基本介紹
系統組成,工作機制,分類,老化方式,輸出方法,版本格式,
系統組成
1、NDE(NetStream Data Exporter,網路流量採樣)。NDE負責對網路流進行採集和傳送,提取符合條件的流進行統計,並將統計信息輸出給NSC設備。輸出前也可對數據進行一些處理,比如聚合。配置了NetStream 功能的設備在NetStream 系統中擔當NDE 角色。
2、NSC(NetStream Collector,網路流量採集)。NSC通常為運行於Unix 或者Windows 上的一個應用程式,負責收集和存儲來自NDE的報文,把統計數據收集到資料庫中,可供NDA進行解析。NSC可以採集多個NDE設備輸出的數據,對數據進行進一步的過濾和聚合。
(3)NDA(NetStream Data Analyzer,網路流量分析)。NDA是一個網路流量分析工具,它從資料庫中提取統計數據,進行進一步的加工處理,生成報表,為各種業務提供依據(比如流量計費、網路規劃,攻擊監測)。通常,NDA具有圖形化用戶界面,使用戶可以方便地獲取、顯示和分析收集到的數據。
工作機制
(2)信息由nsc初步處理後,傳送給nda(netstream data analyzer,網路流數據分析器);
(3)nda對數據進行分析,分析結果用於計費和網路規劃等。
Netstream的實現
啟用Netstream功能後,流信息首先被存儲在netstream緩衝區中進行統計,當到達設定的老化(aging)時間後,系統就將流統計信息通過netstream統計輸出報文(即,流信息經過udp封裝以後產生的報文)傳送給nsc,並將該流信息刪除。
分類
這是一種基於“流”來實現對報文統計的技術,網路流就是IP報文,可以是TCP報文、UDP報文、ICMP報文等。
對於IPv4報文:網路流會根據IPv4的源目IP位址、源目連線埠號、協定號、ToS服務類型、輸出/入接口來定義流,相同的七元組標識為同一條流。
老化方式
Netstream流老化
網路流老化是向NSC輸出統計信息的前提,當Netstream快取區達到符合輸出的條件時,網路流才會輸出至NSC,讓NSC進行進一步的分析的做表。
流老化有五種方式
1、按活躍時間老化:當一條流的活躍時間(從流創建起到當前時間)超過所配置的時限時,流信息將被老化。
2、按不活躍時間老化:當一條流的不活躍時間(從最後一個報文流過到當前時間)超過所配置的時限時,流信息將被老化。
3、按TCP連線的FIN和RST報文觸發老化:對於TCP連線,當有FIN或者RST報文傳送時,說明一次會話的結束,因此,當一條已經存在TCP協定Netstream流中流過一條有FIN或者RST標誌的報文時,會立即該流老化。
4、統計位元組超過限制時老化:Netstream快取區中的流需要記錄流過的報文位元組數,當位元組數超過自定義的變數時,就會造成流溢出,所以系統在檢測到某條流的位元組數超過限制時,為了避免發生計數錯誤,會立即對該流進行老化。
5、強制老化:管理員可以通過手工輸入命令的方式對流進行老化處理。該功能主要是對未滿足老化條件的流進行老化,比如未到老化時間但又需要最新的老化流來統計信息,或者Netstream業務出現故障,需要對快取區中的流進行全部老化處理。
輸出方法
網路流輸出指的是當Netstream快取區中的流達到老化條件時,向NSC輸出老化流的過程,方便NSC形成資料庫便於後續分析。
Netstream流輸出方式
1、原始流輸出:所有流信息都要被統計,在達到流老化的條件後,Netstream快取區中的流全部都要輸出到Netstream伺服器。優點是可以知道每條流的詳細統計信息。缺點是消耗大量的網路資源與CPU資源。
2、聚合流輸出:在原始流的基礎上,對流進行分類和聚合,抽取能“代表”大部分流的流上傳到Netstream伺服器,從而得到聚合後的統計信息,能節省網路資源的開銷和CPU的負荷。
3、靈活流輸出:這種方式最為靈活,可以自定義形成流的條件,這些條件可以是協定號、源目IP位址、源目連線埠號等方式,從而進行分類的流統計,可以得到”最想要“得到的流統計信息。同時也減少了對網路頻寬的消耗。
版本格式
一共有V5、V8、V9和V10四個版本。
版本5:根據七元組產生原始的數據流,但報文格式固定,不易擴展。
版本8:支持聚合輸出格式,但報文格式固定,不易擴展。
版本9:基於模板方式,使統計信息的輸出更為靈活,可以靈活輸出各種組合格式的數據。版本9支持對BGP下一跳、MPLS等統計輸出。
版本10:基於模板方式,根據數據流特徵輸出統計信息。具有很強的可擴展性,對於不同的需求輸出不同格式的數據。