公司刊物

洞察网络的风吹草动——Cisco NetFlow大显神通

洞察网络的风吹草动——Cisco NetFlow大显神通

融合网络和IP电话将不断普及,通过网络流量特征提取执行容量规划和异常检测的能力将变得越来越重要。对于迫切需要实现这些功能的企业来说,Cisco NetFlow是一项期待已久的法宝。

思科卓越的IT部门管理着世界上最大、最复杂的领先企业环境之一-思科全球网。通过借鉴思科IT部门在实践中积累的经验,不同类型的企业都可以找到更好地满足自身IT需求的途径。

在思科的总收入中,93%的销售收入(每分钟33,000美元)都是利用思科互联网连接和内部网实现的。思科全球的55,000多名员工和合作伙伴依赖全球WAN与世界各地的250多个站点和远程接入VPN相连。在所有思科产品中,制造其中80%产品的合作伙伴都依赖与思科数据中心的思科外部网连接开展业务。提供支持服务时,也有大约80%的服务请求都是由思科客户通过思科技术帮助中心(TAC)提出的,而由TAC工程师通过网络执行远程排障。对思科而言,保持网络的高可用性和性能对于业务运营发挥着至为关键的作用。

为了达到这一目的,在思科公司的网络管理中,必须提取IP流量的特征,说明流量的流动方式和地点。对IP流量的监控有助于执行更加准确的流量规划。它支持资源调整,即适当利用资源,促进企业目标的实现。另外,它不但能帮助IT部门确定在哪里应用服务质量(QoS),以便优先处理重要流量,还能在网络安全方面发挥重要作用,使思科能够通过持续流量监控发现拒绝服务(DoS)袭击、网络传播蠕虫及其它意外网络事件。

NetFlow应运而生

早在2000年之时,思科几乎只依赖简单网络管理协议(SNMP)监控互联网带宽。虽然SNMP有助于容量规划,但无法提取流量特征,而只有了解了特征,才能保证业务连续性,确定是否需要增加容量才能提高利用率保证,以及评估QoS参数是否符合目标服务水平要求等。思科IT互联网服务部网络工程师Roland Dobbins表示:"我们需要更加细致地了解思科带宽的利用方式。"流量特征提取遇到的另一个困难是,许多新应用每次使用的端口都不相同,它们每次都动态选择新端口使用。

为了解决这些问题,思科开始利用Cisco NetFlow技术分析和提取网络流量的特征。利用专门开发的应用专用集成电路(ASIC)以及Cisco IOS软件和Cisco Catalyst操作系统软件的某些专用特性,Cisco NetFlow已集成到多数思科交换机和路由器中。

NetFlow是思科于1996年开发的技术,历经多年实践和不断改进,现在已经成为业界的主要网络计费技术和异常检测技术。它能够回答网络流量的"对象、内容、何时、何地和何种方式"问题。2003年,Cisco NetFlow 9被选中参与互联网国际标准制定组织IETF标准的开发。

利用IPFIX定义的格式,IP流量信息可以从输出设备,例如思科路由器,传输到分析数据的收集器应用。为输出数据,路由器将根据源IP地址和目标IP地址、源端口和目标端口、第三层协议类型、服务类型和输入逻辑接口表示每种网络流量。思科IT技术部成员John Cornell说:"我们可以将NetFlow看成是路由器和第三层交换机控制的遥感设备,它起的是传感器的作用。"

如果说入侵检测系统(IDS)和分组窥探软件是用于检查分组内容的微观分析工具,Cisco NetFlow则是能够实时提取大量流量的特征的宏观分析工具。为说明Cisco NetFlow和分组捕获程序之间的区别,Dobbins用电话帐单做了一个比喻。他说:"NetFlow用于说明谁与谁通的话、在何时通的话、通话时间有多长、使用的是哪些协议和端口以及总共交换了多少数据量。由于NetFlow在说明谈话时并不实际收听对话的内容,因而可以扩展到超大网络。与之相反,分组捕获程序则有点像窃听器,能用于揭示具体谈话的细节。"

为处理来往流量,思科在其网络中很多位置都部署了Cisco IOS的NetFlow特性,其服务的WAN接口总数超过1900个。与RMON探针相比,Cisco NetFlow更适合手机网络流量信息。虽然RMON探针也能收集到同样的信息,但必须在需要调查的每个站点和每条链路上都安装独立硬件才行。思科IT项目经理Michael Chang说:"如果利用远程监控(RMON)探针监控这么多接口,成本上肯定不允许。"不仅如此,由于NetFlow属于Cisco IOS的特性,而Cisco IOS已经运行在每台服务器上,因此,不但易于安装,还能降低硬件成本。

企业网络安全的可靠屏障

Cisco NetFlow技术在互联网和安全方面有很多应用实例,在长期的实践当中,它对思科网络的安全稳定运行功不可没。 2003年1月24日,SQL Slammer蠕虫,也称为Sapphire,在三分钟之内就传遍了全球,几乎使全世界的网络都出现了故障,包括全部自动柜员机网络和大企业网络。Dobbins说:"许多机构都认为,他们已经在星期五晚上将Slammer阻挡在了互联网边缘以外,但星期一刚上班,却发现网络又遭到了笔记本、VPN连接及其它直连设备的破坏。" 但是,思科却没有因SQL Slammer而损失业务连续性。IT部门将成功归功于团队合作、明确的通信计划、强大的网络体系结构以及Cisco NetFlow技术的有效使用。Dobbins说:"利用NetFlow,我们能够深刻了解各种事件及其严重性,因而能及时采取相应的措施。" 思科对Slammer的战斗取得了很大的成功,并向客户伸出援助之手。John Cornell说:"在袭击之后的那个星期一,思科客户就能够全面利用所需的思科资源收拾SQL Slammer袭击之后的残局。" Cisco Netflow不仅是防范病毒攻击的有效屏障,对其他袭击和意外流量也是一道坚固的防线。与其它网络公司相似,思科也时常会接收到试图发动DoS袭击的流量。DoS袭击的特征是向网络发送大量分组,这些分组的大小通常不同于普通分组,一般从不可信源地址发往同一个目的地。思科探测和防止DoS袭击的方法是,利用Cisco NetFlow收集分组的源地址、目标地址、协议号、端口号和分组大小,然后将信息发送到Arbor Peakflow DoS执行异常检测。Cisco NetFlow将指导公司使用微观分析技术阻止此类袭击。

广泛应用见成效 在内部网和外部网上,Cisco Netflow的应用还有很多实例。2001年,由于直接DSL与ISDN接入的成本迅速提高,思科将全球范围内的数千完名远程员工和远程办公室员工转向了远程接入VPN。为确定是否需要增加容量,思科使用Cisco NetFlow与各种开放源代码工具提取现有流量的特征,然后推断未来流量。利用这种业务智能,思科只用了三个月就成功地将22,000名用户移植到VPN。

通常情况下,当WAN链路上的流量增多时,公司就会投资,执行链路升级。但很多次,思科都避免了昂贵的链路升级。思科的作法是:寻找造成拥塞的应用,如果需要,修改使用策略。例如,当某办公室的流量迅速增加时,思科IT使用Cisco NetFlow和NetQoS ReporterAnalyzer寻找找到了使流量增加的应用和主机,最后发现罪魁祸首是一个非授权的HTTP应用。当思科向员工重申公司策略,禁止在公司网上传输非授权文件时,这个问题就自动消失了。

在思科,Cisco NetFlow更多的应用还包括降低高峰期WAN流量、QoS指标核实、分析VPN流量和远程员工的行为、核实电信服务商的服务等级、计算应用的总拥有成本等。John Cornell说:"Cisco NetFlow能够帮助我们提高对网络流量的洞察力,使我们不但能抵御DoS攻击以及其它形式的意外流量,正确应对各种网络威胁,还能收集宝贵的应用使用数据,更好地执行容量规划。" Cisco NetFlow不但能保证经济有效地部署应用,还能保证全球的所有员工、客户和合作伙伴随时都可以使用相应的服务。利用NetFlow数据,思科IT部门不但能防止网络受到病毒侵害或遭到袭击,还能了解当前及未来应用对网络的影响。

未来规划:发掘网络数据价值

下一步,思科IT部门打算进一步提高收集网络数据的价值,并将NetFlow的使用扩展到网络的其它部分。 思科IT部门的容量规划网络工程师Keith Brumbaugh说:"随着收集的NetFlow历史数据的增多,容量规划将变得越来越容易。如果拥有足够的历史数据进行比较,我们就能够更容易地看到历史发展趋势。不仅如此,我们还将能够了解公司网络的正常流动情况,从而更快地捕获异常流量。" 一开始,思科IT部门先在小站点利用Cisco NetFlow收集信息,收集点从互联网网关逐步发展到WAN和外部网网关。John Cornell说:"我们收集的重点是从互联网到内部网,以及从内部网到互联网的流量信息。"Roland Dobbins补充说:"以后,我们不但要把NetFlow的使用逐步扩展到内部网中,还要将容量规划扩展到园区网LAN,尤其是数据中心LAN,以及这些数据中心LAN与互联网之间的连接点中。" 以后,思科将把Cisco NetFlow的使用从公共网扩展到内部网。Roland Dobbins说:"随着无线网和VPN通道的建立,网络边界的消失,内部网的安全性成为IT安全部关注的最重要的问题。如果能对内部网和桌面网边缘的流量提取特征,就能够检测到正在产生恶意流量或试图非法访问资源的主机。"另外,思科还希望将用于互联网连接的容量规划方法扩展到思科WAN上的内部网。

如同Roland Dobbins所说:"无论是企业还是政府机构,只要是负责任的机构,就必须通过网络的有效利用实现资源调整、容量规划和安全性。"融合网络和IP电话将不断普及,通过网络流量特征提取执行容量规划和异常检测的能力将变得越来越重要。对于迫切需要实现这些功能的企业来说,Cisco NetFlow是一项期待已久的法宝。

返回

联系我们