LFAP

NetFlow NetFlow Flow。

LFAP輕型流量記賬協定(Light-weight Flow Accounting Protocol,早期版本寫作Light-weight Flow Admission Protocol。
LFAP協定的詳細內容請參閱RFC2124

協定主要用途

在交換機中駐留的LFAP協定客戶程式來獲取流經該交換機的流量信息,流量信息中包括每個通信流建立的時間、源地址、目的地址、協定、源協定連線埠、目的協定連線埠、源物理連線埠、目的物理連線埠、收發位元組數、收發包數等信息。
對於一個有效的網路管理系統來說,管理功能的實現都或多或少的依賴於網路流量信息的獲取。因此網路流量信息採集可以說是網路管理系統得以實現的核心。無論是流量費用統計還是用來分析、預判網路運行狀況,對於原始數據的可 靠性和完整性的要求都是比較高的。
流量數據是 IP 網路運營管理的重要基礎數據,通過採集和分析流量數據,運營商可以了解到整個網路的運行態勢、網路負載狀況、網路安全狀況、流量發展趨勢、用戶的行為模式、業務與站點的接受程度,還可以為制定靈活的資費策略和計費方式提供依據。因此,流量分析系統對 IP 網路運營商具有越來越重要的作用。
為對運營商網路中的異常流量進行檢測,首先需要對網路中不同類型業務的正常通信進行基線分析,包括測量和統計不同業務日常的流量和流向數據並計算基線的合理範圍。
為完成上述對不同類型業務的測量工作,首先需要對網路中傳輸的各種類型數據包進行區分。由於 IP 網路的非面向連線特性,網路中不同類型業務的通信可能是任意一台終端設備向另一台終端設備傳送的一組 IP 數據包,這組數據包實際上就構成了運營商網路中某種業務的一個數據流(Flow)。如果管理系統能對全網傳送的所有 Flow 進行區分,準確記錄每個 Flow 的傳送時間、占用的網路連線埠、傳送源/目的地址和數據流的大小,就可以對運營商全網所有通信的流量和流向進行分析和統計,進而計算出正常通信的基線以及發現突發的異常通信流量。
在交換機中駐留的LFAP協定客戶程式來獲取流經該交換機的流量信息,流量信息中包括每個通信流建立的時間、源地址、目的地址、協定、源協定連線埠、目的協定連線埠、源物理連線埠、目的物理連線埠、收發位元組數、收發包數等信息。
通過分析網路中不同 Flow 間的差別,可以發現判斷任何兩個 IP 數據包是否屬於同一個 Flow。實際上可以通過分析 IP 數據包的 7 個屬性來實現,即數據包的:
△源 IP 地址
△目標 IP 地址
△源通信連線埠號
△目標通信連線埠號
△第三層協定類型
△ TOS 位元組(DSCP
△網路設備輸入(或輸出)的邏輯網路連線埠(ifIndex)
以下是 4 種常用的流量數據的採集分析方法:
(1)基於偵聽網路數據包的包分析模式;
(2)基於路由器 MIB 庫的 SNMP 代理模式;
(3)基於安插網路探針(PROBE)技術的 IP 流量數據捕獲形式;
(4)基於網路數據流(NETFLOW)技術的數據流捕獲形式;
目前流行的流量採集監控協定有:NetFlow、LFAP、sflow,都是基於網路數據流捕獲形式。
比較常用的是LFAP協定。

LFAP協定的功能

網路計費
網路設計分析
網路狀況監視
網路應用程式分析
用戶套用情況監視和數據存儲分析
LFAP 協定基於 TCP 協定,連線埠號固定為 3145。協定輸出包括:連線建立的起止時間、源地址、目的地址、協定、源協定連線埠、目的協定連線埠、源物理連線埠、目的物理連線埠、收發位元組數、收發包數等信息。此協定主機協定實現收集數據相對複雜,記賬信息收集分 FAR(流量記賬請求報文)和 FUN(流量升級通知報文)。

LFAP協定的用途

在網路實時監視、安全審計、流量分析等網路安全管理中的套用。對網路的流量和策略進行控制的方法,從而解決了大量的網路流 量監測任務。

LFAP 來源

各設備生產商都提出了自己的基於流統計解決方案,套用比較廣泛的有兩種:一種是 Cisco 設備的 NetFlow,該技術為 Cisco 的私有專利技術;另一種是 RIVERSTONE,Cabletron 等廠商支持的 LFAP,該技術已成為 IETF 標準,由 RFC 2124 以及相應的更新草案定義。
Light-weight Flow Accounting Protocol(LFAP)協定主要的功能是提供了一種手段用於了解詳細的網路資源使用情況,為網路分析、計費提供依據。

相關協定

【sFlow】同 NetFlow 一樣,sFlow 也是一種向採集器傳送報告的推送技術。所不同的是,NetFlow 是一種基於軟體的技術,而 sFlow 則採用內置在硬體中的專用晶片。這種做法消除了路由器或交換機的 CPU 和記憶體的負擔。sFlow 系統的基本原理為:分布在網路不同位置的 sFlow 代理把 sFlow 數據報源源不斷地傳送給中央 sFlow採集器,採集器對 sFlow 數據報進行分析並生成傳輸流視圖。sFlow 是一種純數據包採樣技術,即每一個被採樣的數據包的長度被記錄下來,而大部分的包則被丟棄,只留下樣本被傳送給採集器。由於這項技術是基於樣本的,如果沒有複雜的算法來嘗試推測準確的會話位元組量,那么幾乎不可能獲得每台主機流量 100% 的準確值。在使用這項技術時,交換機每隔 100 個數據包(可配置)對每個接口采一次樣,然後將它傳送給採集器。sFlow 的規格也支持 1 比 1 的採樣率,即對每一個數據包都進行“採樣”。對數據包最大採樣頻率的限制取決於具體的晶片廠商和 sFlow 實現情況。 SFLOW 可以實現以下功能:提供對客戶流量的準確統計;監視邊緣的入侵和策略破壞行為,保證網路更加安全;可視化地監聽網路流量和套用的使用情況;提供適用於容量規劃的準確數據;確認穿過核心的網路套用流量的優先權;識別來自於遠程站點的網路套用流量,確定它對伺服器的影響。目前,大部分路由器廠商支持 NetFlow,而大部分交換機廠商支持 sFlow。
【NetFlow】
NetFlow 技術最早是於 1996 年由思科公司發明的,它基於 UDP 協定,連線埠號可以任意指定。NetFflow 技術首先被用於網路設備對數據交換進行加速,並可同步實現對高速轉發的 IP 數據流(Flow)進行測量和統計。經過多年的技術演進,NetFlow 原來用於數據交換加速的功能已經逐步由網路設備中的專用 ASIC 晶片實現,而對流經網路設備的 IP 數據流進行測量和統計的功能也已更加成熟,並成為了當今網際網路領域公認的最主要的 IP/MPLS 流量分析、統計和計費行業標準。NetFlow 技術能對 IP/MPLS 網路的通信流量進行詳細的行為模式分析和計量,並提供網路運行的詳細統計數據,這些功能都是運營商在進行網路安全管理時實現異常通信流量檢測和參數定性分析所必需的。
NetFlow 技術就是利用分析 IP 數據包的源 IP 地址、目標 IP 地址、源通信連線埠號、目標通信連線埠號、第三層協定類型、TOS 位元組(DSCP)、網路設備輸入(或輸出)的邏輯網路連線埠(ifIndex)這 7 種屬性,可以快速區分網路中傳送的各種不同類型業務的 Flow。對區分出的每個數據流 NetFlow 可以進行單獨地跟蹤和準確計量,記錄其傳送方向和目的地等流向特性,統計其起始和結束時間,服務類型,包含的數據包數量和位元組數量等流量信息。對採集到的數據流流量和流向信息,NetFlow 可以定期輸出原始記錄,也可以對原始記錄進行自動匯聚後輸出統計結果。其主要具有以下功能:
①流量計費
基於 NetFlow 可實現多種計費方式,如基於流量、不同的時間段、QoS、套用類型、自治域計費等。
②安全監測
根據採集的 NetFlow 數據,可綜合進行模式匹配、基線分析等,進行 DoS/DDoS 攻擊和蠕蟲等病毒檢測,從而快速定位網路中的異常行為。
同時作為一種網路通信的巨觀分析工具,Netflow 技術並不分析網路中每一個數據包中包含的具體信息,只是對傳送的數據流的特性進行檢測,這就確保了 NetFlow 技術具有極大的規模可擴展性:支持高速網路連線埠和大型的電信網路。

相關搜尋

熱門詞條

聯絡我們