Netflow

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Wikitext.svg
Este artigo ou seção precisa ser wikificado (desde março de 2010).
Por favor ajude a formatar este artigo de acordo com as diretrizes estabelecidas no livro de estilo.

NetFlow é um protocolo de rede aberta, mas proprietário desenvolvido pela Cisco Systems para ser executado no Cisco IOS habilitado equipamento para recolha de informação de tráfego IP.

Descrição do Protocolo[editar | editar código-fonte]

Roteadores Cisco que possuem o recurso Netflow habilitado geram registros NetFlow, que são exportados a partir do roteador em protocolo UDP ou em pacotes Stream Control Transmission Protocol (SCTP) e coletados por meio de um coletor de netflow. Juniper Networks e Huawei Technology fornecem uma funcionalidade semelhante para seus roteadores de chamada e JFlow NetStream, respectivamente.

NetFlow e IPFIX[editar | editar código-fonte]

Embora inicialmente implementado pela Cisco, NetFlow está emergindo como um padrão IETF: Internet Protocol Flow Information eXport (IPFIX). Baseado na versão 9 NetFlow execução, IPFIX vai ser o padrão da indústria no futuro muito próximo. Fornecedores de infra-estrutura de rede, incluindo a Nortel Networks e outros, já estão adicionando IPFIX apoio aos seus dispositivos.

Fluxos de Rede[editar | editar código-fonte]

Fluxos de rede ter sido definido de muitas maneiras. No caso do NetFlow, da Cisco usa o 7-comum definição de tupla, onde o fluxo é definido como uma seqüência unidirecional de pacotes de todos compartilhando todas as 7 seguintes valores:

1. Fonte IP address;
2. Destino IP address;
3. Porto da fonte (por exemplo UDP ou TCP porta);
4. Porto do destino (por exemplo UDP ou TCP porta);
5. Protocolo do IP;
6. Relação do ingresso;
7. IP Tipo de serviço.

O roteador irá gravar um fluxo de saída, quando se determina que o fluxo seja concluída. Ele faz isso pelo envelhecimento fluxo: quando o roteador vê de novo tráfego de um fluxo já existente, repõe o contador de envelhecimento. Além disso, encerramento da sessão TCP em um fluxo TCP faz com que o roteador para expirar o fluxo. Roteadores também pode ser configurado para emitir um registro de fluxo em um intervalo fixo, mesmo que o fluxo está ainda em curso. Em Flexible Netflow (FNF) um administrador pode realmente definir propriedades de fluxo no roteador.

Registro de Netflow[editar | editar código-fonte]

Um registro NetFlow pode conter uma grande variedade de informações sobre o tráfego em um fluxo de dados. NetFlow versão 5 (uma das versões mais utilizadas, seguida pela versão 9) contém o seguinte:

  • Número de versão;
  • Número de seqüência;
  • Relação da entrada e da saída SNMP índices;
  • Os Timestamps para o fluxo começam e terminam o tempo;
  • Número dos bytes e dos pacotes observados no fluxo;
  • Camada 3 encabeçamentos:
1. Endereços do IP da fonte & do destino
2. Fonte e números portuários do destino
3. Protocolo do IP
4. Tipo de Serviço (ToS)
  • No exemplo do TCP flui, a união de todas as bandeiras do TCP observadas sobre a vida do fluxo;
  • Camada 3 Roteamento informação:
1. IP address do seguinte-hop imediato (não o nexthop do BGP) ao longo da rota ao destino
2. Máscaras do IP da fonte & do destino (comprimentos do prefixo no CIDR notação)

Alguns roteadores também irão incluir a origem e o destino de Sistema Autônomo (AS) O número, embora esta informação possa ser imprecisa.

NetFlow versão 9 pode incluir todos esses campos e opcionalmente pode incluir informações adicionais, tais como Multiprotocol Label Switching (MPLS) rótulos e endereços IPv6 e portas.

Ao analisar o fluxo de dados, uma imagem do fluxo de tráfego e volume de tráfego em uma rede pode ser construída. O formato de gravação NetFlow tem evoluído ao longo do tempo, daí a inclusão de números de versão. Cisco mantém informações sobre os números de versão diferentes e o layout dos pacotes para cada versão.

NetFlow registros são normalmente enviados via UDP ou SCTP em software mais recente, e por razões de eficiência, o roteador não armazenar registros de fluxo, uma vez que são exportados. Portanto, se o registro NetFlow é descartada devido ao congestionamento da rede, ele será perdido para sempre - não há nenhuma maneira para que o roteador para reenviá-la (isto é correto para UDP NetFlow apenas). O endereço IP do coletor de netflow e do porto em que se escuta tem de ser configurado no roteador o envio, mas normalmente é tanto nas portas 2055, 9555 ou 9995. NetFlow também é ativado em uma base por interface para evitar a desnecessária sobrecarga da CPU do roteador. NetFlow é geralmente baseado na entrada de pacotes para interfaces onde ele estiver habilitado. Isso evita a dupla contagem e poupa trabalho para o roteador. Ele também permite que o roteador exporte registros NetFlow para pacotes ignorados.

Amostra NetFlow Cisco[editar | editar código-fonte]

Manter os dados NetFlow pode ser computacionalmente caro para o roteador e carga de CPU do roteador para o ponto onde ele é executado fora da sua capacidade. Para evitar problemas causados pela exaustão da CPU do roteador, a Cisco fornece "Sampled NetFlow". Ao invés de olhar para todos os pacotes para manter registros Netflow, o roteador examina cada pacote nth, onde n pode ser configurado (como no Determinística NetFlow, usado em RSGs Cisco) ou é uma seleção aleatória de intervalo (como o usado em amostra aleatória Netflow, usado em todas as outras plataformas Cisco). Quando Sampled NetFlow é usado, o NetFlow registros devem ser ajustados para efeitos de amostragem - os volumes de tráfego, em particular, são uma estimativa, e não o volume de fluxo real medido.

Registro do Evento de Segurança de NetFlow Cisco[editar | editar código-fonte]

Introduzida com o lançamento dos produtos Cisco ASA 5580, NetFlow Security Event Logging utiliza Netflow v9 campos e modelos, a fim de entregar eficientemente telemetria de segurança em ambientes de alto desempenho. NetFlow Segurança escalas Event Logging melhor do syslog, oferecendo o mesmo nível de detalhe e granularidade dos eventos registrados.

Monitoração de NetFlow baseada em Pontas de Prova Autônomas[editar | editar código-fonte]

Apesar de freqüentemente utilizado, o roteador abordagem baseada sofre de várias limitações. Cisco roteadores usam freqüentemente a amostragem de pacotes de entrada eo número de pacotes de suporte / seg ou fluxos / s é limitada a menos adicionais placas de rede especializadas e dispendiosas são usadas. Além disso, os roteadores têm fixado colocação, a visibilidade da camada 3 torna alvo de ataques, e as estatísticas fornecidas não são confiáveis o suficiente para o faturamento ou aplicativos de segurança. Além disso, permite o acompanhamento NetFlow diminui o desempenho dos roteadores.

Por esta razão, uma nova abordagem no acompanhamento NetFlow usando sondas autônomo NetFlow está se tornando muito popular. Esta abordagem supera as limitações do roteador monitoramento baseado NetFlow. As sondas são ligados de forma transparente a ligação monitorada como um aparelho totalmente passiva com a TAP ou SPAN porta do switch ou roteador. NetFlow sondas estão usando link dedicado para as exportações NetFlow, portanto, são completamente invisíveis no link monitorados

Versões[editar | editar código-fonte]

Versão Comentário

 v1      Primeira tentativa
 v5      A maioria usou a versão
 v6      Encapsulamento de informação
 v7      Escolha da informação
 v8      Várias formas de agregação
 v9      Template base, permitindo muitas combinações
IPFIX aka v10; IETF Padronizado NetFlow 9 com campos de entrada da comunidade empresarial e outros

Analisadores Populares de NetFlow[editar | editar código-fonte]

PacketTrap NetFlow Listener e coletor

ManageEngine Netflow Collector

Fluke Networks NetFlow Tool

CA NetQoS Reporter Analyzer

TRAFip NetFlow Collector and Analyzer

Ver também[editar | editar código-fonte]

Sflow

Ligações externas[editar | editar código-fonte]

Informações Básicas Netflow no site da Cisco

Packet format for Version 9 NetFlow packets

Cisco NetFlow Security Event Logging

RFC3334

RFC3954

RFC3955