Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
MỤC LỤC
DANH SÁCH HÌNH ẢNH SỬ DỤNG
1.1. Lý do chọn đề tài 2
1.2 Mục đích chọn đề tài 2
1.3. Giới thiệu công cụ thực hiện 4
1.4. Giới thiệu về cơ sở thực tập 4
2.1 Lịch sử phát triển 7
2.2. Khái niệm 8
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 3
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Danh sách hình ảnh sử dụng
Hình 2.1: Mô hình mạng Netflow
Hình2.2: Ví dụ về một NetFlow cache
Hình 3.1: Mô hình mạng cơ bản
Hình 3.2: Cấu hình qua Telnet
Hình 3.3: Sử dụng Dynamip để chạy hệ điều hành
Hình 3.4: Giao diện chương trình
Hình 3.5: Trạng thái Route
Hình 3.6: Chọn khoảng thời gian trống cho thiết bị
Hình 3.7: Không có thời gian trống của hệ thống
Hình 3.8: Giao diện chương trình
Hình 3.9: Ping IP sau khi cấu hình
Hình 3.10: Biểu đồ biểu hiện lưu lượng theo thời gian và bảng thể hiện
lưu lượng theo ứng dụng
Hình 3.11: phân tích lưu lượng của ứng dụng
Hình 3.12: Cập nhập mới dữ liệu mạng
Hình 3.13: Biểu đồ biểu hiện lưu lượng theo thời gian và bảng thể hiện
lưu lượng theo ứng dụng
Hình 3.14: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
Hình 3.15: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích

Hình 3.16: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
Hình 3.17: Phân loại lưu lượng theo địa chỉ IP nguồn và IP đích
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 4
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
LỜI MỞ ĐẦU
Phân tích tình hình mạng, lưu lượng mạng thông qua các báo cáo và một
số tài liệu khác có ý nghĩa rất quan trọng không những đối với các cơ quan
doanh nghiệp nhà cung cấp và các cơ quan hữu quan khác. Giám sát lưu
lượng mạng được thể hiện trên nhiều góc độ khác nhau
Netflow là một công cụ nhúng trong các phần mềm IOS của Cisco để
phân tích hoạt động của mạng. Đây là một công cụ không thể thiếu cho
người quản trị mạng chuyên nghiệp. Để đáp ứng lại các đòi hỏi và nhu cầu
cấp bách của hệ thống mạng, việc tìm hiểu xem quá trình hoạt động của
mạng ra sao là rất quan trọng.
Netflow của Cisco có thể đáp ứng được tất cả những yêu cầu trên. Nó
tạo ra một môi trường mà người quản trị mạng có đầy đủ các công cụ để
biết được thời gian địa điểm, đối tượng cũng như cách thức lưu thông của
lưu lượng mạng. Khi mà hoạt động của mạng được nắm vững thì hiệu quả
của mạng tăng lên rất nhiều. Báo cáo tốt nghiệp của em được trình bày qua
ba chương:
Chương 1: Giới thiệu về đề tài
Chương 2: Tìm hiểu về Netflow
Chương 3: Cấu hình Netflow
Em xin chân thành cám ơn Thạc Sĩ Cao Thu Hương – giảng viên bộ
môn công nghệ thông tin đã tận tình giúp đỡ em hoàn thiện đề tài này. Em
cũng xin chân thành cám ơn các cô chú trong ban lãnh đạo Công ty cổ
phần VTC đã tạo điều kiện thuận lợi cho em trong công việc tại công ty và
hoàn thành tốt báo cáo tốt nghiệp này.
Hà Nội ngày 25 tháng 05 năm 2012
Sinh viên thực hiện

Nguyễn Tuấn Hoàng
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 1
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
CHƯƠNG 1: GIỚI THIỆU VỀ
ĐỀ TÀI
1.1. Lý do chọn đề tài
Với một niềm say mê và định hướng cho tương lai, với đề tài mà em
nghiên cứu phần lớn đã nói lên được niềm say mê nghiên cứu, tìm hiểu những
công nghệ mới ngày một phát triển để áp dụng công nghệ thông tin trong cuộc
sống. Em chọn đề tài là vì:
 Định hướng cho tương lai
 Tìm hiểu công nghệ mới áp dụng vào cuộc sống
 Có niềm say mê nghiên cứu
1.2 Mục đích chọn đề tài
ManageEngine NetFlow Analyzer là một trang webside dựa trên công cụ
giám sát băng thông Gathers NetFlow từ số liệu thống kê của Cisco để cung cấp
các thiết bị trong sâu phân tích lưu lượng truy cập mạng và băng thông sử dụng.
Nó giúp các quản trị viên hiểu được những tác động của ứng dụng lưu lượng truy
cập trên mạng hiệu suất tốt hơn và xác định các ứng dụng băng thông tiêu thụ
quá nhiều. Sử dụng thông tin này, các quản trị viên có thể mất corrective các biện
pháp để cải thiện hiệu suất mạng và chủ động quản lý băng thông có sẵn:
- Phân tích giản Bandwidth: Xem băng thông sử dụng các mẫu và tạo ra
các báo cáo trên mạng LAN và Sickly liên kết mà không cần phải triển
khai phần cứng đắt tiền Probes.
- NetFlow Analyzer bao gồm các đồ thị khác nhau và báo cáo với các
tùy chọn để khoan xuống cho các chi tiết cụ thể, cung cấp cho bạn các
quyền truy cập vào những thông tin đó là quan trọng nhất cho bạn.
Xem đồ thị trực tuyến cho các thời điểm khác nhau, xuất khẩu chúng
dưới dạng PDF.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 2

Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
- Hữu ích trong , và thiết lập, tính năng này trong NetFlow Analyzer cho
phép bạn nhóm các thiết bị xuất khẩu NetFlow vào chuyên mục khác
nhau, chúng giám sát độc quyền, và cấp quyền truy cập đặc quyền cho
người sử dụng.
- Cấu hình lưu lượng truy cập: NetFlow Analyzer xác định hầu hết các
doanh nghiệp applications như Seer, PeopleSoft… tự động và tuỳ
chỉnh các ứng dụng có thể dễ dàng nhận ra, bởi một sự kết hợp của các
cổng và giao thức được sử dụng.
- Có thẩm quyền truy cập: NetFlow Analyzer cho phép bạn tạo ra bất kỳ
số lượng người sử dụng, với việc cho phép truy cập khác nhau và chọn
lọc cho phép lưu lượng truy cập để xem đồ thị, tạo ra các báo cáo lưu
lượng truy cập, vv.
- Dựa trên net truy cập từ xa: NetFlow Analyzer cung cấp một trang
spider’s web dựa trên giao diện người sử dụng làm cho nó dễ dàng để
xem các báo cáo và lưu lượng truy cập các snapshots Sickly của các
liên kết từ bất cứ nơi nào trên mạng bằng cách sử dụng chỉ cần một
trình duyệt spider’s web.
- Đa nền tảng triển khai: NetFlow Analyzer có thể được chạy trên
Windows, Linux, Solaris và nền tảng làm cho nó thích hợp cho việc sử
dụng đa dạng các doanh nghiệp.
- Giải pháp giá cả phải chăng : NetFlow Analyzer là giá thấp, và chạy
như là một stand-một mình không giống như hầu hết các công cụ quản
lý mạng lưới cung cấp các giải pháp phân tích NetFlow.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 3
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
1.3. Giới thiệu công cụ thực hiện
Để thực hiện đề tài, sử dụng các công cụ sau:
 Phần mềm Netflow Analyzer 7
 Route

 Phần mềm Tera Team để Telnet vào cấu hình
 Phần mềm Dynamip
 Phần mềm Wireshark (Tham khảo thêm)
1.4. Giới thiệu về cơ sở thực tập
Tổng Công ty Truyền thông Đa phương tiện Việt Nam (tên giao dịch quốc tế
là Vietnam Multimedia Corporation hay Vietnam Television Corporation - VTC)
là doanh nghiệp trực thuộc Bộ Thông tin và Truyền thông Việt Nam.
Địa chỉ liên hệ: 65 Lạc Trung - Hà Nội
Điện thoại: 04.34501101
04. 34501114
Fax: 04.39439867
Website:
Trong 22 năm hình thành và phát triển VTC liên tục kinh doanh có lãi, từ
năm 2005 – 2010 tăng trưởng 200%/năm. VTC đã trở thành đơn vị đi tiên phong
trong lĩnh vực hội tụ đa phương tiện Truyền hình – Viễn thông – CNTT. Hiện
nay, Tổng Công ty VTC đang hoạt động theo mô hình Công ty Mẹ - Công ty
Con, gồm 32 đơn vị thành viên, được phân chia thành 3 khối: Khối truyền thông,
Khối Công nghệ và Nội dung số và Khối Viễn thông. Tổng số CBCNV của
Tổng Công ty VTC hiện có hơn 3.000 người (chưa kể hệ thống CTV), với gần
70% có trình độ đại học, hơn 2/3 là lao động trẻ được đào tạo chuyên ngành
chính quy, có trình độ chuyên môn cao.
Ngày 22/9/2010, Thủ tướng Chính phủ đã ký quyết định số 1755/QĐ-TTg
Phê duyệt đề án “Đưa Việt nam sớm trở thành nước mạnh về công nghệ thông tin
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 4
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
và truyền thông”, tạo cơ sở pháp lý để Tổng Công ty VTC đổi mới mô hình quản
lý theo hướng “Hình thành Tập đoàn Truyền thông Đa phương tiện Việt nam.
Theo chỉ tiêu phát triển của đề án, đến năm 2015, VTC là một trong 4 tập đoàn
CNTT của VN đạt trình độ, quy mô khu vực ASEAN, có các hoạt động kinh
doanh trên thị trường quốc tế, có tổng doanh thu đạt trên 10 tỷ USD và tăng lên

15 tỷ USD vào năm 2020. VTC hoàn toàn đáp ứng những yêu cầu của Chính
phủ về tiêu chí để thành lập Tập đoàn từ năm 2011. Việc VTC trở thành Tập
đoàn sẽ hình thành Tập đoàn kinh tế Nhà nước mạnh đầu tiên của VN về lĩnh vực
truyền thông đa phương tiện, xây dựng ngành kinh tế truyền thông trở thành
ngành kinh tế mũi nhọn của đất nước để tăng cường sức mạnh cạnh tranh trong
nước và hội nhập kinh tế truyền thông quốc tế.
• Khối Truyền Thông
Tổng Công ty VTC cũng là đơn vị đầu tiên nghiên cứu và đưa công
nghệ truyền hình kỹ thuật số vào VN. Đài Truyền hình Kỹ thuật số với đầy đủ
trang thiết bị mang tầm cỡ khu vực. VTC đã chính thức cung cấp tổng số lên 5
gói kênh truyền hình HD và SD, phát sóng đầy đủ 30 kênh truyền hình độ nét cao
(HD) và 70 kênh truyền hình độ nét tiêu chuẩn (SD). VTC trở thành đơn vị đầu
tiên phát sóng đạt kỷ lục tới 100 kênh truyền hình.
Theo định hướng trở thành Tập đoàn, VTC sẽ trực tiếp đầu tư, quản lý hoạt
động của các cơ quan báo chí trực thuộc: Phát thanh, truyền hình, báo in, tạp
chí, báo điện tử, trang tin điện tử,… dưới định hướng của Bộ TT-TT và sự chỉ
đạo của Chínhgphủ
• Khối Viễn Thông
Dịch vụ viễn thông của Tập đoàn VTC phát triển mạnh mẽ, sở hữu tất cả
các giấy phép:
- Cung cấp dịch vụ kết nối Internet (IXP)
- Cung cấp dịch vụ truy nhập Internet (ISP)
- Cung cấp dịch vụ điện thoại cố định(PSTN) và VoIP
- Nhà cung cấp dịch vụ WIMAX/LTE thử nghiệm
- Cung cấp mạng dịch vụ điện thoại di động ảo (cung cấp dịch vụ di
động không phát triển hạ tầng)
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 5
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
• Khối Công nghệ và nội dung số
- Khối Công nghệ và Nội dung số (VTC Intecom, VTC Online, , EAC,

VTC Mobile và chi nhánh VTC tại Tp Hồ Chí Minh) được thành lập năm
2006, sau 5 năm hoạt động đã lần lượt trở thành:
- Nhà cung cấp nội dung di động số 1 (2006)
- Nhà cung cấp dịch vụ Game Online số 1 (2007)
- Nhà cung cấp dịch vụ Ngân hàng điện tử số 1 (2008)
- Công ty đa quốc gia với 10 công ty con trên toàn cầu (2009).
- Ngày 19/5/2010, Mạng Việt Nam Go.vn, mạng xã hội giáo dục - giải trí
tương tác đầu tiên của cộng đồng mạng Việt Nam và do người Việt Nam
làm chủ đã chính thức ra mắt. Đây là dự án lớn nằm trong chủ trương và
kỳ vọng của Chính phủ, Bộ Thông tin & Truyền thông, sự ủng hộ và
mong đợi của các doanh nghiệp và cộng đồng mạng Việt Nam, với mục
tiêu huy động trí tuệ người Việt Nam để xây dựng mạng thông tin khổng
lồ của người Việt Nam, sản phẩm trí tuệ, công nghệ cao có quy mô và tầm
vóc thế giới về giáo dục, giải trí và chia sẻ thông tin. Hiện, mạng Việt
Nam đã xây dựng 34 phân hệ cho người dùng, tập trung vào Giáo dục,
Giao tiếp và Giải trí, tương tác với người dùng trên đồng thời cả Internet,
Viễn thông và Truyền hình
• Định hướng của Khối đến năm 2015
- Nhà cung cấp dịch vụ CNTT và Nội dung số số 1 ASEAN
- Việt Nam trong TOP 10 quốc gia trên thế giới về Nội dung số
- 10 triệu Ngôi nhà số Việt Nam (Gia đình VTC)
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 6
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
CHƯƠNG II: TÌM HIỂU VỀ NETFLOW
2.1 Lịch sử phát triển
NetFlow là một công nghệ của Cisco chuyển mạch gói cho các thiết bị định
tuyến Cisco IOS 11.x , thực hiện khoảng năm 1990. Ban đầu là một phần mềm
thực hiện cho Cisco 7000, 7200 và 7500, nơi nó được nghĩ như là một cải tiến so
với phần mềm chuyển mạch hiện hành sau đó nhanh Cisco.
Ý tưởng là các gói tin đầu tiên của dòng chảy sẽ tạo ra một hồ sơ chuyển đổi

NetFlow. Hồ sơ này sau đó sẽ được sử dụng cho tất cả các gói sau cùng của dòng
chảy, cho đến khi hết thời hạn của dòng chảy. Chỉ có các gói tin đầu tiên của một
dòng chảy sẽ yêu cầu một cuộc điều tra của bảng định tuyến để tìm các tuyến
đường kết hợp cụ thể nhất. Đây là một hoạt động tốn kém trong việc triển khai
phần mềm, đặc biệt là những người không có cơ sở thông tin chuyển tiếp. Biên
bản NetFlow chuyển đổi đã được thực sự một số loại hồ sơ bộ nhớ cache tuyến
đường, và các phiên bản cũ của IOS vẫn đề cập đến bộ nhớ cache NetFlow ip
route-cache.
Công nghệ này là thuận lợi cho các mạng địa phương. Điều này đặc biệt đúng
nếu một số lưu lượng truy cập đã được lọc bởi một ACL (Access Control List)
như chỉ có các gói tin đầu tiên của một dòng chảy đã được đánh giá bởi các ACL.
NetFlow chuyển đổi nhanh chóng chuyển sang không phù hợp cho các thiết
bị định tuyến lớn, đặc biệt là thiết bị định tuyến đường trục Internet, nơi mà số
lượng của dòng chảy đồng thời là quan trọng hơn nhiều so với những người trên
mạng lưới địa phương, và một số giao thông gây ra rất nhiều dòng chảy thời gian
sống ngắn, như hệ thống tên miền. Tên yêu cầu (có cổng nguồn là ngẫu nhiên vì
lý do an ninh). Là một công nghệ chuyển đổi, NetFlow được thay thế khoảng
năm 1995 bởi Cisco (Cisco Express Forwarding ). Điều này đầu tiên xuất hiện
trên các bộ định tuyến Cisco 1200, và sau đó thay thế chuyển mạch NetFlow trên
tiên tiến IOS cho Cisco 7200 và Cisco 7500.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 7
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Năm 2012, công nghệ tương tự như chuyển đổi NetFlow vẫn còn được sử
dụng trong hầu hết các bức tường lửa và bộ định tuyến IP dựa trên phần mềm. Ví
dụ tính năng Conntrack Netfilter khuôn khổ sử dụng Linux .
2.2. Khái niệm
Netflow là tính năng của Cisco IOS ( Hệ điều hành dung riêng các thiết bị
của Ciso do Cisco phát triển) cho phép thống kê lưu lượng gói qua router.
Netflow thực hiện giám sát, phân tích, tính toán lưu lượng gói.
Hình 2.1: Mô hình mạng Netflow

SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 8
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.3. Netflow sử dụng phổ biến khi nào?
2.3.1. Giám sát mạng
Cho phép giám sát hiện trạng mạng gần như thời gian thực.
Giám sát mạng là kỹ thuật dựa vào flow (tập những gói có cùng 7 thông tin : IP
nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao thức lớp 3, cổng vào) nhằm
thực hiện thu thập thông tin theo lưu lượng gói, theo luồng liên quan đến một
thiết bị router, switch hoặc sự kết hợp của nhiều lưu lượng từ nhiều thiết bị giúp
chủ động nhận diện được vấn đề, hiệu quả trong quá trình xử lý sự cố và đưa ra
giải pháp giải quyết vấn đề một cách nhanh chóng.
2.3.2 Giám sát ứng dụng
Cho phép người quản trị nhìn thấy một cách chi tiết về hoạt động của
ứng dụng trên mạng theo thời gian. Thông tin này được dung để hiểu được
những dịch vụ mới nhằm phân phối tài nguyên mạng (băng thông, chất lượng
dịch vụ…) và tài nguyên cho ứng dụng cũng như là kế hoạch mở rộng.
2.3.3 Giám sát người dùng
Cho phép người vận hành mạng hiểu rõ tài nguyên mạng và tài nguyên
ứng dụng mà người dung sử dụng từ đó có kế hoạch phân phối tài nguyên một
cách hợp lý cho người dung, cũng như nhận diện được những vấn đề liên
quan đến an ninh mạng hoặc vi phạm chính sách.
2.3.4. Xây dựng kế hoạch phát triển mạng
Do có khả năng giám sát và phân tích lưu lượng dữ liệu trong một khoảng
thời gian dài, điều này cho phép người quản trị có cơ hội theo dõi, dự đoán sự
phát triển của mạng để có kế hoạch nâng cấp như tăng số lượng router, những
cổng với băng thông lớn…
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 9
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.3.5. Phân tích an ninh mạng
Netflow định danh và phân loại những loại tấn công như Dos, DDos,

virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường
trong mạng.
2.3.6. Tính toán lưu lượng
Netfow cho phép người quản trị có được thông tin chi tiết lưu lượng dữ
liệu như địa chỉ IP, ứng dụng, ToS (type of service), số lượng gói, số lượng
byte, thời gian hoạt động giúp cho việc tính toán tài nguyên mạng được sử
dụng theo người dung, ứng dụng trong khoảng thời gian cụ thể.
Lưu lượng qua router hoặc switch khi thu thập và phân tích sẽ được đặt
trong cache (Netflow cache), có thể truy xuất thông qua CLI hoặc ứng dụng
bên ngoài.
2.3.7. Cơ chế hoạt động của NetFlow
NetFlow của Cisco là Darren Kerr và Barry Bruins vào năm 1996 và
phát triển một công nghệ mạng lưới giám sát giao thông, hiện nay được xây
dựng vào hầu hết các router Cisco, Juniper, Ex-treme, Harbour Mạng và các
nhà cung cấp thiết bị mạng khác cũng hỗ trợ NetFlow công nghệ, mà đã dần
trở thành một tiêu chuẩn chấp nhận được cho tất cả.
NetFlow chính nó là một giao thức mạng lưới giao thông thống kê, mà
nguyên tắc chính là dựa trên mạng lưới truyền dữ liệu gói, các gói lân cận liên
tục thường được gửi đến địa chỉ IP cùng một đích đến, cùng với cơ chế cache
bộ nhớ cache, khi các quản trị mạng để mở NetFlow router hoặc chuyển đổi
chức năng giao diện, điện thoại sẽ nhận được một gói tin trong việc phân tích
các tiêu đề dữ liệu gói để có được thông tin giao thông, và các thông tin lưu
lượng gói tin nhận được biên dịch vào một khoản Flow, trong NetFlow thỏa
thuận Flow được định nghĩa là một hướng duy nhất giữa hai điểm cuối của
một dòng dữ liệu liên tục, có nghĩa là mỗi kết nối sẽ là một bản ghi tương ứng
dữ liệu thành hai dòng văn bản, trong đó một khách hàng Lian Ji Lu từ Kehu
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 10
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
đến máy chủ, Lingwaisuizhe một hồ sơ trả lại từ phía máy chủ với thông tin
khách hàng.

Thiết bị mạng để phân biệt mỗi trường sau một Flow: địa chỉ IP nguồn
(source IP address), số cổng nguồn (source port number), mục đích của địa
chỉ IP (địa chỉ IP đích), điểm đến cổng số (điểm đến cổng số), loại giao thức
(protocol type), dịch vụ kiểu (loại dịch vụ) và đầu vào giao diện bộ định tuyến
(router đầu vào giao diện), bất kỳ thời gian khi điện thoại nhận được một gói
tin mới, nó sẽ kiểm tra các bảy lĩnh vực để xác định xem các gói tin bất kỳ hồ
sơ của Flow, bất kỳ dữ liệu thu thập được sẽ là một gói phần mềm mới của
thông tin giao thông có liên quan tích hợp vào các hồ sơ lưu lượng tương ứng,
nếu không có gói dữ liệu tương ứng với lưu lượng, ông sẽ tạo ra một hồ sơ
mới để lưu trữ các dòng chảy có liên quan dòng chảy của thông tin. Bởi vì
thiết bị được giới hạn bộ nhớ cache tốc độ cao không có thể phục vụ không
hạn chế ngày càng tăng của Flow Records, Suo Yi NetFlow cũng định nghĩa
giao thức kết thúc cơ chế Flow Jilu, để duy trì mạng lưới Shebei Flow Xin Xi
Zhong Chucun không gian.
Khi thành lập của bất kỳ một trong ba trường hợp sau đây, router sẽ
chuyển gói tin UDP đến việc chấm dứt Flow Records xuất khẩu cho người
dùng trước khi được các thiết bị NetFlow thu thập dữ liệu: Khi một chuyển
gói giao thức trong lĩnh vực màn hình hiển thị flag trong việc truyền tải thông
điệp để hoàn tất như pm TCP FIN; giao thông dừng quá 15 giây; dòng chảy
tiếp tục gửi, mỗi 30 phút tự động chấm dứt.
Mặc dù hầu hết các mạng lưới hỗ trợ phần cứng NetFlow nhà cung cấp,
NetFlow phiên bản nhưng có rất nhiều, bao gồm NetFlow Phiên bản 5 là một
định dạng dữ liệu NetFlow chung có chứa các lĩnh vực:
- Địa chỉ IP nguồn (máy nguồn địa chỉ IP), Điểm đến Địa chỉ IP ( các máy
chủ lưu trữ địa chỉ IP đích)
- Nguồn TCP / UDP Port (Nguồn số Port sử dụng bởi các máy chủ),
- Điểm đến TCP / UDP Port (máy điểm đến cổng số được sử dụng),
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 11
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
- Next Hop Địa chỉ (địa chỉ của thiết bị đầu cuối tiếp theo)

- Nguồn AS Số (từ máy chủ thuộc về AS số)
- Điểm đến AS số (máy đích thuộc về AS số)
- Nguồn Mask (mặt nạ mạng con của nguồn lưu trữ tên miền của họ)
- Điểm đến số xe Mask (máy đích subnet mask của họ code)
- Protocol (giao thức truyền thông được sử dụng)
- TCP Flag (Gói kiểm soát đánh dấu)
Loại hình dịch vụ (QoS Yêu cầu), bắt đầu sysUpTime (bắt đầu từ thời
gian), End sysUpTime (kết thúc thời gian), đầu vào ifIndex (dòng thông tin
vào giao diện số), đầu ra ifindex (thông tin lưu chuyển trên giao diện số),
Packet Count (số gói tin), Byte Count (Byte số).
Zhichi NetFlow tính năng của thiết bị mạng sẽ được thu thập từ các dòng
chảy thông tin của họ để UDP Shu Ju Bảo gửi Yuxianshezhi tốt
Liuliangjieshou Chư Kỵ, với bộ sưu tập phần mềm NetFlow Xiangguan, Shi
Yuan những dữ liệu này lưu thông xử lý, lưu trữ cung cấp sau cho có liên
quan ứng dụng.
NetFlow trên các ứng dụng liên quan đến an ninh mạng
NetFlow của hồ sơ là cung cấp đủ thông tin để giúp mạng lưới kiểm soát
mạng lưới quản lý thuộc thẩm quyền của các dị thường mạng, và vì NetFlow
không yêu cầu phân tích dữ liệu nội dung gói tin, giúp giảm thiểu các thiết bị
mạng, phí chế biến, tốt cho phân tích tốc độ cao, bận rộn môi trường mạng.
Kể từ khi NetFlow nguồn dữ liệu là lớp mạng dữ liệu chuyển tiếp thiết
bị, ba thiết bị từ các dữ liệu thu thập bởi các thông tin NetFlow để giúp nắm
bắt tình hình tổng thể của mạng, và thông qua các phân tích thích hợp của
NetFlow thông tin có thể giúp nhà quản lý trong các ổ dịch worm hay mạng
lưới phân tích hành vi bất thường trong những vấn đề nhanh chóng mạng ban
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 12
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
đầu. Tiếp theo, chúng tôi tiếp tục giới thiệu việc sử dụng các thông tin có
trong NetFlow để phát hiện hành vi bất thường
• Từ góc nhìn của lớp mạng

Nhìn chung, các cuộc tấn công mạng sẽ có một số tính năng có sẵn để
công nhận, chúng tôi có thể nhận được các tính năng này để các dữ liệu
NetFlow với so sánh, và sau đó xác định được những hành vi bất thường.
Chúng ta có thể phân tích dữ liệu NetFlow cảng số lĩnh vực chủ đích sử dụng
để xác định các thông tin lọc tương ứng NetFlow về cuộc tấn công; Ngoài ra,
chúng tôi có thể sử dụng hợp lý nguồn hoặc địa chỉ IP đích để xác định các
bất thường. Ngoài ra, địa chỉ Internet được giao tổ chức (Internet chức cấp
phát số, IANA) IP, địa chỉ của ba phần sau đây dành cho các mạng cá nhân
10.0.0.0 ~ 10.255.255.255,172.16.0.0 ~ 172.31.255.255, và 192.168.0.0 ~
192.168.255.255, các phần của địa chỉ mạng không thể xuất hiện bên ngoài
môi trường mạng, nhưng vì thiếu sót trong thiết kế mạng ban đầu, router nhận
các gói tin cho trường địa chỉ nguồn không xác nhận, do đó, kẻ tấn công có
thể sử dụng lỗ hổng này giả mạo nguồn IP (IP Spoofing) để khởi tấn công, để
tránh bị truy nguồn từ nguồn gốc của cuộc tấn công, vì vậy chúng tôi có thể
nhận được từ các nguồn dữ liệu NetFlow của chúng tôi được sử dụng bởi các
địa chỉ host IP (Source IP Address) lĩnh vực, để xác định địa chỉ nguồn giả
mạo của giao thông, tái sử dụng dữ liệu NetFlow trong dòng chảy thông tin
vào số lượng giao diện (Input IFindex) lĩnh vực thông tin, để xác định các bộ
định tuyến thượng nguồn để kết nối với giao diện này, và yêu cầu họ giúp đỡ
trong việc điều tra hoặc điều trị.
Một số hành vi bất thường có thể được kết nối với một hoặc một số địa
chỉ cụ thể. Ví dụ, trong năm 2001, gây ùn tắc nghiêm trọng trong sâu Code
Red, phân tích của chúng tôi NetFlow dữ liệu thu thập có thể được tìm thấy
rằng các cuộc tấn công của sâu này có một đặc tính, mỗi điểm đến Flow của
TCP / UDP port giá trị trường sẽ bằng 80, Packet Count lĩnh vực giá trị bằng
3, Byte Count lĩnh vực giá trị bằng 144bytes, quản lý mạng có thể chương
trình viết để phân tích dữ liệu NetFlow thu thập để xác định với các ðặc tính
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 13
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
của dữ liệu lưu lượng có thể được xác định trong hệ thống có nguy cơ thuộc

thẩm quyền của Code Red worm chủ nhà, và buộc đội chủ nhà ra khỏi dây
chuyền lắp ráp hoặc chặn các cổng vật lý để giảm thiểu tác hại của sâu. Sử
dụng các đặc tính của các cuộc tấn công đã được thu thập thông tin NetFlow
với các lĩnh vực có liên quan để xác định các cuộc tấn công có thể hơn có thể
gây ra thiệt hại nghiêm trọng cho mạng trước, có biện pháp để giảm bớt khả
năng xảy ra sự hình thành của các vấn đề nghiêm trọng.
• Từ góc nhìn của lớp vận tải
Chúng tôi Tongguo có thể NetFlow dữ liệu để xác định số lượng lớn nhất
của các mạng để thiết lập phiên sở tại, Yin Wei, nếu một máy chủ lưu trữ trên
máy chủ Teding lớn bất thường số lượng kết nối, có thể đại diện cho sâu mới,
tấn công từ chối dịch vụ, mạng quét Đặng khả năng như là một máy chủ
thông thường sẽ có một liên kết đến các tần số bình thường, nếu bình thường
máy chủ bị nhiễm sâu này, bạn có thể bắt đầu sản xuất hành vi của mạng
không bình thường, bắt đầu sản xuất một số lượng lớn các kết nối của nhu cầu
bên ngoài để tìm mục tiêu tiếp theo của nhiễm trùng, chúng tôi worm từ các
máy chủ bị nhiễm một số lượng lớn các NetFlow thông tin tìm thấy trong các
nhu cầu kết nối bên ngoài, cùng một nguyên tắc, nếu thẩm quyền của người
sử dụng mạng để tải về từ mạng lưới các nỗ lực tấn công từ chối dịch vụ tấn
công chương trình công cụ phát động các cuộc tấn công, hoặc sử dụng bằng
cách sử dụng chức năng quét các công cụ như Nmap quét một URL cụ thể để
xác định mục tiêu chủ nhà rằng có thể có điểm yếu hoặc dễ bị tổn thương,
chúng tôi có thể tìm thấy từ các dữ liệu NetFlow trong một địa chỉ cụ thể từ
các tên miền đã gửi một số lượng lớn các phiên họp.
Ngoài việc phát hiện tấn công mạng, chúng tôi cũng có thể tìm hiểu bằng
cách phân tích các hành vi theo cách phiên web của lạm dụng, chẳng hạn như
phân tích dữ liệu NetFlow trong số điểm đến cổng máy chủ được sử dụng bởi
các thông tin, bằng cách phân tích các cổng 25 bên ngoài để kết nối các thông
tin có liên quan, nếu một trạm chủ nhà số 25 bên ngoài cổng để kết nối một
thời gian nhất định vượt trên mức bình thường, chúng tôi hợp lý có thể nghi
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 14

Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
ngờ rằng máy này được sử dụng để phân phối thư rác, hoặc qua e-mail worm,
chúng ta có thể áp dụng cùng một nguyên tắc để phân tích là emule và các
peer-to-peer chia sẻ tập tin phần mềm thường được sử dụng 4.662 TCP / UDP
4.672 cảng, để xác định các hành vi lạm dụng mạng và xử lý thích hợp để
giảm thiểu tác hại do mình gây ra.
• Sử dụng TCP kiểm soát để lọc ra nghi ngờ Flow
Nhưng đối với các mạng lớn, NetFlow thông tin liên quan đến các cuộc
tấn công khác có thể được pha loãng NetFlow thông tin bình thường, chẳng
hạn như nhiễm trùng ban đầu hacker thận trọng, có thể sử dụng dòng chảy
bình thường để trang trải các hành vi khác thường của nó. Ngoài ra, khi
chúng ta gặp phải phương pháp mới của cuộc tấn công hay virus, có thể
không được là người đầu tiên nắm bắt được các đặc tính lưu lượng, cũng
không bằng cách so sánh để xác định đặc điểm của giao thông bình thường.
Để nhanh hơn và hiệu quả giao thông phát hiện bất thường, chúng tôi cố gắng
để đăng nhập vào kiểm soát phân tích TCP, hy vọng sẽ tiếp tục giảm nhu cầu
để phân tích các dữ liệu NetFlow, cũng như phát hiện sớm giao thông bình
thường. Của sâu, vì mạng lưới của mình bị nhiễm một số lượng lớn các máy
chủ thông qua bản chất tự sao chép của sâu trong một thời gian rất ngắn cố
gắng hết sức để phát hiện nhiễm trùng có thể có của mục tiêu, và hầu hết các
sâu máy tính đang lây lan qua giao thức TCP để truyền, Vì vậy, chúng ta có
thể kiểm soát từ những lá cờ tìm thấy một số manh mối TCP
Một quá trình kết nối TCP bình thường thành lập, những khách hàng
đầu tiên sẽ gửi một gói SYN đến host đích dữ liệu, sau đó các máy chủ đích
sẽ đáp ứng với một gói SYN ACK /, khách hàng nhận được gói tin này, sau
đó quay trở lại để gói tin đích đến các máy chủ ACK để hoàn tất việc kết nối,
nhưng không thể thành công thiết lập kết nối mọi lúc, bởi vì NetFlow sẽ được
truyền cho từng phiên khi tất cả các cờ TCP kiểm soát tất cả lưu trữ trong một
lá cờ dữ liệu kiểm soát gói tin (TCP Flag) trong lĩnh vực này , để chúng ta có
thể thông qua các lĩnh vực thông tin này để giúp chúng tôi đoán các đặc tính

của một host nào đó trên mạng.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 15
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Flow nếu một kết nối TCP được thiết lập đúng cách, kiểm soát các gói
dữ liệu (TCP Flag) trường sẽ ghi có chứa ACK, SYN, FIN và kiểm soát các
dấu hiệu khác, nhưng nếu các cử chỉ bị nhiễm giun, không phải là do lựa chọn
ngẫu nhiên của chủ nhà phải tồn tại, hoặc thậm chí nếu không có việc mở cửa
sâu, nhưng các máy chủ mục tiêu bị nhiễm bệnh với các cổng TCP, trong
trường hợp này, NetFlow thông tin từ các máy chủ bị nhiễm trực tuyến bên
ngoài các gói dữ liệu được tạo ra bởi cờ kiểm soát lưu lượng (TCP Flag)
trường sẽ chỉ kiểm soát của cờ TCP SYN đó, theo các nhà quản lý mạng lưới
đặc trưng này có thể bắt đầu kiểm soát dữ liệu gói cờ NetFlow (TCP Flag)
lĩnh vực, chỉ có SYN flag soát lưu lượng dữ liệu được lọc ra theo cách này
chúng ta có thể làm cho lớn một phần của quy tắc dòng chảy bình thường, lần
này chúng tôi đang nghi ngờ về dữ liệu từ ngoại lệ để tìm ra dòng sản sẽ giảm
bớt những khó khăn của nhiều người, có thể nhanh chóng xác định vấn đề, mà
còn tránh lãng phí không cần thiết của các tài nguyên máy tính.Sử dụng thông
điệp ICMP để giúp lọc ra nghi ngờ Flow
Một số con sâu hoặc mạng sẽ sử dụng ICMP để thực hiện các cuộc tấn
công, chúng ta có thể lọc ra dữ liệu từ NetFlow, bất thường hành vi của chủ
nhà, lần đầu tiên xác định các giao thức truyền thông (giao thức) giá trị lĩnh
vực 1 Flow, thay mặt cho các giao thức truyền thông được sử dụng cho
ICMP, sau đó là số cổng theo chủ đích ( đích TCP / UDP) của một giá trị lĩnh
vực đại diện bởi các thông điệp ICMP, chẳng hạn như các máy chủ đích đến
số cổng (điểm đến giá trị trường TCP / UDP) của năm 2048, đã được chuyển
đổi thành bát phân 800, các chữ số đầu tiên đại diện thay mặt cho ICMP loại,
hai chữ số cho các loại ICMP trong các mã, có nghĩa là tổng thể là ICMP
echo yêu cầu, nhưng nếu giá trị của 769 trường, đã được chuyển đổi sang bát
phân 301, code này đại diện cho ICMP host unreachable; Nếu giá trị là 771
trường thay mặt cho ICMP port unreachable; lĩnh vực giá trị là 768 thay mặt

cho mạng ICMP unreachable. Đầu tiên chúng ta có thể tìm thấy các giao thức
truyền thông được sử dụng cho các ICMP của Flow, nhằm tiếp tục lọc ra số
cổng máy chủ sử dụng cho các 768.769.771 của Flow, một phân tích sâu hơn
để xác định có thể có hành vi bất thường. Bằng cách này một số lượng lớn dữ
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 16
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
liệu NetFlow từ danh sách nghi ngờ để lọc ra, và sau đó danh sách các dữ liệu
lưu lượng để phân tích thêm, nó có thể giúp các nhà quản lý mạng một cách
nhanh chóng xác định được vấn đề.
Khi băng thông mạng được phát triển nhanh chóng hiện nay, chỉ có việc
triển khai các NetFlow trong lớp lõi có thể dẫn đến hiệu suất thiết bị. Harbour
Networks có thể bây giờ hội tụ lớp FlexHammer 5.210 series, lõi lớp
BigHammer 6.800 loạt để cung cấp các tính năng NetFlow tương ứng, thông
qua cốt lõi và lớp tập hợp của việc triển khai phân phối của NetFlow, bạn có
thể đảm bảo rằng hiệu suất mạng dưới tiền đề của việc cung cấp loại virus âm
thanh và dị thường mạng kiểm soát cơ chế, để giúp các nhà quản lý mạng lưới
bảo trì mạng lưới hoàn chỉnh, mạng lưới trung tâm cho các trường đại học
khác nhau làm giảm áp lực hành chính.
2.4. Tầm quan trọng của việc nhận thức hoạt động mạng
2.4.1. Sự kiểm tra bằng SNMP truyền thống
Các khách hàng truyền thống thường hay sử dụng giao thức SNMP để
kiểm tra hoạt động của băng thông.Mặc dù có một số ưu điểm nhất định
nhưng SNMP khó có thể phân tích được sự lưu thông của các ứng dụng và
mô hình trên mạng mà điều đó là rất cần thiết để biết được hệ thống mạng hỗ
trợ công việc thế nào.Việc tìm hiểu cách thức sử dụng băng thông là một điểu
rất quan trọng trong hệ thống mạng IP ngày na
2.4.2. Tầm quan trọng của NetFlow
Khả năng phân tích lưu lượng IP và nắm được cách thức và địa điểm lưu
thông của nó là rất quan trọng đối với việc quản trị mạng.Việc kiểm tra dòng
lưu lượng IP sẽ đảm bảo tài nguyên mạng được sử dụng một cách hợp lí

hơn.Nó giúp người quản trị nhận biết được chất lượng dịch vụ(QoS),nhận biết
được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ
(DoS),việc phát tán virus, cũng như hàng loạt các sự cố khác.NetFlow có thể
giải quyết nhiều vấn đề đặt ra đối với một người quản trị chuyên nghiệp
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 17
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng:
nhận dạng các ứng dụng mạng mới, ví dụ như VoIP chẳng hạn…
Giảm sự quá tải của lưu lượng WAN
Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
Phát hiện các lưu lượng WAN trái phép
Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
2.4.3. Cách thức hoạt động của Netflow
NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa
thông tin về tất cả các luồng đang hoạt động.NetFlow cache được xây dựng
trước hết bằng cách xử lý packet đầu tiên của một luồng thông qua một đường
chuyển mạch chuẩn.Một bản ghi về luồng được duy trì bởi NetFlow cache
cho tất cả luồng hoạt động.Mỗi một bản ghi luồng trong NetFlow cache chứa
các trường thuộc tính có thể được sử dụng sau đó để xuất dữ liệu tới một thiết
bị thu thập dữ liệu.Mỗi một bản ghi luồng được tạo ra bằng cách so sánh
thuộc tính của các packet và đếm số packet và số byte của mỗi luồng.
2.4.4. Ví dụ về một NetFlow cache
Hình2.2: Ví dụ về một NetFlow cache
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 18
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.4.5. Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động
mạng
Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng
Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng

Port cho biết loại ứng dụng đang sử dụng lưu lượng
Lớp dịch vụ chiếm quyền ưu tiên lưu lượng
Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng
Kiểm tra packet và byte cho biết độ lớn của lưu lượng
Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có
thế biết tính toán được số packet và byte truyền đi trong mỗi giây.
Địa chỉ IP hop kế tiếp
Subnet mask của địa chỉ nguồn và đích
TCP flag.
2.4.6. Cách truy cập dữ liệu tạo ra bởi NetFlow : có 2 phương pháp
chính để truy cập dữ liệu của NetFlow.
Thứ nhất đó là chế độ dòng lệnh CLI(Command Line Interface).Chế độ
này có thế giúp phát hiện ra những thay đổi tức thì của mạng,điều đó rất có lợi
cho việc xử lí sự cố xảy ra trong mạng
Thứ hai đó là chế độ chuyển các thông tin NetFlow tới một reporting
server gọi là “NetFlow collector”. NetFlow collector có nhiệm vụ thu thập
thông tin về luồng và tổng hợp chúng lại để tạo ra một report về vấn đề lưu
lượng cũng như phân tích an ninh mạng.Không giống như SNMP, NetFlow
thường xuyên gửi thông tin một cách định kỳ tới NetFlow reporting
collector.NetFlow cache liên tục được lấp đầy bởi các luồng và phần mềm
trong router hoặc switch sẽ tìm trong cache những luồng đã kết thúc và những
luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao
tiếp mạng kết thúc. Lượng dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 19
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
chuyển mạch trong router.Những ghi nhận chi tiết của NetFlow về từng
packet cung cấp một cái nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã
chuyển qua router hoặc switch.Sau đây là các bước cơ bản để thực hiện một
report của NetFlow:
- NetFlow được cấu hình để bắt luồng vào NetFlow cache

- NetFlow export được cấu hình để để gửi các luồng tới Collector
- NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó
tới NetFlow collector server.
- Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới
NetFlow collector server.
- Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ
liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow
Collector: một luồng sẵn sàng được export khi nó ko hoạt động trong một
khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời
gian hoạt động cho phép.Có một bộ đếm thời gian sẽ quyết định luồng là ko
hoạt động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là
trong 15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30
phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng
mạng.
Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site
trung tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân
tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc
mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu
nhất để cài đặt NetFlow chình là ở gấn server đó.
Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới
collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header
chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 20
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
chứa thông tin về luồng,ví dụ như địa chỉ IP,port,thông tin định tuyến.Có các
version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu
có sự khác nhau.
Nội dung của một bản ghi của NetFlow
Lựa chọn version NetFlow phù hợp

Ứng dụng NetFlow: phần mềm Cisco IOS NetFlow là một phần của họ
các sản phẩm,tiện ích quản lí của Cisco.Các phần mềm được thiết kế đồng bộ
kết hợp chặt chẽ với nhau để có thể quản lí kiểm tra giám sát hệ thống mạng
một cách tốt nhất
2.5. NetFlow các trường đại học công nghệ và quản lý mạng
Để đạt được hiệu quả quản lý mạng, cơ chế mạng lưới giám sát về sự cần
thiết phải thu thập thông tin có liên quan, được chủ động cho thấy vấn đề và
giải quyết nó. NetFlow là một lưu lượng mạng thông tin để cung cấp các thỏa
thuận, các quản trị viên có
thể nhanh chóng và hiệu quả thông qua mạng lưới tổng thể NetFlow thuộc
thẩm quyền của nhà nước.
Với sự phát triển nhanh chóng của các ứng dụng mạng, nhiều trường học
tăng băng thông mạng, trong khi các mạng không tỷ lệ thuận với việc tăng
cường hiệu suất. Để đạt được hiệu quả quản lý mạng, cơ chế mạng lưới giám
sát về sự cần thiết phải thu thập thông tin có liên quan, được chủ động cho
thấy vấn đề và giải quyết nó. NetFlow là một lưu lượng mạng thông tin để
cung cấp các thỏa thuận, các quản trị viên có thể nhanh chóng và hiệu quả
thông qua mạng lưới tổng thể NetFlow thuộc thẩm quyền của nhà nước.
Chúng tôi sẽ giới thiệu trình tự tiếp theo trước khi NetFlow và quản lý mạng
và cơ chế hoạt động giữa các cơ chế, các NetFlow hiện Cuối cùng, các ứng
dụng có liên quan. NetFlow xuất xứ.
Theo truyền thống, nhà quản lý mạng thường là thông qua SNMP
(Simple Network Management Protocol) cho các công cụ hỗ trợ giao thức
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 21
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
SNMP từ các cơ sở mạng lưới để thu thập dữ liệu lưu lượng mạng, mặc dù
các thông tin thu được theo cách này sẽ không dẫn đến gánh nặng xử lý quá
nhiều, nhưng để cung cấp cho SNMP chỉ có một, rough thông tin ngắn gọn.
Thông tin này có thể cho phép các nhà quản lý xác định vấn đề, nhưng không
tiếp tục giải quyết vấn đề.

Cung cấp một công nghệ mạng thông tin chi tiết hơn Network thăm dò
(Sniffer) hoặc các công cụ giám sát tương tự bắt đầu được triển khai trong các
thiết bị mạng được sử dụng để nắm bắt các gói dữ liệu qua các gói dữ liệu
được dịch để xác định các thông tin dữ liệu tiêu đề lĩnh vực, và phân tích
thêm về nội dung của nó để có được thông tin chi tiết hơn.
Mặc dù gói công cụ giám sát thông qua để có được một mạng lưới thông
tin chi tiết hơn, nhưng các công cụ giám sát thường tập trung vào một nội
dung gói tin mạng duy nhất, do đó, các nhà quản lý mạng từ công cụ giám sát
rất khó để cung cấp thông tin để nắm bắt tình trạng mạng tổng thể. Ngoài ra,
việc phân tích các dữ liệu gói tốn thời gian, và theo dõi việc lưu trữ các gói dữ
liệu và sự cần thiết phải phân tích số lượng rất lớn dữ liệu cho việc tiêu thụ
các nguồn tài nguyên và nhân viên là tuyệt vời, phương pháp này rõ ràng là
không thích hợp cho môi trường mạng đại học quản lý. NetFlow là trong
trường hợp này ra đời và trở thành một công cụ phổ biến cho nhân viên quản
lý mạng, một số lượng ngày càng tăng của các trường trong việc nuôi con
nuôi của công cụ này để hiểu cách sử dụng mạng.NetFlow có thể không chỉ
cung cấpmạng thông tin chi tiết hơn, và phân tích cách để tránh các băng
thông mạng và tài nguyên máy tính, một gánh nặng quá nặng.
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 22
Tìm hiểu công nghệ Netflow và ứng dụng trong phân tích hiệu năng mạng
2.6. Các phiên bản Netflow
2.6.1. Netflow phiên bản 1(Version 1)
Dòng tiêu đề định dạng
Bytes Nội dung Mô tả
0-1 phiên bản NetFlow số phiên bản định dạng xuất
2-3 tính Số dòng chảy xuất khẩu trong gói này (1-24)
4-7 sys_uptime
Thời gian hiện tại trong mili giây kể từ khi xuất khẩu
các thiết bị khởi động
8-11 unix_secs Hiện đếm giây kể từ 0000 UTC 1970

12-16 unix_nsecs Còn lại nano giây kể từ 0000 UTC 1970
Dòng ghi lại định dạng
Bytes Nội dung Mô tả
0-3 srcaddr Nguồn địa chỉ IP
4-7 dstaddr Địa chỉ IP đích
8-11 nexthop Địa chỉ IP của router hop tiếp theo
12-13 đầu vào SNMP chỉ số giao diện đầu vào
14-15 đầu ra SNMP chỉ số giao diện đầu ra
16-19 dPkts Gói dữ liệu trong dòng chảy
20-23 dOctets
Tổng số của Layer 3 byte trong gói dữ liệu của dòng
chảy
24-27 1 SysUptime tại bắt đầu của dòng chảy
28-31 cuối cùng
SysUptime tại thời điểm gói tin cuối cùng của dòng
chảy đã được nhận được
32-33 srcport TCP / UDP số cổng nguồn hoặc tương đương
SV: Nguyễn Tuấn Hoàng – Lớp: CNTT_K11B 23