Сбор и анализ трафика с помощью Netflow

Netflow , протокол, разработанный Cisco, используется для сбора и записи всех IP-трафика, идущих с маршрутизатора или коммутатора Cisco, который включен Netflow. Он позволяет собирать трафик и анализировать его с помощью программы (обычно называемой сборщиком или анализатором Netflow ), которая затем организует записи потока в формате, который позволяет ИТ-администратору или сетевому инженеру дополнительно анализировать трафик (источник, пункт назначения и т. Д.).

Этот протокол позволяет вам действительно развернуться в своем сетевом трафике, чтобы узнать, откуда идет источник трафика, и где он также предназначен, когда устраняются проблемы с медленными сетевыми соединениями LAN или WAN. Сам протокол не анализирует трафик, но, как упоминалось ранее, при правильной настройке он отправляет трафик на сборщик или анализатор , который является либо аппаратным устройством, либо чаще, чем программным обеспечением.

Первоначально Cisco разработала протокол для своих продуктов, и вскоре после этого он стал стандартом, который многие другие производители также внедряют в свои продукты, включая Juniper (который имеет «JFlow»), 3Com / HP, Dell и Netgear (SFlow), Ericsson (RFlow), Huawei (NetStream) и Alcatel-Lucent (который использует CFlow).

Основы Протокола

Netflow состоит из двух компонентов:

NetFlow Cache (иногда называемый источником данных или потоковым кэшем) — хранит информацию о потоке IP.

Механизм экспорта или транспорта Netflow — это отправляет данные в коллекционер для дальнейшей отчетности и анализа данных.

Когда пакет входит в интерфейс, который ранее не видел маршрутизатор / коммутатор, он будет решать, следует ли маршрутизировать датаграмму, и если он переадресует дейтаграмму, он сделает запись в потоковом кэше (в маршрутизаторе или коммутаторе) на основе критериев соответствия в пакете.

Каждый пакет в переадресованном коммутаторе / маршрутизаторе проверяется на определенный набор атрибутов IP-пакетов, которые идентифицируют пакет и другие. (Вы можете думать об этом как о отпечатках пальцев.) Ip Flow состоит из набора из 5 атрибутов и может иметь до 7 баллов.

Атрибуты 1 каждого IP-пакета следующие:

  • IP-адрес источника
  • IP-адрес назначения
  • Порт источника
  • Порт назначения
  • Тип протокола 3-го уровня
  • Класс обслуживания
  • Интерфейс маршрутизатора или коммутатора

Пакеты имеют следующие атрибуты, которые являются САМЫМИ, сгруппированы в так называемые FLOW, которые затем подсчитываются: IP-адрес источника / получателя, порты источника / адресата, интерфейс протокола и класс обслуживания.

Определение потока масштабируется, поскольку эти данные и информация организованы в базу данных Netflow, называемую Netflow Cache, или Flow Cache.

Кэш потока

Элемент Flow Cache содержит информацию о потоке, включающую следующее:

  1. IP-адреса назначения
  2. Исходные IP-адреса
  3. Номер порта назначения
  4. Номер исходного порта
  5. Исходный интерфейс,
  6. Тип протокола уровня 3,
  7. ToS Byte — (означает байт типа обслуживания и учитывает приоритет, скорость, пропускную способность и надежность
  8. Входной логический интерфейс (ifIndex) (интерфейс маршрутизатора или коммутатора)

Затем пакет маршрутизируется через интерфейс назначения. Поскольку в маршрутизатор входят следующие пакеты, которые соответствуют существующей записи потока, счетчики байтов и пакетов продолжают увеличиваться через каждый дополнительный грамм данных до тех пор, пока соединение между хостом, участвующим в потоке, не будет снесено.

Таким образом, пакеты, которые вводят маршрутизатор, у которого нет соответствующей записи потока, сначала определяются как маршрутизируемые, и если они приняты, они затем отправляются после записи потока потока. Кэш потока может содержать сотни тысяч записей, а в некоторых случаях — в миллионы записей. Когда потоки истекают, они экспортируются в сборщик Netflow , который будет постоянно анализировать и архивировать потоки для дальнейшего использования. Затем сборщик Netflow может предоставить подробную информацию о таких вещах, как обнаруженные угрозы, топология сети, верхние интерфейсы и график этих тенденций. Netflow используется для поиска полосчатых свиней, поиска сетевых угроз, изоляции проблем медленности приложений и даже для биллинга на основе использования некоторыми провайдерами.

Netflow версии 9, которая теперь является стандартом IETF, известным как IP Information Export (IPFIX), является новым стандартом для транспортировки информации от коммутаторов и маршрутизаторов в коллектор . Многие поставщики оборудования теперь используют IPFIX, который является официальным стандартом для всех технологий потока. Как Netflow, так и IPFIX могут выполняться на аппаратном или программном обеспечении, они могут использоваться для экспорта информации в режиме реального времени, вплоть до второго, и они могут использоваться как для выборки потока, так и для пакетов, подобно SFLOW.

История Netflow

Как уже упоминалось ранее, Netflow был задуман в Cisco Systems и в настоящее время является основным стандартом, который включен в почти каждый маршрутизатор бизнес-класса и коммутатор, который производил Cisco и другие производители. До Netflow сетевые инженеры и администраторы в основном полагались на протокол SNMP (Simple Network Management Protocol) для мониторинга сетевого и интернет-трафика в своих LAN и WAN-соединениях.

SNMP отлично подходит для мониторинга сетевых устройств и планирования пропускной способности, но ему не хватает более подробного и интенсивного трафика и использования и использования полосы пропускания. Роланд Добинс, сетевой инженер в группе Internet Services в Cisco, сказал: «Нам нужно более подробное понимание того, как используется пропускная способность Cisco», 1 . Вскоре Cisco представила технологию Netflow в 1996 году, которая позволила глубже понять, характеризовать и обеспечить возможность дальнейшего анализа потоков сетевого трафика с использованием специализированной интегральной схемы (ASIC), связанной с конкретными приложениями, в сочетании с функциями программного обеспечения Cisco IOS Firmware и Catalyst OS.

К 2003 году Netflow версии 9 от Cisco будет выбрана в качестве IETF (Целевая группа по разработке Интернета, которая предлагает стандарты для Интернета, в первую очередь TCP / IP), официально называемые IPFIX , или IP Flow Information Export.

Для дополнительного чтения о том, что Netflow и как вы можете использовать его для мониторинга и анализа вашей сети, ознакомьтесь с этими документами для более глубокого чтения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.