注：好的中醫，僅僅靠望聞問切就可以診斷疑難雜癥。那依靠的是以往對病例的積累、細心的觀察理性的分析。對于網絡其實也一樣，長期的分析、觀察積累，即使沒有專門的反病毒、防攻擊設備，大多數的隱患也能查出來。

思科交換機和路由器所支持的NetFlow功能，在競爭激烈的網絡市場獨樹一幟。這一網絡監控技術對思科的IT部門貢獻很大，不僅僅幫助他們治理、優化網絡，且在蠕蟲病毒爆發時給予他們有力的支持。  
 　
挑戰

    對思科而言，網絡的可用性、服務質量至關重要，IT部門需要有辦法ip流量的特征，說明流量的流動方式和地點，并進行分析確定網絡中存在的服務質量、乃至安全問題。而以往采用SNMP監控互聯網帶寬，無法提取流量特征，無法滿足IT部門的需求。

解決方案

    思科在自己的路由器和交換機上支持NetFlow功能，可以實現上述目標。NetFlow可以統計記錄網絡中數據包的源目的地址、端口號等信息，將這些信息收集整理分析后，就可以發現網絡通信的規律。在思科多數的路由交換設備中，有專門的硬件芯片和軟件特性實現NetFlow。而最新的NetFlow 9已被選中參與IETF標準，在成為標準前，這一技術已經得到了業界廣泛的支持，用戶可以找到很多家廠家所提供的收集交換機路由器NetFlow信息、匯總分析得軟件，用戶甚至可以找到開放源代碼或者免費的軟件來收集分析NetFlow的信息。

    借助NetFlow，用戶不僅可以發現網絡通信的規律，分析這些數據還可以達到入侵檢測系統（IDS）的部分能力，實際上由于NetFlow在很多Cisco設備上采用硬件實現，性能要優于IDS，結合NetFlow和IDS，可以構成更好的安全監控方案。

多次獲益

思科IT部門自從在公司內部網絡中使用NetFlow之后，已經多次獲益。
徹底避免SQL Slammer蠕蟲    2003年1月24日，SQL Slammer蠕蟲，也稱為Sapphire，在三分鐘之內就傳遍了全球，幾乎使全世界的網絡都出現了故障。思科業務的連續性卻沒有因SQL Slammer而受到損失，IT部門將成功歸功于團隊合作、健全的通信計劃、強大的網絡體系結構以及Cisco NetFlow技術的有效使用。NetFlow配合合作伙伴Arbor公司提供的分析治理工具，思科IT人員迅速發現了UDP端口1434出現的大量異常流量。發現潛在問題后，思科進行分析后在所有互聯網供給點放置了向內和向外的訪問控制列表（ACL），以阻擋這些流量對網絡的訪問。事故之后的兩周內，思科IT天天對網絡密切監視，確保威脅已被徹底根除。

發現和預防DoS襲擊及其它意外流量

    思科也時常會接收到試圖發動DoS襲擊的流量。利用Cisco NetFlow收集分組的源地址、目標地址、協議號、端口號和分組大小，然后將信息發送到Arbor Peakflow DoS執行異常檢測。Cisco NetFlow將指導網絡設備進行處理。

審計NAT化流量

    NAT的內在限制是非互聯網路由地址（例如移動員工采用的地址）與公共路由互聯網地址之間的多對一關系。Cisco NetFlow使思科能夠審計NAT流量，以便排除網絡故障，解決方案問題，并執行定期檢查，看移動員工是否能夠遵守公司制訂的網絡接入策略。

通過容量規劃從托管式DSL服務移植到互聯網VPN

    2001年，由于直接DSL與ISDN接入的成本迅速提高，思科將全球范圍內的數千完名遠程員工和遠程辦公室員工轉向了遠程接入VPN。為確定是否需要增加容量，思科使用Cisco NetFlow與各種開放源代碼工具提取現有流量的特征，然后推斷未來流量。利用這種業務智能，思科只用了三個月就成功地將22,000名用戶移植到了VPN。

檢測非授權WAN流量

    通常情況下，當WAN鏈路上的流量增多時，公司就會投資，執行鏈路升級。但很多次，思科都避免了昂貴的鏈路升級。思科的作法是：尋找造成擁塞的應用，假如需要，修改使用策略。

降低高峰期WAN流量

    當某幾條鏈路上的WAN流量迅速增加時，Cisco NetFlow和NetQoS ReporterAnalyzer能夠快速找到原因，思科的IT人員會發現不好的應用對帶寬的消耗。

QoS指標核實

    思科IT為數據、話音和視頻分配了一定比例的WAN容量。分配的依據是每個站點產生流量的理論模型，以及目標QoS水平。過去，思科無法核實QoS目標是否實現。借助Cisco NetFlow就可以得到所有的信息。

分析VPN流量和遠程員工的行為

    利用Cisco NetFlow，思科IT可以方便地發現遠程員工的流量，因為這些流量將穿越通用路由封裝通道。這種流量分析有助于執行互聯網接入容量規劃。

核實電信商的服務等級

    思科正在運用NetFlow功能來測量運營商提供的服務的SLA。”

計算應用的總擁有成本

    在思科內部向大量用戶發行新應用之前，思科系統公司都要計算總體擁有成本（TCO）。影響TCO的最大因素之一是WAN。為盡可能準確地估計WAN成本，思科應用開發部率先在測試環境中部署了一個新應用，利用Cisco NetFlow測量向大量用戶發行應用時產生的WAN流量有多大，從而更準確地計算TCO。思科IT部門使用NetFlow計算應用TCO的還有當計劃將監控系統遷移到IP網絡中時、部署Cisco UnityTM語音留言系統時、計算來自全球50,000部思科IP電話的成本節約、計算思科應用和內容網絡系統（ACNS）軟件實現的成本節約、制訂未來服務計劃。

成效

    對于思科，Cisco NetFlow的優點是，不但能保證經濟有效地部署應用，還能確保全球的所有員工、客戶和合作伙伴隨時都可以使用相應的服務。利用NetFlow數據，思科IT部門不但能防止網絡受到病毒侵害或遭到襲擊，還能了解當前及未來應用對網絡的影響。

    未來思科IT部門打算進一步提高收集網絡數據的價值，并將NetFlow的使用擴展到網絡的其它部分。