Nettoflödet

NetFlow  är ett nätverksprotokoll utformat för att ta hänsyn till nätverkstrafik, utvecklat av Cisco Systems . Det är de facto industristandarden och stöds inte bara av Cisco-utrustning utan också av många andra enheter (särskilt Juniper , ZTE och Enterasys ). Det finns också gratis implementeringar för UNIX -liknande system.

Det finns flera versioner av protokollet, varav de vanligaste för 2011 är version 5 och 9. Utifrån version 9 utvecklades även en öppen standard kallad IPFIX (Internet Protocol Flow Information eXport, IP flow information export ). [1] [2]

Arkitektur

För att samla in information om trafik med NetFlow-protokollet krävs följande komponenter:

• Sensor . Samlar statistik om trafiken som passerar genom den. Detta är vanligtvis en L3-switch eller router, även om du kan använda fristående sensorer som tar emot data genom att spegla switchporten.
• Samlare . Samlar in data som tas emot från sensorn och lagrar dem.
• Analysator . Analyserar data som samlats in av samlaren och genererar läsbara rapporter (ofta i form av grafer).

Beskrivning av protokollet

NetFlow använder UDP eller SCTP för att skicka trafikdata till insamlaren. Vanligtvis lyssnar samlaren på port 2055, 9555 eller 9995.

Sensorn väljer strömmar från den passerande trafiken , kännetecknad av följande parametrar:

• Käll adress;
• Destinations adress;
• Källport för UDP och TCP;
• Destinationsport för UDP och TCP;
• Meddelandetyp och kod för ICMP ;
• IP- protokollnummer ;
• Nätverksgränssnitt (ifindex SNMP -parameter );
• IP- typ av tjänst .

Ett flöde är en samling paket som färdas i samma riktning. När sensorn fastställer att strömmen har avslutats (genom att ändra paketparametrarna eller genom att återställa TCP-sessionen), skickar den information till insamlaren. Beroende på inställningarna kan den också periodvis skicka information om fortfarande pågående flöden till samlaren.

Den insamlade informationen skickas som poster som innehåller följande parametrar (för version 5):

• Protokollets versionsnummer;
• Rekordnummer;
• Inkommande och utgående nätverksgränssnitt;
• Start- och sluttid för streamen;
• Antalet byte och paket i strömmen;
• Käll- och destinationsadress;
• Käll- och destinationsport;
• IP-protokollnummer;
• Värdet av Typ av tjänst;
• För TCP-anslutningar, alla flaggor som observerats under anslutningen;
• gateway-adress;
• Käll- och destinationsundernätsmasker.

Version 9 stöder även ytterligare fält som IPv6- rubriker, MPLS -flödesetiketter och BGP -gatewayadress . Vissa sensorer kan också stödja ett autonomt systemnummer .

Om UDP används kommer en post som går förlorad på grund av nätverksproblem inte att tas emot av insamlaren. Samlaren kan bestämma paketförlusten från värdena på ingångsnumret, som enligt standarden måste öka.

Om en nätverksenhet (router eller switch) fungerar som en sensor, är NetFlow aktiverat för att spara resurser endast för de gränssnitt som de vill samla in statistik på.

"Sampled NetFlow" används också för att spara CPU-resurser. I det här fallet analyserar sensorn inte allt, utan vart n:e paket, där n kan ställas in administrativt eller väljas slumpmässigt. När du använder samplade NetFlow är de erhållna värdena inte exakta, utan uppskattningar.

Analoger

• sFlow ( RFC 3176 , Brocade Networks )
• NetStream ( 3Com , H3C , Huawei )
• Cflow ( Alcatel-Lucent )
• jflow och cflowd (Juniper Networks)

Anteckningar

1. ↑ Specifikation av IP-flödesinformationsexportprotokollet (IPFIX) för utbyte av IP-trafikflödesinformation . Datum för åtkomst: 27 februari 2011. Arkiverad från originalet den 3 juli 2013. (obestämd)
2. ↑ Informationsmodell för IP-flödesinformationsexport Arkiverad 4 juli 2013 på Wayback Machine  

Länkar

• Protokollspecifikation version  9
• Protokollsida på Cisco Systems  webbplats
• PMACCT är en gratis sensorimplementering för UNIX-system (stöder även sFlow och IPFIX  )
• Flow-tools är en gratis implementering av NetFlow-samlaren  .
• FlowViewer är en gratis implementering av NetFlow-analysatorn  .
• NetFlow på Xgu.ru - en detaljerad beskrivning av NetFlow och proceduren för att ställa in källan, samlaren och lagringen av NetFlow-information i öppna system
• Nettoflödet. Trafikbokföring på cisco-routrar.  - ett kort utbildningsprogram om att använda NetFlow för att ta bort information om trafik från cisco-enheter.
• Nettoflödet. "Självskriven parser"  - Beskrivning av processen för att skapa din egen NetFlow-protokollparser.