第5章_网络流量分析

第五章网络流量分析2北京万博天地网络技术股份有限公司版权所有本章目标了解网络流量分析的作用了解网络流量分析的主要方法了解NetFlow流量分析协议掌握运用PRTG实现流量分析的方法3北京万博天地网络技术股份有限公司版权所有本章目录5.3PRTG流量分析软件5.2Netflow流量分析技术5.1网络流量分析概述4北京万博天地网络技术股份有限公司版权所有5.1网络流量分析概述及时、准确的流量和流向分析挖掘网络资源潜力控制网络互联成本为网络规划、优化调整和业务发展提供基础依据5北京万博天地网络技术股份有限公司版权所有5.1.1流量分析技术的应用为网络出口互联链路的设置提供决策支持掌握用户对互联网的访问情况评估分支网络的成本和价值提供重要应用统计分析基于IP的计费应用和服务等级协议(SLA)的校验服务掌握网络状况实现对网络异常通信的检测，重点防范分布式拒绝服务(DDoS)的攻击和大范围的蠕虫病毒发作为网络优化提供数据依据6北京万博天地网络技术股份有限公司版权所有5.1.2常用的流量分析技术基于流量镜像协议分析基于硬件探针的监测技术基于SNMP的流量监测技术基于NetFlow的流量分析技术7北京万博天地网络技术股份有限公司版权所有5.2NetFlow流量分析技术Cisco公司提出的网络数据包交换技术当今互联网领域主要的IP流量分析、统计和计费行业标准NetFlowV1——第一个实用版本NetFlowV5——增加了对数据流BGPAS信息的支持NetFlowV7——思科Catalyst交换机设备支持的一个NetFlow版本NetFlowV8——增加了网络设备对NetFlow统计数据进行自动汇聚的功能NetFlowV9——被IETF组织从5个候选方案中确定为IPFIX（IPFlowInformationExport）标准8北京万博天地网络技术股份有限公司版权所有5.2.1NetFlow工作原理IPFlow的概念数据流源IP地址目标IP地址源通信端口号目标通信端口号第三层协议类型服务类型(TOS)字节逻辑接口号Flow信息报文数量报文长度地址/端口…110001528…监测报文NetFlowCache启用了NetFlow的路由器9北京万博天地网络技术股份有限公司版权所有5.2.1NetFlow工作原理访问NetFlow数据的方法使用设备命令行界面（CLI）的“show”命令将数据输出到某台可以接收并处理NetFlow数据的服务器（NetFlow采集器）•NetFlow采集器生成流量分析报告的过程–在设备上启用NetFlow功能监测网络流量用以生成NetFlowCache；–在设备上做好NetFlow输出的相关设置，例如：采集器IP地址、端口号等；–NetFlowCache监测到已终止或已超时的Flow条目；–捆绑大约30至50个Flow条目，将其以UDP方式发送给采集器；–NetFlow采集器软件生成实时或历史的流量分析报告。10北京万博天地网络技术股份有限公司版权所有5.2.2在设备上配置NetFlow在接口上启用NetFlow设置NetFlow数据输出的地址Router(config)#interface接口类型接口编号Router(config-if)#iproute-cacheflow或者Router(config-if)#ipflowingress（在IOS12.2(15)T以上版本支持）Router(config)#ipflow-exportversion5（设置输出的版本格式）Router(config)#ipflow-exportdestination采集器IP地址UDP端口号11北京万博天地网络技术股份有限公司版权所有5.2.3在设备上察看NetFlow数据R3#showipcacheflow（以下是报文大小分布情况）IPpacketsizedistribution(469totalpackets):1-326496128160192224256288320352384416448480.000.968.000.031.000.000.000.000.000.000.000.000.000.000.00051254457610241536204825603072358440964608.000.000.000.000.000.000.000.000.000.000.000（以下是Flow条目统计信息及计时器设置）IPFlowSwitchingCache,278544bytes7active,4089inactive,261added1278agerpolls,0flowallocfailuresActiveflowstimeoutin30minutesInactiveflowstimeoutin15secondsIPSubFlowCache,25736bytes1active,1023inactive,38added,38addedtoflow0allocfailures,0forcefree1chunk,1chunkaddedlastclearingofstatisticsnever12北京万博天地网络技术股份有限公司版权所有5.2.3在设备上察看NetFlow数据（续）（以下是各协议的数据流分布情况）ProtocolTotalFlowsPacketsBytesPacketsActive(Sec)Idle(Sec)--------Flows/Sec/Flow/Pkt/Sec/Flow/FlowTCP-（以下是NetFlowcache）SrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsEt1/0172.16.7.2Null224.0.0.911020802081Et1/0172.16.10.2Et0/0172.16.1.8406008700871Et1/0172.16.10.2Et0/0172.16.1.8406005000501Et1/0172.16.10.2Et0/0172.16.1.8506008900891Et1/0172.16.10.2Et0/0172.16.1.8506005000501Et1/0172.16.10.2Et0/0172.16.1.860600B300B31Et1/0172.16.10.2Et0/0172.16.1.860601850185213北京万博天地网络技术股份有限公司版权所有5.3PRTG流量分析软件PaesslerRouterTrafficGrapher基于Windows平台接收带宽和网络利用的数据避免带宽和服务器性能瓶颈找出哪些应用程序或服务器耗尽带宽可以为用户交付更佳的服务质量根据实际负荷购买带宽和硬件，从而减少成本支持四种数据收集方式SNMP流量统计数据包嗅探NetFlow（V5）流量统计延时监测——使用ICMPping监测某条链路或某设备的延时情况14北京万博天地网络技术股份有限公司版权所有5.3.1创建PRTG探测器每个探测器对应于一台被监控的设备15北京万博天地网络技术股份有限公司版权所有5.3.1创建PRTG探测器（续）探测器设置向导16北京万博天地网络技术股份有限公司版权所有5.3.1创建PRTG探测器（续）选择数据收集方式SNMPPacketSniffingNetFlowCollectorLatencyMonitoringSensorAggregation17北京万博天地网络技术股份有限公司版权所有5.3.1.1创建SNMP探测器以SNMP轮询的方式收集被监控设备MIB中的流量信息也可以监控设备的系统状况例如CPU负载等5个SNMP探测器类型选项StandardTrafficSensorSNMPHelperSensorFromOID/MIBLibraryCustomSNMPsensorsDeviceTemplate18北京万博天地网络技术股份有限公司版权所有5.3.1.1创建SNMP探测器（续）输入设备SNMP相关信息19北京万博天地网络技术股份有限公司版权所有5.3.1.1创建SNMP探测器（续）选择需要监控的路由器接口20北京万博天地网络技术股份有限公司版权所有5.3.1.1创建SNMP探测器（续）设置探测器组的名称以及扫描周期21北京万博天地网络技术股份有限公司版权所有5.3.1.2创建NetFlow探测器22北京万博天地网络技术股份有限公司版权所有5.3.1.2创建NetFlow探测器（续）设置新的NetFlow采集器23北京万博天地网络技术股份有限公司版权所有5.3.1.2创建NetFlow探测器（续）设置采集器相关信息24北京万博天地网络技术股份有限公司版权所有5.3.1.2创建NetFlow探测器（续）选取探测器使用的NetFlow采集器25北京万博天地网络技术股份有限公司版权所有5.3.1.2创建NetFlow探测器（续）选取过滤器以及需要监控的协议类型26北京万博天地网络技术股份有限公司版权所有5.3.2PRTG主界面视图标签探测器详细内容27北京万博天地网络技术股份有限公司版权所有5.3.2.1视图DataView（数据视图）28北京万博天地网络技术股份有限公司版权所有5.3.2.1视图（续）EventsView（事件视图）SensorsView（探测器视图）探测器的详细状态信息看不到流量图表29北京万博天地网络技术股份有限公司版权所有5.3.2.1视图（续）CustomView（定制视图）30北京万博天地网络技术股份有限公司版权所有5.3.2.1视图（续）ReportsView（报告视图）创建流量分析报告可以定期自动生成文件形式存储或通过电子邮件发送WebBrowserView（Web视图）可以看到PRTG的Web界面31北京万博天地网络技术股份有限公司版权所有5.3.2.2流量图表Data视图和Custom视图中可以打印曲线图可以将流量数据表导出为Excel表格文件32北京万博天地网络技术股份有限公司版权所有5.3.3PRTG探测器高级设置探测器的标识采集数据的相关参数报警及限制设置通信设置等33北京万博天地网络技术股份有限公司版权所有5.3.3.1标识设置34北京万博天地网络技术股份有限公司版权所有5.3.3.2探测器参数设置35北京万博天地网络技术股份有限公司版权所有5.3.3.3报警及限制设置36北京万博天地网络技术股份有限公司版权所有5.3.3.4通信设置SNMP通信设置37北京万博天地网络技术股份有限公司版权所有5.3.3.4通信设置（续）NetFlow通信设置38北京万博天地网络技术股份有限公司版权所有5.3.4PRTGWeb界面PRTG软件内置了Web服务器功能能够提供匿名方式的访问也可以提供基于用身份验证的访问方式可以对每个探测器设置不同的用户访问权限39北京万博天地网络技术股份有限公司版权所有5.3.4.1Web服务设置40北京万博天地网络技术股份有限公司版权所有5.3.4.1访问PRTGWeb界面41北京万博天地网络技术股份有限公司版权所有本章总结网络流量分析的基本概念流量分析技术的应用常见的流量分析技术NetFlow流量分析技术NetFlow的工作原理在设备上配置NetFlow在设备上查看NetFlow信息PRTG流量分析软件的使用方法创建和设置PRTG探测器PRTG软件的各种操作界面