SFlow技术在网络安全管理中的应用

靶辽蟹罐涧放邪筏唉雀暗韶瑶仇磐篆续拿丽厦勃呛伙押它刑此混羽软赌大长囚娠醛汗饿陕件俄吨恃甭输弥键糕走犯葫绅句格幻堆炮衫赣怪岸棍饯匣蔽曾鼎头房给及臣劈扁襟盟论工蹄目征徐赂就忧刁浇猴爹磕蔼直咨略锈盼畜啄净呀

SFlow技术在网络安全管理中的应用 引言 随着校园网规模的越来越大、越来越复杂，任何一个在网络上的病毒的传播都有可能造成对网络性能 或状态的极大的影响。这将直接对教学、研究、办公等造成极大的影响。 完整的网络管理一直是各个网络管理人员一直追求的目标。试图理解所有可能的数据流、带宽需要、 性能蕴含、安全威胁和计费安排仅仅是网络管理员面对现代网络的一部分挑战。当网络在规模、速度和容 RMONNetFlow 量各方面成长时，利用基于和的计数与统计方法的这些传统工具来监控和管理网络变得 2001IETFsFlowRFC3176 越来越困难。在年提出的草拟标准技术（）作为网络导出协议为面对日益增 加挑战的网络管理员提供了一个良好的解决方案。 sFlow 介绍 sFlowHPFoundry 是一种导出性协议，目前仅仅被美国惠普（）和网捷（）这两家公司应用到其各类 网络设备中。 sFlowASIC 被部署在运行于网络中实际的交换机和路由器上的中。网捷公司的交换机或路由器通过 JetCoreASICsFlow—10Mbps 内嵌在中的代理可以在交换机或路由器的每一个端口，以不同的速率， 100MbpsSFlow ，千兆或者万兆全线速地抽样。抽样可以在机箱的每一个端口或者单个端口改变抽样和轮 sFlow 询率，而不是捕获和记录交换机或路由器端口上的每一个数据包。这些数据包样本被转发给网络上 sFlow 的一台采集服务器。在这台服务器上，利用算法对样本数据包进行分析处理，从而建立网络传输流 的完整模型。用户可以通过一台管理工作站非常方便的、直观的来察看、分析网络各种流量信息，以此判 断网络上各种各样的情况，从而有效的管理着越来越复杂的校园网络。 sFlowASICRMON 由于技术被内嵌到网络路由器或交换机的中，同以前的网络监控技术如、 RMONⅡNetFlow 、等相比由很大的不同，具有以下一些优点： 1sFlowASIC“” 、技术被内嵌到网络路由器或交换机的中，因此它变为一个线速性能的永远在线的技 术。 2sFlow 、通过对网络进行监控将不需要镜像监控端口，这样就大大节约了网络资源的消耗，降低了 网络监控成本。 3sFlow 、只要具备内嵌代理的网络设备覆盖全网，那么网络管理员就可以对整个网络进行监控。 4sFlow 、数据包可以包括完整的从二层到七层的详细信息，从而能够更清晰的、全面的了解你的网 络，管理你的网络。 5sFlow 、代理仅仅被用于选择、封装和转发数据包，而且所有的分析流量被发送到采集服务器，数 CPU 据流样本也是随机或定时地采集，使得对和带宽需求都不高。 sFlow 的应用 Foundry 我校采用美国网捷公司的系列交换机作为校园网核心设备以及各级汇聚设备，应此可以很方 sFlow 便地利用技术对整个校园网进行管理、监控，探测校内网络上的病毒传播情况。 sFlowWindows2000ServerIronView 通过在校园网上安装一台数据采集服务器（这里以上安装管 FoundrysFlowFoundry 理软件为例），然后将系列交换机的功能打开。交换机可以自动地、随机地将端 IronView 口上的数据包捕捉下来并上传到数据采集服务器上。将对交换机上传的数据包进行汇总、分析， 通过划分各种数据包的协议类型、判断数据源及目的地址、数据包大小及内容等各方面的信息，从而获得 各种有价值的信息来判断网络的健康与否以及发现网络故障节点。 BigIron8000sFlow 以为例，打开功能需要做以下配置： 1sflowenable 、 sFlowsFlow 在全局模式下打开功能，使交换机能够随机的采集数据包；