Перейти к содержанию

Настройка системы учета сетевого трафика#

Экспорт данных учета сетевого трафика#

В дополнение к локальному выводу, существует возможность экспортировать данные учета сетевого трафика на сервер сбора данных NetFlow или sFlow. В следующем примере приведена настройка экспорта данных учета сетевого трафика в формате NetFlow на удаленный сервер сбора данных с IP-адресом 192.168.10.150 и портом по умолчанию:

Пример – Экспорт данных в формате NetFlow на узел 192.168.10.150#
  1. Настройка экспорта данных в формате NetFlow на узел 192.168.10.150 
    1
2
    [edit]
admin@edge# set service flow-accounting netflow server 192.168.10.150
  2. Фиксация настройки 
    1
2
    [edit]
admin@edge# commit
  3. Отображение настройки 
    1
2
3
4
5
6
7
    [edit]
admin@edge# show service flow-accounting
   interface eth1
   netflow {
      server 192.168.10.150 {
      }
   }

Вывод данных учета сетевого трафика#

После того, как на выбранном интерфейсе был включен учет сетевого трафика, появляется возможность вывода сведений о сетевом трафике на основе:

  • интерфейса;
  • сетевого узла;
  • сетевого порта;
  • объема сетевого трафика.

В примере ниже приведен вывод данных учета сетевого трафика для интерфейса eth1.

Информация о принадлежности IP-адресов, приведенных в выводе:

  • 192.168.10.1 - Numa Edge;
  • 192.168.10.2, 192.168.10.3, 192.168.10.4 - клиентские компьютеры;
  • 192.168.10.254 - основной шлюз;
  • 192.168.10.255 - широковещательный адрес;
  • 192.168.20.11, 192.168.20.22 - DNS-серверы;
  • 8.8.8.8 - Google Public DNS.
Пример – Вывод данных учета сетевого трафика для интерфейса eth1#

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
admin@edge:~$ service flow-accounting show interface eth1
running
flow-accounting for [eth1]
Src Addr        Dst Addr        Sport Dport Proto    Packets      Bytes   Flows
192.168.10.2    192.168.10.1    5057  22      tcp         34       6172       1
192.168.10.2    192.168.10.255  137   137     udp         69       5382       6
192.168.10.2    192.168.10.255  63982 1947    udp         75       5100       1
192.168.10.3    192.168.10.255  138   138     udp         12       2904       6
192.168.10.2    192.168.10.1    5058  22      tcp         17       1560       1
8.8.8.8         192.168.10.1    0     0      icmp         13       1092       1
192.168.10.2    192.168.10.1    0     0      icmp         11        924       1
192.168.10.254  192.168.10.1    0     0      icmp          7        588       1
192.168.10.4    192.168.10.1    0     0      icmp          6        504       2
192.168.20.22   192.168.10.1    53    22365   udp          1        146       1
192.168.20.11   192.168.10.1    53    22365   udp          1        138       1
192.168.20.22   192.168.10.1    53    8845    udp          1        131       1
192.168.20.11   192.168.10.1    53    8845    udp          1        123       1

Total entries: 13
Total flows  : 24
Total pkts   : 248
Total bytes  : 24,764
В следующем примере приведен вывод данных учета сетевого трафика для узла 192.168.10.2 на интерфейсе eth1:

Пример – Вывод данных учета сетевого трафика для узла 192.168.10.2 на интерфейсе eth1#
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
admin@edge:~$ service flow-accounting show interface eth1 host 192.168.10.2
running
Src Addr        Dst Addr        Sport Dport Proto    Packets      Bytes   Flows
192.168.10.2    192.168.10.1    5057  22      tcp         34       6172       1
192.168.10.2    192.168.10.255  137   137     udp         69       5382       6
192.168.10.2    192.168.10.255  63982 1947    udp         75       5100       1
192.168.10.2    192.168.10.1    5058  22      tcp         17       1560       1
192.168.10.2    192.168.10.1    0     0      icmp         11        924       1

Total entries: 5
Total flows  : 10
Total pkts   : 206
Total bytes  : 19,138

Настройка интерфейса для учета сетевого трафика#

В данном разделе приведена настройка учета сетевых потоков на интерфейсе eth1.

Для включения учета сетевых потоков на интерфейсе нужно выполнить следующие действия в режиме настройки:

Пример - Настройка интерфейса для учета сетевого трафика#
  1. Настройка учета сетевого трафика на интерфейсе eth1 
    1
2
    [edit]
admin@edge# set service flow-accounting interface eth1
  2. Фиксация настройки 
    1
2
    [edit]
admin@edge# commit
  3. Отображение настройки 
    1
2
3
4
5
    [edit]
admin@edge# show service
   flow-accounting {
      interface eth1
   }

Общие сведения о системе учета сетевого трафика#

Numa Edge предоставляет механизм по сбору статистики и предоставлению отчетов о сетевом трафике. Данные учета могут быть выведены как локально, так и экспортированы на удаленные сервера сбора и анализа данных. Numa Edge поддерживает учет данных в формате NetFlow или sFlow.

Протокол NetFlow#

NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. NetFlow предостваляет администраторам доступ к информации о потоках IP в сети передачи данных. Поток данных определяется как однонаправленная последовательность пакетов с неким общим набором свойств, проходящих через сетевое устройство.

Для сбора информации о трафике по протоколу NetFlow требуются следующие компоненты:

  • экспортер - собирает статистику по проходящему через него трафику, объединяет пакеты в потоки и экспортирует записи потоков в один или несколько коллекторов (сборщиков) потоков;
  • коллектор - собирает получаемые от экспортера данные и помещает их в хранилище;
  • анализатор - анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты.

Экспортер выделяет из проходящего трафика потоки, характеризуемые следующими параметрами:

  • входящий интерфейс;
  • IP-адрес источника;
  • IP-адрес получателя;
  • порт источника для протоколов UDP или TCP, 0 для остальных протоколов;
  • порт получателя для протоколов UDP иили TCP, тип и код для ICMP, 0 для остальных протоколов;
  • протокол IP;
  • тип обслуживания IP-пакетов.

Каждый отдельный сеанс TCP с идентичными параметрами сетевого потока учитывается в статистике как новый сетевой поток. Поток TCP считается завершенным, если заканчивается сеанс или истекает время ожидания для потока. Может быть настроено несколько интервалов ожидания (таймаут), по истечении которых сетевой поток считается завершенным.

Для сетевых протоколов без установления соединения таких как ICMP и UDP, сетевой поток считается завершенным если в течение указанного интервала ожидания не принят ни один пакет, относящийся к данному потоку.

Включение учета сетевого трафика осуществляется отдельно для каждого интерфейса. Все пакеты, полученные на интерфейсе, будут учтены и представлены в статистических данных для интерфейса. При этом следует учитывать, что просмотр всех пакетов потребует значительных вычислительных ресурсов. В качестве альтернативы, позволяющей снизить нагрузку на систему, можно учитывать каждый n-ный пакет (n – частота выборки), и производить оценку на основе выбранных пакетов. Это позволит снизить потребляемые ресурсы по сравнению с учетом всех пакетов, при этом обеспечивая приемлемую точность.

Протокол sFlow#

sFlow — технология мониторинга трафика в сетях.

Система мониторинга sFlow включает следующие компоненты:

  • агент — обеспечивает интерфейс для настройки измерительного процесса, связанного с источником данных на устройстве, отвечает за поддержку сеансов измерения с коллекторами sFlow, собирает учетные данные в дейтаграммы sFlow для передачи коллекторам;
  • коллектор — получает дейтаграммы sFlow от одного или множества агентов sFlow.

Архитектура и методы выборки, используемые в системе мониторинга sFlow, были разработаны для обеспечения непрерывного мониторинга трафика в масштабе сайта (и предприятия) высокоскоростных сетей. В частности, было уделено особое внимание:

  • точности мониторинга при гигабитных и более высоких скоростях;
  • расширяемости системы до десятков тысяч агентов на один коллектор sFlow;
  • обеспечения максимально низкой стоимости реализации агентов sFlow.

Агент sFlow использует технологию выборки для сбора статистики трафика с обслуживаемого агентом устройства. Выборка из потока пакетов означает произвольный (случайный) отбор части потока, наблюдаемой в источнике данных. Использование выборки необходимо для достижения масштабируемости. Основываясь на определенной частоте выборки n, в среднем 1 из n пакетов, наблюдаемых в источнике данных, попадет в выборку. Этот тип выборки не дает 100% точного результата, но он дает результат с количественной точностью. По этой причине sFlow применим к высокоскоростным сетям (скорость передачи гигабит в секунду и выше).