Cisco NetFlow v9為何無人問津?
2015-06-29 11:07:42 來源: 評論:0 點擊:
雖然Cisco Systems在幾年前就推出了Netflow v9,但是大多數企業仍在堅持使用效率較低的NetFlow v5進行網絡流量監控和分析。這是因為雖然NetFlow v9實現了更深層次的監控并能夠整合網絡管理技術,但它比v5版本
雖然Cisco Systems在幾年前就推出了Netflow v9,但是大多數企業仍在堅持使用效率較低的NetFlow v5進行網絡流量監控和分析。這是因為雖然NetFlow v9實現了更深層次的監控并能夠整合網絡管理技術,但它比v5版本更復雜,更難學。不過企業最終會被迫轉向使用新版本的。
NetFlow是一個Cisco協議,它能夠產生網絡活動數據。路由器和交換機產生的NetFlow記錄會由NetFlow采集器進行編譯和分析。Cisco和Enterasys Networks的許多交換機和路由器都支持這個協議,而其他許多網絡供應商則支持其他版本,如JFlow和sFlow。
NetFlow v5是一個固定的協議,只支持網絡流量中非常基本的靜態信息,如來源和目標IP地址,但NetFlow v9是一個可擴展的協議,它允許供應商和用戶創建新的模板來導出各種網絡信息。
“您可以創建使用NetFlow傳輸的模板和自定制的測量基準分組,” Enterprise Management Associates的網絡管理技術研究主管Jim Frey說。
“假設您希望添加一個測量基準來檢查[路由器]CPU使用率或其他關于應用類型的詳細信息,那么您可以通過NetFlow v9實現。您甚至可以注入一些用于探測synflood的信息,如往返次數和標記。通過SNMP(Simple Network Management Protocol)接口從路由器中獲取的信息現在都可以使用v9注入到NetFlow記錄中。”
NetFlow v9的使用是不可避免的
再過幾年,企業將不得不采用NetFlow v9,因為NetFlow v5不支持IPv6。當IPv4地址耗盡時,企業將開始使用IPv6傳輸,那時他們就必須升級到新版本。
“部署了MPLS和/或IPv6技術的服務提供商和企業客戶都需要使用NetFlow v9統計他們網絡中的信息來進行流量分析、容量規劃或DDos[分布式拒絕服務]探測解決方案,”Cisco負責無邊界網絡的高級經理Joel Conover說。
網絡經理Ryan Laus使用Lancope的Stealthwatch收集和分析Central Michigan University網絡中的NetFlow記錄,他仍然在這個大學的網絡中使用NetFlow v5,但是他估計一旦學校開始使用IPv6,就會升級到NetFlow v9。
“我們正開始嘗試利用[NetFlow v9],而且當我們轉到IPv6時,如果我們想要繼續監控流量,就不得不使用新版本,”他說。
NetFlow v9模板的可擴展性將最終幫助Laus更好地監控大學網絡中學生所使用的端到端(P2P)流量。
“其中最吸引我們的是NetFlow v9開始檢查這些流量的數據部分,”Laus說。“它能夠讓我們監控到網絡中是否有人在傳輸非法的HTTP流量或者通過80端口使用BitTorrent而隱藏流量。它還能夠讓我們了解網絡中所使用的應用程序。它能夠標識流量,這樣我們就能夠確定生成這些流量負載的是哪一個應用程序。”
這種可見性將在容量管理方面給予Laus幫助。如果NetFlow v9監控顯示校內有6,000名學生在某天使用Netflix流媒體,那么他就知道他必須增加帶寬容量。
強大的NetFlow v9為何沒人使用?
雖然Cisco Systems在幾年前就推出了Netflow v9,但是大多數企業仍在堅持使用效率較低的NetFlow v5進行網絡流量監控和分析。為什么到現在只有20%的Cisco客戶在使用NetFlow v9呢?
應用緩慢的部分原因是由于網絡監控和管理供應商還沒有掌握NetFlow v9開放模板的使用方法,Frey說。NetFlow v5更容易使用,因為這個協議產生的記錄是靜態的,而NetFlow采集器知道記錄類型,然而,NetFlow v9是動態的。Cisco經常為這個協議發布新模板,而最終用戶也能夠在協議內創建自己的模板。NetFlow采集器通常不知道如何處理所接收到的采用新模板保存信息的記錄。
許多NetFlow采集器供應商會通過在NetFlow v9中支持一定數量的模板配置來解決這個問題,但是他們設計的產品還不能夠識別網絡管理人員在NetFlow記錄中配置的模板,Frey說。有一些NetFlow專家,如Lancope和Plixer,在處理NetFlow v9的可擴展性方面做得很好,但是其他供應商在這方面仍然比較落后,他說。
例如,Lancope仍然依賴與Cisco的緊密協作來處理NetFlow v9的變化。“現在市面上有100多種NetFlow采集器,而其中有許多都無法使用NetFlow v9的最新功能,”Lancope的CTO Adam Powers說。“他們增加了NetFlow的基本支持,如來源和目標IP地址、端口號和字節計數。但是Cisco會逐漸添加更多的功能,他們必須保證NetFlow v9不會影響現有的實現。”
即使網絡管理員擁有能夠處理新版本協議的NetFlow采集器,他可能仍然不愿意轉向新版本。NetFlow v9的靈活性在帶來強大功能的同時,也增加了其復雜性。
“如果人們擁有能夠正確創建模板的專業人員,并且在后臺擁有能夠處理不斷變化的靈活格式的工具,那么他們就可以一勞永逸了。”
使用NetFlow v9整合并改進網絡管理工具
NetFlow v9可能一開始會增加網絡管理的復雜程度,但是它的功能也使網絡管理員能夠整合他們的網絡管理工具,并能夠更精細地監控網絡行為。
網絡工程師能夠配置NetFlow v9來傳輸他們一般只通過SNMP輪詢工具才能夠收集的信息,Frey說。這個功能使企業能夠利用NetFlow采集器處理更多的網絡管理和監控需求。
“當我們開始能夠處理往返信息或者測量通信質量……(并且)將它們注入到NetFlow流中時,它能夠產生許多邊緣效應,如減少管理系統、減小管理負載、減少所需要的授權和支持、減少多個工具之間的數據關聯等。”
NetFlow相對于SNMP輪詢而言更加精細和可靠,所以網絡管理員將會發現NetFlow v9能夠提高他們的總體管理能力。
“SNMP是基于輪詢的,”Frey說。“您需要直接操控它。SNMP在網絡設備中是低優先級的功能。如果網絡很繁忙,[路由器]可能會停止響應您的信息請求,您可能在最需要數據的時候漏掉一些SNMP數據——在網絡最擁擠的時候。NetFlow采用了一個發布模型。它只負責將記錄發出,而不會做其他事。”
依賴于SNMP輪詢的工具一般在網絡設備上默認是每隔15分鐘請求一次數據。有一些設備可能會每5分鐘請求一次,Frey說。在一段時間內以更高頻率采集SNMP數據會增加網絡負擔。相反,NetFlow總是在運行的,而記錄是不停地發布,而不會造成任何的網絡擁塞。
分享到:
收藏
收藏
