网络流信息的统计技术NetStream

小乔

NetStream简介
定义
NetStream是一种基于网络流信息的统计技术，可以对网络中的业务流量情况进行统计和分析。

目的
Internet网络的高速发展为用户提供了更高的带宽，支持的业务和应用日渐增多，企业客户需要对网络进行更加细致的管理和计费，这样就对流量统计分析提出了更高的要求。传统流量统计如SNMP、端口镜像等，由于统计流量方式不灵活存在局限性（如表11-1所示），无法满足对网络进行更细致的管理，因此需要一种新技术来更好的支持网络流量统计。

在这样的背景下，NetStream应运而生。通过NetStream，可以对网络中的业务流量和资源使用情况进行分类统计，并将统计信息发送至服务器（可以是专用的服务器，也可以是安装有NetStream网管软件的网管系统）进行更为详尽的统计分析。

表11-1  传统的流量统计的实现方法和局限性
名称

实现方法

局限性

基于IP报文计数

在路由表中存放计数器索引，对通过设备的字节和包分别计数。

统计的信息简单，无法针对多种信息进行统计。

使用ACL

通过ACL精确的匹配流，匹配后进行计数。

要求ACL的容量很大，对于ACL规则以外的流没有办法统计。

SNMP协议

使用网管协议，能够实现一些简单的统计功能，比如接口计数、IP报文计数、ACL匹配计数等。

功能不强。要不断的通过轮询向网管查询，浪费CPU和网络资源。

端口镜像

通过端口镜像，把流量复制一份，发送至专用的服务器进行统计分析。

成本高，需要购买专用的服务器进行统计，同时消耗设备的一个接口，对于无法镜像的端口无能为力。

物理层复制

在物理层通过分光器或者其他设备复制流量，发送至专用的服务器进行统计。

成本高，需要购买专用的服务器进行统计，同时还需要购买专用的硬件设备。

受益
计费：

NetStream为基于资源（如线路、带宽、时段等）占用情况的计费提供了精细的数据，这些数据包括IP地址、包数、字节数、时间、ToS和应用类型等。企业客户可以使用这些信息计算部门费用或分配成本，以便有效利用资源。

网络监控：

NetStream能够实现近于实时的网络监控功能。通过在连接Internet的接口部署NetStream，可以对网络出口进行实时的流量监控，分析各种业务占用出口带宽的情况。网管人员可以根据这些信息判断网络的运行情况，尽早发现不合理的网络结构或是网络中的性能瓶颈，方便企业客户规划和分配网络资源。

用户监控和分析：

通过NetStream可以获得用户网络资源利用的详细情况，进而用于高效地规划以及分配网络资源，并保障网络的安全运行。

NetStream的基本原理
NetStream系统的组成
一个典型的NetStream系统由网络流数据输出器NDE（NetStream Data Exporter）、网络流数据收集器NSC（NetStream Collector）和网络流数据分析器NDA（NetStream Data Analyzer）三部分组成，如图11-1所示。

图11-1  NetStream系统组成图

NDE

NDE负责对网络流进行分析处理，提取符合条件的流进行统计，并将统计信息输出给NSC。 输出前也可对数据进行一些处理，比如聚合。配置了NetStream功能的设备在NetStream系统中担当NDE角色。

NSC

NSC通常为运行于Unix或者Windows上的一个应用程序，负责解析来自NDE的报文，把统计数据收集到数据库中，可供NDA进行解析。NSC可以采集多个NDE设备输出的数据，对数据进行进一步的过滤和聚合。

NDA

NDA是一个网络流量分析工具，它从NSC中提取统计数据，进行进一步的加工处理后生成报表，为各种业务提供依据（比如流量计费、网络规划、攻击监测）。通常，NDA具有图形化用户界面，使用户可以方便地获取、显示和分析收集到的数据。


在实际的应用中，NSC和NDA一般集成在一台NetStream服务器上。

NetStream的工作机制
如图11-1所示，NetStream系统的工作过程如下：

配置了NetStream功能的设备（即NDE）把采集到的关于流的详细统计信息定期发送给NSC；
信息由NSC初步处理后发送给NDA；
NDA对数据进行分析，以用于计费、网络规划等应用。
通常情况下，数通产品在NetStream系统中担任NDE角色，所以本文档接下来的内容重点介绍NDE的实现。在设备上的NetStream功能实现如下：

图11-2  NetStream功能原理图

如图11-2所示，配置了NetStream功能的设备（即NDE）业务流量正常转发。设备的NetStream模块按一定的采样方式进行NetStream采样，接下来对采样数据建立NetStream流，接着按一定的老化方式对流进行NetStream流老化处理，最后按一定的输出方式以及相应的版本进行NetStream流输出。至此，就完成了NDE设备最主要功能：把采集到的关于流的详细信息定期发送给NetStream服务器。

NetStream采样
对接口出/入方向的流量使用NetStream采样的方法。通过设定适当的采样间隔，只针对样本报文进行流信息统计分析，收集到的统计信息也可以基本正确地反映整个网络流的状况，同时也能降低使能NetStream功能对设备性能的影响。

NetStream采样有四种方式：
随机报文间隔采样：

在此模式下，报文在配置数目间隔内被随机采样。即，如果报文间隔数配置为100，则每100个报文随机采样1个报文。适用于有规律的流量。

固定报文间隔采样：

在此模式下，报文在配置数目间隔内被周期采样。即，如果报文间隔配置数为100，假设在第5个报文被采样后，则每隔100个报文都会再次采样，如第105个报文会再采集一次，以此类推采样下去。适用于网络流量统计计费。

随机时间间隔采样：

在此模式下，报文在配置时间间隔内被随机采样。即，如果报文间隔时间配置为100，则每100毫秒随机采样1个报文。适用于有规律的流量。

固定时间间隔采样：

在此模式下，报文在配置时间间隔内被周期采样。即，如果报文间隔时间配置为100，假设在第5毫秒进行第一次采样后，则每隔100毫秒都会再次采样，如第105毫秒时会再采集一次，以此类推采样下去。适用于网络流量较大的情况。

游客，如果您要查看本帖隐藏内容请回复

xtl－0

000000000000000000000000

solo_882

roklul

Thank your share

harry898

企业网于 thanks for your sharin

harry898

企业网于 thanks for your sharin