Netflow

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Wikitext.svg
Este artigo ou seção precisa ser wikificado (desde março de 2010).
Por favor ajude a formatar este artigo de acordo com as diretrizes estabelecidas no livro de estilo.

Netflow é um recurso que foi introduzido em roteadores Cisco cuja função é coletar o tráfego de redes IP, tanto na saída quanto na entrada de uma interface. Ao analisar os dados fornecidos pelo Netflow, um administrador de rede pode determinar tarefas como a origem e o destino do tráfego, classe de serviço, e as causas de congestionamento. Netflow é composto por três componentes: o cache de fluxo, coletor de fluxo e analisador de dados.

Descrição do Protocolo[editar | editar código-fonte]

Roteadores e switches que suportam NetFlow podem coletar estatísticas de tráfego IP em todas as interfaces onde o NetFlow está habilitado, e depois exportar essas estatísticas como registros NetFlow para pelo menos um coletor NetFlow - normalmente um servidor que faz a análise de tráfego real.

NetFlow e IPFIX[editar | editar código-fonte]

NetFlow foi implementado inicialmente pela Cisco, e descrito em um documento "informacional" que não consta da RFC 3954 - Cisco Systems NetFlow Serviços Export Versão 9. O protocolo NetFlow em si foi substituído pelo Internet Protocol Flow Information eXport (IPFIX). Baseado na implementação NetFlow Versão 9, IPFIX está de acordo com os padrões IETF RFC 5101, RFC 5102, etc., publicados em 2008..

Fluxos de Rede[editar | editar código-fonte]

Um fluxo de rede pode ser definida de várias maneiras. Cisco padrão NetFlow versão 5 define um fluxo como uma seqüência unidirecional de pacotes que todos compartilham os sete valores a seguir:

Interface de acesso (SNMP (ifIndex))

Endereço IP de origem 

Endereço IP de destino 

Protocolo IP 

Porta de origem para UDP ou TCP, 0 para outros protocolos 

Porta de destino para UDP ou TCP, tipo e código de ICMP, ou 0 para outros protocolos 

Tipo de Serviço IP 

Note-se que a interface de saída IP nexthop ou BGP Nexthops não fazem parte da chave, e podem não ser precisos se a mudança de rota antes do término do fluxo, ou se o balanceamento de carga for feito por pacote. 

Esta definição de fluxos é também utilizado para o IPv6, e uma definição semelhante é utilizado para os fluxos de Ethernet e MPLS.

Implementações avançadas NetFlow ou IPFIX , tal como Cisco Flexible NetFlow , permitem fluxo com chaves definidas pelo usuário.

Uma saída típica de uma ferramenta NetFlow ,em uma linha de comando (nfdump, neste caso), apresenta os fluxos armazenados conforme mostrado abaixo:

 Date flow start          Duration Proto   Src IP Addr:Port      Dst IP Addr:Port     Packets    Bytes Flows
 2010-09-01 00:00:00.459     0.000 UDP     127.0.0.1:24920   ->  192.168.0.1:22126        1       46     1
 2010-09-01 00:00:00.363     0.000 UDP     192.168.0.1:22126 ->  127.0.0.1:24920          1       80     1

Registro de Netflow[editar | editar código-fonte]

Um registro NetFlow, o qual pode conter uma grande variedade de informações sobre o tráfego em um fluxo de dados. NetFlow - versão 5 (uma das versões mais utilizadas, seguida pela versão 9), contém o seguinte:

  • Número de versão;
  • Número de seqüência;
  • Relação dos índices SNMP de entrada e da saída;
  • Os Timestamps para o período de início e término do fluxo;
  • Número de bytes e de pacotes verificados no fluxo;
  • Camada 3 encabeçamentos:
1. Endereços do IP da fonte e do destino
2. Fonte e números das portas de destino
3. Protocolo IP
4. Tipo de Serviço (ToS)
  • No exemplo do TCP flui, a união de todas as bandeiras do TCP observadas sobre a vida do fluxo;
  • Camada 3 Roteamento informação:
1. IP address do seguinte-hop imediato (não o nexthop do BGP) ao longo da rota ao destino
2. Máscaras do IP da fonte & do destino (comprimentos do prefixo no CIDR notação)

Alguns roteadores também irão incluir a origem e o destino de Sistema Autônomo (AS) O número, embora esta informação possa ser imprecisa.

NetFlow versão 9 pode incluir todos esses campos e opcionalmente pode incluir informações adicionais, tais como Multiprotocol Label Switching (MPLS) rótulos e endereços IPv6 e portas.

Ao analisar o fluxo de dados, uma imagem do fluxo de tráfego e volume de tráfego em uma rede pode ser construída. O formato de gravação NetFlow tem evoluído ao longo do tempo, daí a inclusão de números de versão. Cisco mantém informações sobre os números de versão diferentes e o layout dos pacotes para cada versão.

NetFlow registros são normalmente enviados via UDP ou SCTP em software mais recente, e por razões de eficiência, o roteador não armazenar registros de fluxo, uma vez que são exportados. Portanto, se o registro NetFlow é descartada devido ao congestionamento da rede, ele será perdido para sempre - não há nenhuma maneira para que o roteador para reenviá-la (isto é correto para UDP NetFlow apenas). O endereço IP do coletor de netflow e do porto em que se escuta tem de ser configurado no roteador o envio, mas normalmente é tanto nas portas 2055, 9555 ou 9995. NetFlow também é ativado em uma base por interface para evitar a desnecessária sobrecarga da CPU do roteador. NetFlow é geralmente baseado na entrada de pacotes para interfaces onde ele estiver habilitado. Isso evita a dupla contagem e poupa trabalho para o roteador. Ele também permite que o roteador exporte registros NetFlow para pacotes ignorados.

Amostra NetFlow Cisco[editar | editar código-fonte]

Manter os dados NetFlow pode ser computacionalmente caro para o roteador e carga de CPU do roteador para o ponto onde ele é executado fora da sua capacidade. Para evitar problemas causados pela exaustão da CPU do roteador, a Cisco fornece "Sampled NetFlow". Ao invés de olhar para todos os pacotes para manter registros Netflow, o roteador examina cada pacote nth, onde n pode ser configurado (como no Determinística NetFlow, usado em RSGs Cisco) ou é uma seleção aleatória de intervalo (como o usado em amostra aleatória Netflow, usado em todas as outras plataformas Cisco). Quando Sampled NetFlow é usado, o NetFlow registros devem ser ajustados para efeitos de amostragem - os volumes de tráfego, em particular, são uma estimativa, e não o volume de fluxo real medido.

Registro do Evento de Segurança de NetFlow Cisco[editar | editar código-fonte]

Introduzida com o lançamento dos produtos Cisco ASA 5580, NetFlow Security Event Logging utiliza Netflow v9 campos e modelos, a fim de entregar eficientemente telemetria de segurança em ambientes de alto desempenho. NetFlow Segurança escalas Event Logging melhor do syslog, oferecendo o mesmo nível de detalhe e granularidade dos eventos registrados.

Monitoração de NetFlow baseada em Pontas de Prova Autônomas[editar | editar código-fonte]

Apesar de freqüentemente utilizado, o roteador abordagem baseada sofre de várias limitações. Cisco roteadores usam freqüentemente a amostragem de pacotes de entrada eo número de pacotes de suporte / seg ou fluxos / s é limitada a menos adicionais placas de rede especializadas e dispendiosas são usadas. Além disso, os roteadores têm fixado colocação, a visibilidade da camada 3 torna alvo de ataques, e as estatísticas fornecidas não são confiáveis o suficiente para o faturamento ou aplicativos de segurança. Além disso, permite o acompanhamento NetFlow diminui o desempenho dos roteadores.

Por esta razão, uma nova abordagem no acompanhamento NetFlow usando sondas autônomo NetFlow está se tornando muito popular. Esta abordagem supera as limitações do roteador monitoramento baseado NetFlow. As sondas são ligados de forma transparente a ligação monitorada como um aparelho totalmente passiva com a TAP ou SPAN porta do switch ou roteador. NetFlow sondas estão usando link dedicado para as exportações NetFlow, portanto, são completamente invisíveis no link monitorados

Versões[editar | editar código-fonte]

Versão Comentário

 v1      Primeira tentativa
 v5      A maioria usou a versão
 v6      Encapsulamento de informação
 v7      Escolha da informação
 v8      Várias formas de agregação
 v9      Template base, permitindo muitas combinações
IPFIX aka v10; IETF Padronizado NetFlow 9 com campos de entrada da comunidade empresarial e outros

Analisadores Populares de NetFlow[editar | editar código-fonte]

PacketTrap NetFlow Listener e coletor

ManageEngine Netflow Collector

Fluke Networks NetFlow Tool

CA NetQoS Reporter Analyzer

TRAFip NetFlow Collector and Analyzer

FlowTraq

Ver também[editar | editar código-fonte]

Sflow

Ligações externas[editar | editar código-fonte]

Informações Básicas Netflow no site da Cisco

Packet format for Version 9 NetFlow packets

Cisco NetFlow Security Event Logging

RFC3334

RFC3954

RFC3955