一、netstream
“NetStream
NetStream技術應用背景Internet的高速發展為用戶提供了更高的帶寬,支持的業務和應用日漸增多,傳統流量統計如SNMP、端口鏡像等,由於統計流量方式不靈活或是需要投資專用服務器成本高等原因,無法滿足對網絡進行更細致的管理,需要一種新技術來更好的支持網絡流量統計。
NetStream技術是一種基於網絡流信息的統計技術,可以對網絡中的業務流量情況進行統計和分析。在網絡的接入層、匯聚層、核心層上,都可以通過部署NetStream。
NetStream技術的應用有以下幾種。
l 計費:NetStream為基於資源(如線路、帶寬、時段等)占用情況的計費提供了精細的數據。Internet服務提供商可以利用這些信息來實行靈活的計費策略,如基於時間、帶寬、應用、服務質量等。企業客戶可以使用這些信息計算部門費用或分配成本,以便有效利用資源。
l 網絡規划:NetStream可以為網絡管理工具提供關鍵信息,比如各個AS域之間的網絡流量情況,以便優化網絡設計和規划,實現以最小的網絡運營成本達到最佳的網絡性能和可靠性。
l 網絡監控:通過在出口部署NetStream,對連接Internet網絡的接口進行實時的流量監控,可以分析各種業務占用出口帶寬的情況。網管人員可以根據這些信息判斷網絡的運行情況,盡早發現不合理的網絡結構或是網絡中的性能瓶頸,方便網管人員規划和分配網絡資源。
l 用戶監控和分析:通過NetStream技術可以使網絡管理者輕松獲取用戶使用網絡和應用資源的詳細情況,進而用於高效地規划以及分配網絡資源,並保障網絡的安全運行。
NetStream簡介
NetStream流定義
NetStream是一項基於“流”來提供報文統計的技術。NetStream支持二層報文、IP報文(UDP、TCP、ICMP報文)和MPLS報文的統計。
l 對於IPv4報文,IPv4 NetStream會根據IPv4報文的目的IP地址、源IP地址、目的端口號、源端口號、協議號、ToS(Type of Service,服務類型)、輸入接口或輸出接口來定義流,相同的七元組標識為同一條流。
l 對於IPv6報文,IPv6 NetStream會根據IPv6報文的目的IP地址、源IP地址、目的端口號、源端口號、協議號、流量分類、流標簽、輸入接口或輸出接口來定義流,相同的七元組標識為同一條流。
l 對於MPLS報文,可以統計MPLS報文內的IPv4/IPv6(6PE情況下)信息。如果統計IP信息,此時會根據MPLS標簽棧和IP信息共同確定一條流。”
NetStream流
NetStream是一項基於“流”來提供報文統計的技術,NetStream流就是IP報文(UDP、TCP、ICMP報文)。
- 對於IPv4報文,IPv4 NetStream會根據IPv4報文的目的IP地址、源IP地址、目的端口號、源端口號、協議號、服務類型ToS(Type of Service)、輸入接口或輸出接口來定義流,相同的七元組標識為同一條流。
轉載自:http://www.h3c.com/CN/D_200905/634610_30003_0.htm#_Toc245285341
二、sFlow
參見網絡管理和監控配置指導-整本手冊》sFlow部分。
sFlow的簡單介紹百度百科
1、定義:
sFlow是Sampled Flow的簡稱,由Inmon提出,是一種用於監控數據網絡上交換機或者路由器流量轉發狀況的技術。
sFlow系統包括若干sFlow Agent(內嵌於交換機或者路由器等轉發設備)以及一個核心的sFlow Collector。sFlow Agent通過特定的采樣技術獲取網絡設備上的流量轉發統計並實時地通過sFlow數據報文發送到Collector以供Collector進行分析,通過生成流量視圖或者報表的形式,幫助網絡管理員更加有效地管理整個站點(通常是企業級站點)的網絡流量。
2、原理:
圖8-1 sFlow報文格式
sFlow的兩種采樣
sFlow Agent提供了兩種采樣方式供用戶從不同的角度分析網絡流量狀況,分別為Flow采樣以及Counter采樣。
Flow采樣
Flow采樣是sFlow Agent設備在指定端口上按照特定的采樣方向和采樣比對報文進行采樣分析,並將分析的結果通過sFlow報文發送到Collector設備的過程。Flow采樣報文中的主要信息如表8-2所示。
Flow采樣是針對接口上報文的采樣方式,報文的采樣主要由兩種方式:固定采樣方式和隨機采樣方式。固定采樣方式是在設備上啟用一個計數器,采樣比為1/N時,初時計數器值為N ,接口每處理一個報文計數,記數器計數減一,當計數器減到0時,采樣當前的報文,重置計數器的計數為N,重復前面的處理;隨機采樣方式是指針對每一個接口處理的報文給一個隨機值(假定隨機數的取值范圍為0~N),設置一個閾值n(n ∈ [0,N]),當報文的隨機值小於這個閾值時,報文采樣,這樣實際的采樣比為n/(N+1)。從統計角度來說,隨機采樣方式采集的樣本更加能夠體現整個樣本空間的情況,因此目前主要采用的采樣方式為隨機采樣方式。
表8-2 Flow采樣報文中主要字段信息說明(交換機支持)
| 字段內容 |
說明 |
|---|---|
| Raw packet |
截取原始報文全部或者一部分報文頭(具體截取多長的長度由配置決定),將這部分原始報文封裝到sFlow報文中發送給Collector。 |
| Ethernet Frame Data |
針對Ethernet報文,解析報文的Ethernet頭信息,將解析數據封裝到sFlow報文中發送給Collector。 |
| IPV4 Data |
針對IPV4報文,解析報文的IPV4頭信息,將解析數據封裝到sFlow報文中發送給Collector。 |
| IPV6 Data |
針對IPV6報文,解析報文的IPV6頭信息,將解析數據封裝到sFlow報文中發送給Collector。 |
| Extended Switch Data |
針對二層轉發的Ethernet報文,記錄報文的vlan轉換以及vlan優先級的轉換,將轉發信息封裝到sFlow報文中發送給Collector。 vlan Id為0時表示無效vlan。 |
Counter采樣
Counter采樣是sFlow Agent設備周期性的獲取接口上的流量統計,並將這些統計信息通過sFlow報文發送給Collector設備的過程。Counter采樣報文中的主要信息如表8-3所示。
表8-3 Counter采樣報文中主要字段信息說明
| 字段內容 |
說明 |
|---|---|
| Generic Interface Counters |
通用接口統計信息,包括接口的基本信息,通用的接口流量統計。 |
| Ethernet Interface Counters |
針對於Ethernet接口,用於統計Ethernet相關的流量統計信息。 |
| Token Ring Counters |
用於令牌環網,用於統計令牌環網相關流量統計信息。 |
| 100 Base VG Interface Counters |
應用於IEEE 802.12接口,用於統計該類接口的流量統計信息。 |
| Vlan Counters |
用於按照vlan統計Ethernet設備流量統計信息。 |
| Processor Information |
用於統計設備CPU占用率,內存使用情況。 |
3、作用
sFlow典型應用
如圖1-1所示,sFlow系統包含一個嵌入在設備中的sFlow Agent和遠端的sFlow Collector。其中,sFlow Agent用於獲取本設備上的接口統計信息和數據信息,將信息封裝成sFlow報文,當sFlow報文緩沖區滿或是在sFlow報文緩存時間(緩存時間為1秒)超時后,sFlow Agent會將sFlow報文發送到指定的sFlow Collector。sFlow Collector對sFlow報文進行分析,並顯示分析結果。
4、網絡流量的統計技術之一,相較於netstream,更顯輕量。
參考鏈接:
https://blog.csdn.net/a_lber_t/article/details/89526519
原文鏈接;https://blog.csdn.net/a3192048/article/details/86475878