Netflow

NetFlow er en netværksprotokol designet til at tage højde for netværkstrafik, udviklet af Cisco Systems . Det er de facto industristandarden og understøttes ikke kun af Cisco-udstyr, men også af mange andre enheder (især Juniper , ZTE og Enterasys ). Der er også gratis implementeringer til UNIX -lignende systemer.

Der findes flere versioner af protokollen, hvoraf den mest almindelige for 2011 er version 5 og 9. Med udgangspunkt i version 9 blev der også udviklet en åben standard kaldet IPFIX (Internet Protocol Flow Information eXport, IP flow information export ). [1] [2]

Arkitektur

For at indsamle oplysninger om trafik ved hjælp af NetFlow-protokollen kræves følgende komponenter:

Sensor . Indsamler statistik over den trafik, der passerer gennem den. Dette er normalt en L3-switch eller -router, selvom du kan bruge selvstændige sensorer, der modtager data ved at spejle switchporten.
Samler . Samler de data, der modtages fra sensoren, og opbevarer dem.
Analysator . Analyserer de data indsamlet af indsamleren og genererer rapporter, der kan læses af mennesker (ofte i form af grafer).

Beskrivelse af protokollen

NetFlow bruger UDP eller SCTP til at sende trafikdata til indsamleren. Typisk lytter samleren på port 2055, 9555 eller 9995.

Sensoren vælger strømme fra den forbipasserende trafik , kendetegnet ved følgende parametre:

kildeadresse;
destinationsadresse;
Kildeport til UDP og TCP;
Destinationsport for UDP og TCP;
Meddelelsestype og kode for ICMP ;
IP -protokolnummer ;
Netværksgrænseflade (ifindex SNMP parameter );
IP Type af tjeneste .

Et flow er en samling af pakker, der bevæger sig i samme retning. Når sensoren bestemmer, at streamen er afsluttet (ved at ændre pakkeparametrene eller ved at nulstille TCP-sessionen), sender den information til samleren. Afhængigt af indstillingerne kan den også med jævne mellemrum sende information om stadig kørende flows til indsamleren.

De indsamlede oplysninger sendes som poster, der indeholder følgende parametre (for version 5):

Protokolversionsnummer;
Rekordnummer;
Indgående og udgående netværksgrænseflade;
Start- og sluttidspunkt for streamen;
Antallet af bytes og pakker i strømmen;
Kilde og destinationsadresse;
Kilde og destinationsport;
IP-protokolnummer;
Værdien af Type of Service;
For TCP-forbindelser, alle flag observeret under forbindelsen;
gateway adresse;
Kilde- og destinationsundernetmasker.

Version 9 understøtter også yderligere felter såsom IPv6 -headere, MPLS - flowetiketter og BGP -gateway-adresse . Nogle sensorer understøtter muligvis også et autonomt systemnummer .

Hvis UDP bruges, vil en post, der er mistet på grund af netværksproblemer, ikke blive modtaget af indsamleren. Samleren kan bestemme pakketabet ud fra værdierne af indgangsnummeret, som ifølge standarden skal være stigende.

Hvis en netværksenhed (router eller switch) fungerer som en sensor, så er NetFlow kun aktiveret for de grænseflader, som de ønsker at indsamle statistik på, for at spare ressourcer.

"Samplet NetFlow" bruges også til at spare CPU-ressourcer. I dette tilfælde analyserer sensoren ikke alt, men hver n-te pakke, hvor n kan indstilles administrativt eller vælges tilfældigt. Når du bruger samplet NetFlow, er de opnåede værdier ikke nøjagtige, men estimater.

Analoger

sFlow ( RFC 3176 , Brocade Networks )
NetStream ( 3Com , H3C , Huawei )
Cflow ( Alcatel-Lucent )
jflow og cflowd (Juniper Networks)

Noter

↑ Specifikation af IP Flow Information Export (IPFIX) protokollen til udveksling af IP Traffic Flow Information . Dato for adgang: 27. februar 2011. Arkiveret fra originalen 3. juli 2013. (ubestemt)
↑ Informationsmodel for IP Flow Information Export Arkiveret 4. juli 2013 på Wayback Machine

Netflow

Arkitektur

Beskrivelse af protokollen

Analoger

Noter

Links