NetFlow wczoraj i dziś

NetFlow wczoraj i dziś

Autor: Klaudyna Busza

Chcę napisać e-mail – sięgam po telefon, chcę dojechać pod konkretny adres – sięgam po telefon, chcę znaleźć restaurację w okolicy – sięgam po… Tak samo jak wtedy, gdy chcę posłuchać radia, zrobić zdjęcie, kupić bilet, sprawdzić prognozę pogody – można wymieniać bez końca. Technologie się zmieniają i możemy korzystać z tych wszystkich udogodnień albo nadal używać telefonu „tylko” do wykonywania połączeń. W ten sam sposób możemy spojrzeć na metody monitorowania tego co dzieje się w sieci….

Pojawiają się bowiem nowe wersje protokołów, nowe mechanizmy ich wykorzystania; tu również możemy pozostać na etapie podstawowych funkcji lub w pełni wykorzystać oferowane nam nowe możliwości.

Spójrzmy na protokół NetFlow stworzony przez Cisco, przyjęty przez innych producentów (np. sflow, jflow), a obecnie znany jako standard IPFIX. Jest to protokół sieciowy uruchamiany na routerach i przełącznikach warstwy 3, wysyłany do kolektora. Kolektor przechowuje, koreluje otrzymane dane i wyświetla, w mniej lub bardziej przyjazny sposób, statystyki dotyczące naszej sieci.

Najczęściej wykorzystywaną wersją jest nadal NetFlow v5. To są właśnie nasze „podstawy” dostarczające statystyk z warstwy sieci i transportowej (3 i 4 modelu OSI). W tej wersji protokołu każdy record netflow ma stały rozmiar i z góry określone pola zawierające informacje takie jak np: adres IP źródłowy i docelowy, port źródłowy i docelowy, typ ruchu, ilość przesyłanych danych, protokół, flagi TCP.

Kolejna wersja, NetFlow v9, jest wolna od wielu ograniczeń poprzednio omówionej. Dochodzi tutaj wsparcie dla IPv6, a także możemy sami określić jakie parametry mają być przesyłane w rekordzie netflow. Ta druga opcja realizowana jest za pomocą szablonów, a więc ustalany jest format w jakim będą opisywane flow’y (pod jakim identyfikatorem znajduje się jaki parametr). Oczywiście taki szablon musi być dostarczany do kolektora i rozumiany przez niego.

Elastyczną wersją wykorzystania protokołu NetFlow v9 jest Flexible NetFlow, w którym możemy zdefiniować nowe pola i przesyłane w nich informacje, np. adres MAC urządzenia. Dodatkowo możemy stworzyć różne definicje flow’ów pod różne potrzeby, np. dla monitorowania bezpieczeństwa zbierane będą dane ABCD, a dla wydajności sieci dane ABEF i wysyłane do dwóch różnych systemów (kolektorów). Sposób działania Flexible Netflow jest porównywalny do sposobu działania IPFIX (IP Flow Information Export).

IPFIX jest ustandaryzowanym protokołem dla eksportu flow’ów, powstał w oparciu o NetFlow v9 i również bazuje na szablonach do opisu danych. Pozwala na wykorzystanie zmiennej długości pól, co jest stosowane do przesyłania URL.

SFlow dostarcza podobnych informacji o przepływach co NetFlow, tylko statystyki zbierane są np. co 5 rekord. Oznacza to, że router jest mniej obciążony generowaniem statystyk, ale na naszym kolektorze nie będziemy mieć informacji co do każdego, pojedynczego flow’a. Jeżeli potrzebujemy tylko ogólnych informacji typu „top”, wglądu w obciążenie naszej sieci i poszczególnych aplikacji to wystarczy wpisać na kolektorze mnożnik odpowiadający ustawieniom próbkowania na routerze – w ten sposób wyświetlane wartości będą zbliżone do rzeczywistych. Jeżeli chcemy mieć kompletne informacje o każdej pojedynczej konwersacji to, o ile mamy taką możliwość, należy ustawić próbkowanie na routerze co 1 (1:1).

Konfiguracja wszystkich omówionych protokołów jest podobna, sposoby konfiguracji znajdą Państwo w naszych webinarach. Co jeszcze można „wycisnąć” z flowów i NetFlowów – zapraszamy do śledzenia kolejnych wpisów na naszym blogu.

PASSUS SA

Passus SA was established as a result of spin-off the Network and Security Department from Passus Ltd. operating in the IT industry since 1992. It hires 30 highly qualified employees: engineers, programmers and specialists.

 
 

Contact us