1、通中一-REAIE 芳是7飞1=1 标;住在最技不YDB 075-2012 IP网络流量采集设备技术要求Technical requirement ofIP network flow sample and analysis device 2012一03-25印发中国通信标准化协会发布YDB 075一一2012目欠前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2、 . . . . . . . 11 I 范围. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3、 . . . . . . . . 1 3 缩略语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4 IP网络流量采集设备概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4、. . 1 5 IP网络流量采集协议. . . . 2 6 IP网络流量采集设备功能要求一一流量采集机. . . 3 6.1 流量采集协议要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 6. 2 流量采集数据的预处理与转发. .,. . 3 6. 3 流量监测. . . . 3 6. 4 对网管协议的支持. . . . . . . . . . . . . . . . . . . . . . . .
5、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 7 IP网络流量采集设备功能要求一一流量分析机. . . 3 7.1 流量分析功能要求. . . . 3 7. 2 原始数据的过滤功能.4 7.3 实时监测.4 7.4 基于BGP路由对流量分析.4 7.5 全问关联性流量分析.4 8 管理功能.4 8.1 系统性能监测.4 8. 2 用户及权限管理.4 8. 3 数据管理. . . . . 5 8.4 数据呈现. . . . . . . . . . . . . . . . . . . . . .
6、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 9 IP网络流量采集设备性能及可靠性要求. . . 5 10 IP网络流量采集设备安全要求. 5 11 IP网络流量采集设备环境及供电要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 11. 1 环境要求. . . . 5 11. 2 电源与接地. 5 11. 2
7、. 1 电源. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 11. 2. 2 接地要求. . . . . . . 6 附录A(资料性附录)网络流量采集技术.7 YDB 075一-2012自IJ1=1 本技术报告根据目前主流IP网络流量采集设备功能,以及运营商对此类设备的主要应用场景及功能需求编写。为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安排下,对于技术
8、尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定通信标准类技术报告,推荐有关方面参考采用。有关对本技术报告的建议和意见,向中国通信标准化协会反映。II 本技术报告的附录A是资料性附录。本技术报告由中国通信标准化l办会提出并归口。本技术报告起草单位:工业和信息化部电信研究院、华为技术有限公司。本技术报告主要起草人:高巍、马军锋、马科、唐浩、杨华儒。YOB 075一-2012IP网络流量采集设备技术要求1 范围本技术报告规定了IP网络流量采集设各的功能、性能、稳定性、安全、环境等方面的技术要求。本技术报告适用于IP网路疏童采集设备。2 规范性引用文件下列文件对于本
9、文件的应用是必不可少的。凡是注目期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本包摇所有的修改单)适用于本文件。GB!T 2423电工电子产品环境试验GB!T 3482电子设备雷击试验方法3 缩略i吾下列缩回各语适用于本技术报告。AS Acronyrns Systern BGP Border Gateway Protocol HTTP Hyper Text Transfer .Protocol HTTPS Hyper Text Transfer Protocol Secure IP Internet Protocol IPFIX IP Flow Inforrnat
10、on Export MPLS Multi-Protocol Label Swithing MTBF Mean Time Between Failures SNMP Sirnple Network Managernent Protocol SSH Secure Shell TCP Transport Control Protocol TOS Type of Service UDP User Data Protocol 口1LeXtensible MarkLpLanguage 4 IP网络流量采集设备概述自治系统边界网关协议超文本传输协议超文本传输安全协议网际协议IP流信息导出多协议你签交换平均故
11、障问隔简单网管协议安全套接层传输控制协议服务类型用户数据报胁议可扩展标记语言随着互联网的发展,网络管理者越米越需要对网络流量的分布进行充分的了解,一般的SNMP技术只能做到对单个阿元设备上接口级别流莹的统计,无法满足网络端到端流量统计、业务统计,以及一些异常流量发现的需要。根据这些需求,流量采集技术应运而生。流量采集技术是基于路由器设备上硬件转发方式的革新而产生的。目前的核心路由器、交换机都采用硬件转发的方式,对数据进行逐流转发,需要根据数据流量的特征定义需转发的流(f1ow) ,并YDB 075-2012 建立硬件转发表项,为每条流定义转发策略,当数据流到来时,根据它的特征匹配硬件转发表中不
12、同的流来进行转发。通常定义的流特征包括入接口、源/目的IP地址、协议类型、源/目的端口号、TOS值等。流量采集技术就是利用了硬件转发中这些流的信息,对不同的流信息进行统计,包括时间戳、报文数、字节数等。由于路由器转发能力不断提高,如果对转发的每个数据包部进行统计,将浪费大量的计算资源,也会影响路由器的转发能力,因此目前应用的流量采集技术部实现了采样的方式对流量进行统计。但采样所耗费的路由器资源与采样的准确度是一对矛盾的关系,采样比越低,采样准确率越高(当采样比为1: l时准确率为100%),但耗费的路由器计算资源越多:反之,采样比越高,采样准确率越低,消耗的路由器资源则越少。合理的确定采样比,
13、就是在采样准确性与路由器资源的消耗工者之间寻求平衡。一般网络中设置的采样比可以为1000:1或2000:1,即每隔1000个或2000个报文对数据流进行一次采样。进行流量采集的流量采集系统一般包括流量采集机及流量分析机两个部分,如图1所示。流量采集机负责对路由器上送的flow记录报文进行收集和预处理:流量分析机负责对流量采集机所生成的预处理数据进行分析,根据不同的统计方式生成有意义的统计结果。蟹,按始南岛5 IP网络流量采集协议IPFIX要达到以下目标:a) 定义标准IP流的概念。类似的定义在实践中已经广为应用,IPFIX所要做的就是把它们标准化:b) 在分组采样的基础t考虑IP流信息的概念:
14、c) 考虑影响到流数据的安全和隐私问题,为输出的流数据选择安全的传送:d) 规定将IP流信息在传输层上的传送方式:e) 保证流输出系统的可靠性。注1:最初的流量采集技术是在1996年山思科公司发明的,并11请了专利。随着路由器设备设计水平的整体进步,以及网络管理者对流量统l的需求越来越迫切,其它厂家也开始发展自己的流量采集技术,目前忠、科、Juniper、华为等f家都拥有臼己的流量采集技术,由于专利限制,这些采集技术虽然实现方式大同小异,但在数据格式等细节方面各有不同。在附录A中介绍了儿种流量采集技术。注2:由于各厂商的流量采集技术相互之间不能兼容,无法满足大规模异构网络中应用的需要,因此需要
15、对流量采集技术从协议层面上进行统一。出于这一考虑,IETF成立了IPFIX工作组,并基于忠、科公司的NetfloVv9制定了IPFIX协议,目前己经发布了IPFIX需求CIETrRFC3917)、IPFIX信息、模型CIETF RFC51 02 )、IPFIX结构CIETF RFC5470)等多个RFC。2 YDB 075-2012 6 IP网络流量采集设备功能要求一一流量采集机6. 1 流量采集协议要求生时样h多口。的、定备川设设v括行网-L包进现JW息等于弧信号由内量口tuA比山而吟ML丁、J、wt川刊到此一一收MMM这接古人据一A9息数议川信十八P量协dv量)流集J川,乱叫喊r二ri一米
16、mM山、的址量丑MM巾地南阳甜、A文mu定按比报一的特包附议备种于协vu设某议封丁集vw出于协四川付fm飞川、5;输限集山川rL国EJJ-K流不采dMMhf流i吗集应量的到J掩-P上流甜识气址对现种叮叮JM川兢实各5白日vv在容幢应由挑担备兼UM备凡又圭和隶,fHhL卜以归赚Mmm照明LKL白圳、叫随川M快他一协服量加和拍量接节U如.,hmum肘几目F一牙问且里流采厅川流咄字总议地川Jm叫咱叫、?山样流络量、芽络入流流协刊忆my刊刊刊洲mmm川来络网流-h网一一一一一一一一一一一一一一网P忌鱼TP一一一一一一一一一一一一一-PTA申纠WI-一一一-一一一-一一一-IWMh PAPA TinU
17、6. 3 流量监测由于在不同路由器上可能设置不同的采样率,IP网络流量采集设备应该能够根据每台路由设备不同的采样率对从该设备采集的数据进行还原,以得到正确的统计结果。6.4 对网管协议的支持勺旷山乏) 、)IP网络流量采集设备应支持通过网管系统对其故障、性能二日志、告警、安全等各个方面进行监测。流量采集机应支持SNMPv2.,.可选支持S诩SNMP应使用UDP/IP作为我寺合-!,网络层协J议,也可以使用其它协议(例如IETFRFC1418和IETFRFCI089中规定的)。7 IP网络流量采集设备功能要求一一流量分析机7. 1 流量分析功能要求3 YDB 075-2012 流量分析机应可以依
18、据流量来源和目的的AS号、IP地址段、应用协议、网络设备接口和Community等监控参数来设定in控范用。流景分析系统应艾持TOPN排么分析,可根据Nf声震活进行排鸦们根据流量采集机提供的数据,流量分析机应实现以下流量分析功能:a) 网络流量流向分析:根据流量的源、吕的IP地址,以及源、目的AS号,结合流量统计数据,实现对网络中某个设备,以及全网的流量、流向(网络内部流量、出网流量、穿越流量、骨干流量等的统计;b) 网络业务流量分析:根据流量的端口号,对常见网络业务流量、流向进行分析。如统计HTTP、SNMP , TELNET、FTP等常用协议的流量以及占总流量的比例:c) 基于用户的流量分
19、析:以某一地址/多个地址、某一端口/多个端口、某一Community/多个Community或某一自治域号CAS)/多个自治域号CAS组)为分析对象,分析该地址组、端口组、Community组或AS纽代表的客户的流量行为状况,如链路带宽占用情况,该用户访问其它地址/AS的情况,访问该用户的地址/AS分布情况,该用户流量的协议、业务分布状况等:d) 异常流量分析:流量分析机应能够根据设定的条件(如病毒或网络攻击的流量特征)对流量进行实时监测,当出现异常流量时,对病毒或攻击的来源、目的、攻击的类型、攻击的规模、持续的时间等进行分析呈现,并支持多种方式告警。7.2 原始数据的过滤功能流量分析机应,可
20、以根据需要依据设定的条件对接收到的原始数据进行过滤处理。如利用OR、NOT、AND等逻辑运算或其组合对原始数据进行过滤或二次处理,并根据结果形成各种报表或表格。7. 3 实时监测流量分析机应可以实时的呈现所设定的网络范围内瞬间的流量状况并生成相应的报表,其实时性依赖于设备对流数据的发送参数以及流量采集机对原始数据的发送参数设置。7.4 基于BGP路由对流量分析流量分析机可选支持BGP协议。通过与骨干路由器(或路由反射器)建立BGP邻居关系,流量分析机可以接收和分析BGP路由,并从路由表中获得BGPCommuni ty、AS_Path、BGPNextHop等信息,从而更加精确的分析流量的属性。7
21、.5 全网关联性流量分析流量分析机应能够将通过不同的采集机采集的多条链路上的同类流量数据进行合并汇总,从而实现对全网多节点关联的业务流量分析,实现多出口整体状况的关联性分析。如对全部出入口流量进行统一汇总和分析:对网内某些热点资源与其他网络问的流量进行统计分析,等。流量分析机应能够将所有采集设备采集的数据进行统一的汇总、处理和关联分析,并将汇总的结果通过统一的界面展现给用户。8 管理功能8. 1 系统性能监测lIP网络流量采集设各应提供对自身性能的实时监测。系统性能监测包括:设各使用状态,CPU使用率,内存使用率,数据库使用率等。8. 2 用户及权限管理4 YDB 075一-2012IP网络流
22、量采集设备应能够支持分级分权管理功能,支持用户根据需要进行自定义的授权,开放相应的权限与功能。系统管理权限应与用户管理权限分离。8. 3 数据管理流量分析机应能够实现历史分析结果的在线保存,保存期限可由用户设定,同时支持过期数据自动删除功能。流量采集机和分析机应支持系统自己置的备份和读取二飞;三8.4 数据呈现流量采集设备应能够通过图、表等方式对实时和历史数据进行呈现,并提供天/月/周/年的分析结果统计报表,并支持以XML!EXCEL等可再编辑处理的通用格式对分析结果进行输出存储,并能够提供报表的定制功能。9 IP网络流量采集设备性能及可靠性要求rIP网络流量采集设备的性能根据整个系统每秒可同
23、时处理的流(flow)数来进行统计,在正常处理能力f,系统设备平均CPU和内存负荷应低于65%。系统平均无故障运行时间(MTBF)应大于100OOOho 10 I P网络流量采集设备安全要求IP网络流量采集设备的远程接入应通过HTTPS和SSH实现,支持通过带IP访问控制的HTTPS未确保远程web接入的安全性。系统还应该支持客户自定义盯TPS的访问端口。系统具备安全日志功能,可完整地记录用户的重要操作、访问信息。系统设备应提供数据各扮手段,定期对各种重要数据进行各份,并具备恢复能力。11 I P网络流量采集设备环境及供电要求11. 1 环境要求IP网络流量采集设备正常工作的温度、湿支条件应符
24、合GB/T2423的相关规定。IP网络流量采集设备工作环境的防尘要求应符合GB2423的相关规定。IP网络流量采集设备产生的电磁干扰应符合GB2423的相关规远。IP网络流量采集设备的抗电磁干扰能力应符合GB2423的相关规定。IP网络流量采集设备防雷击能力应当符合GBIT34820 11. 2 电源与接地11. 2. 1 电源11. 2. 1. 1 直流电压及其波动范围要求额定电压:为一48V的直流电源。电压波动范围:在直流输入端子处测量-48V电压允许变动也因为一57V-40Vo IP网络流量采集设备在此范围内应工作正常。5 YDB 075一-201211. 2. 1. 2 杂音电压指标在
25、立流自己屯盘揄山tti于生1:涮羊的限值主u一一300Hz 3400Hz杂音电压不大于2mV;一一0300Hz峰峰值杂音电压不大于400mV;一一3.4kHz150kHz宽带杂音电压不大于100mV有效值;一-150kHz30MHz宽带杂音电压不大于30mV有效值。11. 2. 1. 3 离散频率杂音电压一一-3.4kHz150kHz不大于5mV有效值:一-150kHz200kHz不大于3mV有效值:一-200kHz500kHz不大于2mV有效值;-一一500kHz2mHz不大于1mV有效值。11. 2. 1. 4 交流电压及其波动范围要求单相220V土10%,频率50Hz土5%,线电压波形畸
26、变率小于5%。11. 2. 2 接地要求a) 接地方式应符合工作地、保护地和建筑防雷接地公用一组接地体的联合接地方式:b) 接地线截面积根据可能通过的最大电流负荷确定。应采用良导体导线,不能使用裸导线布放:c) 联合接地的电阻值应小于5Q 0 6 A.1 Netflow 附录A(资料性附录网络流量采集技术YDB 075-2012 Netflow是思、科公司的专利技术,也是最早出现的流量采集技术。目前主要使用的有v5、v9两个版本,图A.1是Netflowv9版本的数据记录格式,其中包含了数据流的出/入接口、QoS位、协议类型、源/日的IP地址、源/日的端口号等基本信息,还包括了下一跳地址、源/
27、目的AS号等路由信息。Data Record Oata Record FlowSet ID = 0 ; Length= 28.b如eskimp!atfD :, 25) Field Count = 5 !Pv4_SRCADDR (OxO8) iengtl1 = 4 iPv4_DSTADDR (OxOC) Length = 4 iPl仁NEXT_HOP (OxOE) t且ngtl1= 4 问TS丑脚02)L.ength = 4 BYTES_32 (Ox01) Lengtll = 4 图A.1Netflow v9数据记录格式Netflow v9的数据输出格式与V5有较大区别,主要是因为Netflow
28、v9采用了基于模板式的数据输出方式。网络设备在进行Netflowv9格式的数据输出时会向采集机分别发送数据包模板和数据流纪录。数据包模板确定了后续发送的数据流纪录数据包的格式和长度,便于采集机对后续数据包的处理。同时为避免传输过程中出现丢包或错误,网络设备会定期重复发送数据包模板给采集机。A. 2 NetStream NetStream是华为公可推出的流量采集技术,其基本功能与Netflow类似,目前华为设备上通常支持的NetStream版本为V5和V90Netstream支持二-层报文、IP报文CTCP、UDP,ICMP报文)和MPLS报文的统计。A.3 sFlow 7 YDB 075一-2012sFlow CIETF RFC3176)主要在阿尔卡特、惠普、网捷(Foundry,现己被博科收购)等交换机设备中使用,是由硬件食现的数据采集协议,可以尝现对数据包二层至七层各种信束的识录。A.4 Cflow Cflow协议主要由uniper、阿尔卡特等公司设备支持,其原理和机制与Netflow基本一致。8 NF(i的kho口通信标准类技术报告IP网络流量采集设备技术要求YDB 075一2012* 中国通信标准化协会标准化推进中心承办印发北京新街口外大街28号邮1宿:100088 电子版发行网址: 电i舌:01。一82058764010-82054513 不得翻印版权所有
