v9 привнес несколько дополнений. Самое важное из них связано с поддержкой шаблонов, которая позволяет осуществлять настраиваемый экспорт flow, и обеспечивает то, что NetFlow может быть адаптирован для поддержки новых протоколов. Другие доработки связаны с появлением поддержки IPv6, Virtual Local Area Networks (VLANs) и Multiprotocol Label Switching (MPLS) и других функций. NetFlow v9 используется в большинстве современных роутеров и коммутаторов Cisco.
FLEXIBLE NETFLOW
Cisco продолжает работать над технологией NetFlow. Следующее поколение получает название Flexible NetFlow, и вскоре имеет расширение NetFlow v9. Все, что может экспортировать NetFlow становится настраиваемым под требования пользователя, что позволяет клиентам экспортировать практически любые данные, которые проходят через роутер.
NSEL
NSEL (NetFlow Security Event Logging) позволяет экспортировать информацию брандмауэра из семейства устройств Cisco ASA, обеспечивающих защиту сети. Он использует протокол NetFlow, но запрашивает другую интерпретацию и имеет другие случаи применения: цель NSEL – это отслеживание событий и журналов межсетевого экрана через NetFlow.
RELATED STANDARDS
IPFIX
Описание протокола IPFIX (Internet Export Flow Information eXport) было опубликовано комитетом IETF в 2008 году. IPFIX является производным от NetFlow v9 и должен служить универсальным протоколом для экспорта информации о flow-потоках из сетевых устройств в коллектор или NMS (систему управления сетью). IPFIX является более гибким, чем NetFlow, и позволяет расширять данные flow-потока дополнительной информацией о сетевом трафике. Например, наши надстройки Flowmon IPFIX расширяют данные IPFIX flow метаданными протокола с уровня приложений, статистикой производительности сети и другой информацией.
В настоящее время некоторые устройства Cisco поддерживают только традиционный NetFlow протокол, в то время как другие поддерживают Flexible NetFlow или сразу оба протокола.
JFLOW, NETSTREAM
Оба протокола основаны на оригинальном стандарте Cisco NetFlow. jFlow был разработан компанией Juniper Networks, NetStream – компанией Huawei.
Прочие стандарты
SFLOW
В отличие от NetFlow, работа sFlow основана на выборке. Агент sFlow получает статистику трафика с использованием порта выборки sFlow, формирует пакеты данных sFlow, которые затем отправляются в коллектор. sFlow предоставляет два режима выборки – flow-выборка и выборка счетчика:
• Flow-выборка, когда агент sFlow производит выборку пакетов в одном или обоих направлениях в интерфейсе, исходя из коэффициента выборки, и анализирует пакеты для получения информации о содержимом пакетных данных.
• Выборка счетчика, при которой агент sFlow периодически получает статистику трафика в интерфейсе.
Выборка потока фокусируется на деталях трафика для мониторинга и анализа поведения трафика в сети, в то время как выборка счетчика фокусируется на общей статистике трафика.
Однако из-за выборки пакетов невозможно получить точное представление о трафике, и часть трафика будет пропущена. Поэтому выборка может ограничить использование данных потока в таких случаях, как обнаружение аномалий в сети. С другой стороны, он может быть использован для топ-статистики или обнаружения DDoS-атак.
Какие форматы поддерживаются Flowmon?
Наш автономный зонд Flowmon Probe позволяет экспортировать данные flow в форматах NetFlow v5/v9 и IPFIX. Кроме того, зонд может использовать расширение Flowmon IPFIX, которое позволяет расширять данные потока дополнительной информацией, такой как статистика производительности сети (например, время приема-передачи, время отклика сервера и jitter) и информация из протоколов приложений (HTTP, DNS, DHCP, SMB, E-mail, MSSQL и другие).
Flowmon Collector может обрабатывать статистику сетевого трафика из различных источников данных и стандартов потока, включая:
- NetFlow v5/v9
- IPFIX
- NetStream
- jFlow
- sFlow, NetFlow Lite
Заключение: Какой формат flow использовать?