Netflow , протокол, разработанный Cisco, используется для сбора и записи всех IP-трафика, идущих с маршрутизатора или коммутатора Cisco, который включен Netflow. Он позволяет собирать трафик и анализировать его с помощью программы (обычно называемой сборщиком или анализатором Netflow ), которая затем организует записи потока в формате, который позволяет ИТ-администратору или сетевому инженеру дополнительно анализировать трафик (источник, пункт назначения и т. Д.).
Этот протокол позволяет вам действительно развернуться в своем сетевом трафике, чтобы узнать, откуда идет источник трафика, и где он также предназначен, когда устраняются проблемы с медленными сетевыми соединениями LAN или WAN. Сам протокол не анализирует трафик, но, как упоминалось ранее, при правильной настройке он отправляет трафик на сборщик или анализатор , который является либо аппаратным устройством, либо чаще, чем программным обеспечением.
Первоначально Cisco разработала протокол для своих продуктов, и вскоре после этого он стал стандартом, который многие другие производители также внедряют в свои продукты, включая Juniper (который имеет «JFlow»), 3Com / HP, Dell и Netgear (SFlow), Ericsson (RFlow), Huawei (NetStream) и Alcatel-Lucent (который использует CFlow).
Основы Протокола
Netflow состоит из двух компонентов:
NetFlow Cache (иногда называемый источником данных или потоковым кэшем) — хранит информацию о потоке IP.
Механизм экспорта или транспорта Netflow — это отправляет данные в коллекционер для дальнейшей отчетности и анализа данных.
Когда пакет входит в интерфейс, который ранее не видел маршрутизатор / коммутатор, он будет решать, следует ли маршрутизировать датаграмму, и если он переадресует дейтаграмму, он сделает запись в потоковом кэше (в маршрутизаторе или коммутаторе) на основе критериев соответствия в пакете.
Каждый пакет в переадресованном коммутаторе / маршрутизаторе проверяется на определенный набор атрибутов IP-пакетов, которые идентифицируют пакет и другие. (Вы можете думать об этом как о отпечатках пальцев.) Ip Flow состоит из набора из 5 атрибутов и может иметь до 7 баллов.
Атрибуты 1 каждого IP-пакета следующие:
- IP-адрес источника
- IP-адрес назначения
- Порт источника
- Порт назначения
- Тип протокола 3-го уровня
- Класс обслуживания
- Интерфейс маршрутизатора или коммутатора
Пакеты имеют следующие атрибуты, которые являются САМЫМИ, сгруппированы в так называемые FLOW, которые затем подсчитываются: IP-адрес источника / получателя, порты источника / адресата, интерфейс протокола и класс обслуживания.
Определение потока масштабируется, поскольку эти данные и информация организованы в базу данных Netflow, называемую Netflow Cache, или Flow Cache.
Кэш потока
Элемент Flow Cache содержит информацию о потоке, включающую следующее:
- IP-адреса назначения
- Исходные IP-адреса
- Номер порта назначения
- Номер исходного порта
- Исходный интерфейс,
- Тип протокола уровня 3,
- ToS Byte — (означает байт типа обслуживания и учитывает приоритет, скорость, пропускную способность и надежность
- Входной логический интерфейс (ifIndex) (интерфейс маршрутизатора или коммутатора)
Затем пакет маршрутизируется через интерфейс назначения. Поскольку в маршрутизатор входят следующие пакеты, которые соответствуют существующей записи потока, счетчики байтов и пакетов продолжают увеличиваться через каждый дополнительный грамм данных до тех пор, пока соединение между хостом, участвующим в потоке, не будет снесено.
Таким образом, пакеты, которые вводят маршрутизатор, у которого нет соответствующей записи потока, сначала определяются как маршрутизируемые, и если они приняты, они затем отправляются после записи потока потока. Кэш потока может содержать сотни тысяч записей, а в некоторых случаях — в миллионы записей. Когда потоки истекают, они экспортируются в сборщик Netflow , который будет постоянно анализировать и архивировать потоки для дальнейшего использования. Затем сборщик Netflow может предоставить подробную информацию о таких вещах, как обнаруженные угрозы, топология сети, верхние интерфейсы и график этих тенденций. Netflow используется для поиска полосчатых свиней, поиска сетевых угроз, изоляции проблем медленности приложений и даже для биллинга на основе использования некоторыми провайдерами.
Netflow версии 9, которая теперь является стандартом IETF, известным как IP Information Export (IPFIX), является новым стандартом для транспортировки информации от коммутаторов и маршрутизаторов в коллектор . Многие поставщики оборудования теперь используют IPFIX, который является официальным стандартом для всех технологий потока. Как Netflow, так и IPFIX могут выполняться на аппаратном или программном обеспечении, они могут использоваться для экспорта информации в режиме реального времени, вплоть до второго, и они могут использоваться как для выборки потока, так и для пакетов, подобно SFLOW.
История Netflow
Как уже упоминалось ранее, Netflow был задуман в Cisco Systems и в настоящее время является основным стандартом, который включен в почти каждый маршрутизатор бизнес-класса и коммутатор, который производил Cisco и другие производители. До Netflow сетевые инженеры и администраторы в основном полагались на протокол SNMP (Simple Network Management Protocol) для мониторинга сетевого и интернет-трафика в своих LAN и WAN-соединениях.
SNMP отлично подходит для мониторинга сетевых устройств и планирования пропускной способности, но ему не хватает более подробного и интенсивного трафика и использования и использования полосы пропускания. Роланд Добинс, сетевой инженер в группе Internet Services в Cisco, сказал: «Нам нужно более подробное понимание того, как используется пропускная способность Cisco», 1 . Вскоре Cisco представила технологию Netflow в 1996 году, которая позволила глубже понять, характеризовать и обеспечить возможность дальнейшего анализа потоков сетевого трафика с использованием специализированной интегральной схемы (ASIC), связанной с конкретными приложениями, в сочетании с функциями программного обеспечения Cisco IOS Firmware и Catalyst OS.
К 2003 году Netflow версии 9 от Cisco будет выбрана в качестве IETF (Целевая группа по разработке Интернета, которая предлагает стандарты для Интернета, в первую очередь TCP / IP), официально называемые IPFIX , или IP Flow Information Export.
Для дополнительного чтения о том, что Netflow и как вы можете использовать его для мониторинга и анализа вашей сети, ознакомьтесь с этими документами для более глубокого чтения.
