Netflow

NetFlow  este un protocol de rețea conceput pentru a ține cont de traficul de rețea, dezvoltat de Cisco Systems . Este standardul de facto al industriei și este susținut nu numai de echipamentele Cisco, ci și de multe alte dispozitive (în special, Juniper , ZTE și Enterasys ). Există, de asemenea, implementări gratuite pentru sisteme de tip UNIX .

Există mai multe versiuni ale protocolului, dintre care cele mai comune pentru 2011 sunt versiunile 5 și 9. Pe baza versiunii 9, a fost dezvoltat și un standard deschis numit IPFIX (Internet Protocol Flow Information eXport, IP flow information export ). [1] [2]

Arhitectură

Pentru a colecta informații despre trafic folosind protocolul NetFlow, sunt necesare următoarele componente:

• Senzor . Colectează statistici privind traficul care trece prin acesta. Acesta este de obicei un comutator sau un router L3, deși puteți utiliza senzori autonomi care primesc date prin oglindirea portului comutatorului.
• Colectionar . Colectează datele primite de la senzor și le plasează în stocare.
• Analizor . Analizează datele colectate de colector și generează rapoarte care pot fi citite de om (adesea sub formă de grafice).

Descrierea protocolului

NetFlow folosește UDP sau SCTP pentru a trimite date de trafic către colector. De obicei, colectorul ascultă pe portul 2055, 9555 sau 9995.

Senzorul selectează fluxurile din traficul care trece , caracterizate de următorii parametri:

• Sursa adresei;
• adresa de destinatie;
• Port sursă pentru UDP și TCP;
• Port de destinație pentru UDP și TCP;
• Tipul mesajului și codul pentru ICMP ;
• numărul de protocol IP ;
• Interfață de rețea (parametru ifindex SNMP );
• IP Tip de serviciu .

Un flux este o colecție de pachete care călătoresc în aceeași direcție. Atunci când senzorul stabilește că fluxul s-a încheiat (prin modificarea parametrilor pachetului sau prin resetarea sesiunii TCP), acesta trimite informații colectorului. În funcție de setări, poate trimite periodic, de asemenea, informații despre fluxurile aflate în funcțiune către colector.

Informațiile colectate sunt trimise ca înregistrări care conțin următorii parametri (pentru versiunea 5):

• Numărul versiunii protocolului;
• Numar record;
• Interfață de rețea de intrare și de ieșire;
• Ora de începere și de sfârșit a fluxului;
• Numărul de octeți și pachete din flux;
• Adresa sursă și destinație;
• Port sursă și destinație;
• numărul de protocol IP;
• Valoarea tipului de serviciu;
• Pentru conexiunile TCP, toate indicatoarele observate în timpul conexiunii;
• adresa gateway-ului;
• Măști de subrețea sursă și destinație.

Versiunea 9 acceptă, de asemenea, câmpuri suplimentare, cum ar fi anteturile IPv6 , etichetele fluxului MPLS și adresa gateway-ului BGP . Unii senzori pot accepta, de asemenea, un număr de sistem autonom .

Dacă se utilizează UDP, atunci o înregistrare pierdută din cauza problemelor de rețea nu va fi primită de colector. Colectorul poate determina pierderea pachetelor din valorile numărului de intrare, care, conform standardului, trebuie să fie în creștere.

Dacă un dispozitiv de rețea (router sau switch) acționează ca un senzor, atunci pentru a economisi resurse, NetFlow este activat doar pentru acele interfețe pe care doresc să colecteze statistici.

„NetFlow eșantionat” este, de asemenea, folosit pentru a conserva resursele CPU. În acest caz, senzorul analizează nu totul, ci fiecare al n-lea pachet, unde n poate fi setat administrativ sau ales aleatoriu. Când se utilizează NetFlow eșantionat, valorile obținute nu sunt exacte, ci estimări.

Analogii

• sFlow ( RFC 3176 , Brocade Networks )
• NetStream ( 3Com , H3C , Huawei )
• Cflow ( Alcatel-Lucent )
• jflow și cflowd (Juniper Networks)

Note

1. ↑ Specificarea protocolului IP Flow Information Export (IPFIX) pentru schimbul de informații despre fluxul de trafic IP . Data accesului: 27 februarie 2011. Arhivat din original pe 3 iulie 2013. (nedefinit)
2. ↑ Modelul de informații pentru exportul informațiilor IP Flow Arhivat 4 iulie 2013 la Wayback Machine  

Link -uri

• Specificația protocolului versiunea  9
•  Pagina Protocol de pe site-ul web Cisco Systems
• PMACCT este o implementare gratuită a senzorilor pentru sistemele UNIX (suportă și sFlow și IPFIX  )
• Flow-tools este o implementare gratuită a colectorului NetFlow  .
• FlowViewer este o implementare gratuită a analizorului NetFlow  .
• NetFlow pe Xgu.ru - o descriere detaliată a NetFlow și procedura de configurare a sursei, colectorului și stocării informațiilor NetFlow în sisteme deschise
• NetFlow. Contabilitatea traficului pe routerele Cisco.  - un scurt program educațional despre utilizarea NetFlow pentru a elimina informațiile despre trafic de pe dispozitivele Cisco.
• NetFlow. „Self-written parser”  - Descrierea procesului de creare a propriului parser de protocol NetFlow.