Netflow

A NetFlow  a Cisco Systems által kifejlesztett hálózati forgalom figyelembevételére tervezett hálózati protokoll . Ez a de facto ipari szabvány, és nem csak a Cisco berendezések támogatják, hanem sok más eszköz is (különösen a Juniper , a ZTE és az Enterasys ). A UNIX - szerű rendszerekhez ingyenes implementációk is léteznek .

A protokollnak több verziója is létezik, amelyek közül 2011-re a legelterjedtebbek az 5-ös és a 9-es verziók. A 9-es verzió alapján egy nyílt szabványt is kidolgoztak IPFIX (Internet Protocol Flow Information eXport, IP flow information export ) néven. [1] [2]

Építészet

A NetFlow protokoll használatával a forgalommal kapcsolatos információk gyűjtéséhez a következő összetevőkre van szükség:

• Érzékelő . Statisztikát gyűjt a rajta áthaladó forgalomról. Ez általában egy L3 kapcsoló vagy útválasztó, bár használhat önálló érzékelőket, amelyek a kapcsolóport tükrözésével fogadják az adatokat.
• Gyűjtő . Összegyűjti az érzékelőtől kapott adatokat, és tárolóba helyezi.
• Elemző . Elemzi a gyűjtő által gyűjtött adatokat, és ember által olvasható jelentéseket készít (gyakran grafikonok formájában).

A protokoll leírása

A NetFlow UDP vagy SCTP segítségével küldi el a forgalmi adatokat a gyűjtőnek. A gyűjtő általában a 2055-ös, 9555-ös vagy 9995-ös porton figyel.

Az érzékelő streameket választ ki az áthaladó forgalomból , amelyet a következő paraméterek jellemeznek:

• forráscím;
• rendeltetési cím;
• UDP és TCP forrásportja;
• UDP és TCP célportja;
• Az ICMP üzenet típusa és kódja ;
• IP protokoll száma ;
• Hálózati interfész (ifindex SNMP paraméter );
• IP szolgáltatás típusa .

Az áramlás olyan csomagok gyűjteménye, amelyek ugyanabban az irányban haladnak. Amikor az érzékelő megállapítja, hogy az adatfolyam véget ért (a csomagparaméterek megváltoztatásával vagy a TCP munkamenet visszaállításával), információkat küld a gyűjtőnek. A beállításoktól függően időszakonként információkat küldhet a még futó áramlásokról is a gyűjtőnek.

Az összegyűjtött információkat a rendszer rekordként küldi el, amely a következő paramétereket tartalmazza (5-ös verzió esetén):

• Protokoll verziószáma;
• Rekordszám;
• Bejövő és kimenő hálózati interfész;
• az adatfolyam kezdési és befejezési ideje;
• A bájtok és csomagok száma az adatfolyamban;
• Forrás és cél címe;
• Forrás és cél port;
• IP protokoll száma;
• A Szolgáltatás típusa értéke;
• TCP kapcsolatok esetén a kapcsolat során megfigyelt összes jelző;
• átjáró címe;
• Forrás és cél alhálózati maszkok.

A 9-es verzió további mezőket is támogat, például IPv6 -fejléceket, MPLS -folyamatcímkéket és BGP - átjárócímeket . Egyes érzékelők autonóm rendszerszámot is támogathatnak .

Ha UDP-t használunk, akkor a hálózati problémák miatt elveszett rekordot nem kapja meg a gyűjtő. A gyűjtő a bemeneti szám értékéből tudja meghatározni a csomagveszteséget, amelynek a szabvány szerint növekednie kell.

Ha egy hálózati eszköz (router vagy switch) szenzorként működik, akkor az erőforrások megtakarítása érdekében a NetFlow csak azokon az interfészeken engedélyezett, amelyekről statisztikát szeretnének gyűjteni.

A "mintavételezett NetFlow"-t a CPU-erőforrások megtakarítására is használják. Ebben az esetben a szenzor nem mindent, hanem minden n-edik csomagot elemzi, ahol n beállítható adminisztratív úton vagy véletlenszerűen kiválasztható. A mintavételezett NetFlow használatakor a kapott értékek nem pontosak, hanem becslések.

Analógok

• sFlow ( RFC 3176 , Brocade Networks )
• NetStream ( 3Com , H3C , Huawei )
• Cflow ( Alcatel-Lucent )
• jflow & cflowd (Juniper Networks)

Jegyzetek

1. ↑ Az IP forgalmi áramlási információk cseréjére szolgáló IP Flow Information Export (IPFIX) protokoll specifikációja . Hozzáférés dátuma: 2011. február 27. Az eredetiből archiválva : 2013. július 3. (határozatlan)
2. ↑ Információs modell az IP Flow Information Exporthoz archiválva : 2013. július 4. a Wayback Machine -nél  

Linkek

• Protokollspecifikáció  9 -es verzió
• Protokoll oldal a Cisco Systems  webhelyén
• A PMACCT egy ingyenes érzékelő implementáció UNIX rendszerekhez (támogatja az sFlow-t és az IPFIX-et is  )
• A Flow-tools a NetFlow gyűjtő ingyenes megvalósítása  .
• A FlowViewer a NetFlow analizátor ingyenes megvalósítása  .
• NetFlow az Xgu.ru oldalon - a NetFlow részletes leírása, valamint a NetFlow információ forrásának, gyűjtőjének és tárolásának eljárása nyílt rendszerekben
• NetFlow. Forgalom elszámolása cisco útválasztókon.  - egy rövid oktatási program a NetFlow használatáról a cisco eszközökről érkező forgalomra vonatkozó információk eltávolítására.
• NetFlow. "Self-written parser"  – A saját NetFlow protokoll értelmező létrehozásának folyamatának leírása.