Wikipédia

Netflow

Netflow é um recurso que foi introduzido em roteadores Cisco cuja função é coletar características e informações sobre o tráfego de redes IP, tanto na saída quanto na entrada de uma interface. Ao analisar os dados fornecidos pelo Netflow, um administrador de rede pode determinar tarefas como a origem e o destino do tráfego, classe de serviço, e as causas de congestionamento. Netflow é composto por três componentes: o cache de fluxo, coletor de fluxo e analisador de dados.

Descrição do Protocolo editar

Roteadores e switches que suportam NetFlow podem coletar estatísticas de tráfego IP em todas as interfaces onde o NetFlow está habilitado, e depois exportar essas estatísticas como registros NetFlow para pelo menos um coletor NetFlow - normalmente um servidor que faz a análise de tráfego real.

NetFlow e IPFIX editar

NetFlow foi implementado inicialmente pela Cisco, e descrito em um documento "informacional" que não consta da RFC 3954 - Cisco Systems NetFlow Serviços Export Versão 9. O protocolo NetFlow em si foi substituído pelo Internet Protocol Flow Information eXport (IPFIX). Baseado na implementação NetFlow Versão 9, IPFIX está de acordo com os padrões IETF RFC 5101, RFC 5102, etc., publicados em 2008..

Fluxos de Rede editar

Um fluxo de rede pode ser definido de várias maneiras. Cisco padrão NetFlow versão 5 define um fluxo como uma seqüência unidirecional de pacotes que todos compartilham os sete valores a seguir:

Interface de acesso (SNMP (ifIndex))

Endereço IP de origem 

Endereço IP de destino 

Protocolo IP 

Porta de origem para UDP ou TCP, 0 para outros protocolos 

Porta de destino para UDP ou TCP, tipo e código de ICMP, ou 0 para outros protocolos 

Tipo de Serviço IP 

Note-se que a interface de saída IP nexthop ou BGP Nexthops não fazem parte da chave, e podem não ser precisos se a mudança de rota antes do término do fluxo, ou se o balanceamento de carga for feito por pacote. 

Esta definição de fluxos é também utilizado para o IPv6, e uma definição semelhante é utilizado para os fluxos de Ethernet e MPLS.

Implementações avançadas NetFlow ou IPFIX , tal como Cisco Flexible NetFlow , permitem fluxo com chaves definidas pelo usuário.

Uma saída típica de uma ferramenta NetFlow ,em uma linha de comando (nfdump, neste caso), apresenta os fluxos armazenados conforme mostrado abaixo: 

 Date flow start          Duration Proto   Src IP Addr:Port      Dst IP Addr:Port     Packets    Bytes Flows
 2010-09-01 00:00:00.459     0.000 UDP     127.0.0.1:24920   ->  192.168.0.1:22126        1       46     1
 2010-09-01 00:00:00.363     0.000 UDP     192.168.0.1:22126 ->  127.0.0.1:24920          1       80     1

Registro de Netflow editar

Um registro NetFlow, o qual pode conter uma grande variedade de informações sobre o tráfego em um fluxo de dados. NetFlow - versão 5 (uma das versões mais utilizadas, seguida pela versão 9), contém o seguinte:

  • Número de versão;
  • Número de seqüência;
  • Relação dos índices SNMP de entrada e da saída;
  • Os Timestamps para o período de início e término do fluxo;
  • Número de bytes e de pacotes verificados no fluxo;
  • Camada 3 encabeçamentos:
1. Endereços do IP da fonte e do destino
2. Fonte e números das portas de destino
3. Protocolo IP
4. Tipo de Serviço (ToS)
  • No exemplo do TCP flui, a união de todas as bandeiras do TCP observadas sobre a vida do fluxo;
  • Camada 3 Roteamento informação:
1. IP address do seguinte-hop imediato (não o nexthop do BGP) ao longo da rota ao destino
2. Máscaras do IP da fonte & do destino (comprimentos do prefixo no CIDR notação)

Alguns roteadores também irão incluir a origem e o destino de Sistema Autônomo (AS) O número, embora esta informação possa ser imprecisa.

NetFlow versão 9 pode incluir todos esses campos e opcionalmente pode incluir informações adicionais, tais como Multiprotocol Label Switching (MPLS) rótulos e endereços IPv6 e portas.

Ao analisar o fluxo de dados, uma imagem do fluxo de tráfego e volume de tráfego em uma rede pode ser construída. O formato de gravação NetFlow tem evoluído ao longo do tempo, daí a inclusão de números de versão. Cisco mantém informações sobre os números de versão diferentes e o layout dos pacotes para cada versão.

NetFlow registros são normalmente enviados via UDP ou SCTP em software mais recente, e por razões de eficiência, o roteador não armazenar registros de fluxo, uma vez que são exportados. Portanto, se o registro NetFlow é descartada devido ao congestionamento da rede, ele será perdido para sempre - não há nenhuma maneira para que o roteador para reenviá-la (isto é correto para UDP NetFlow apenas). O endereço IP do coletor de netflow e do porto em que se escuta tem de ser configurado no roteador o envio, mas normalmente é tanto nas portas 2055, 9555 ou 9995. NetFlow também é ativado em uma base por interface para evitar a desnecessária sobrecarga da CPU do roteador. NetFlow é geralmente baseado na entrada de pacotes para interfaces onde ele estiver habilitado. Isso evita a dupla contagem e poupa trabalho para o roteador. Ele também permite que o roteador exporte registros NetFlow para pacotes ignorados.

Amostra NetFlow Cisco editar

Manter os dados NetFlow pode ser computacionalmente caro para o roteador e carga de CPU do roteador para o ponto onde ele é executado fora da sua capacidade. Para evitar problemas causados pela exaustão da CPU do roteador, a Cisco fornece "Sampled NetFlow". Ao invés de olhar para todos os pacotes para manter registros Netflow, o roteador examina cada pacote nth, onde n pode ser configurado (como no Determinística NetFlow, usado em RSGs Cisco) ou é uma seleção aleatória de intervalo (como o usado em amostra aleatória Netflow, usado em todas as outras plataformas Cisco). Quando Sampled NetFlow é usado, o NetFlow registros devem ser ajustados para efeitos de amostragem - os volumes de tráfego, em particular, são uma estimativa, e não o volume de fluxo real medido.

Registro do Evento de Segurança de NetFlow Cisco editar

Introduzida com o lançamento dos produtos Cisco ASA 5580, NetFlow Security Event Logging utiliza Netflow v9 campos e modelos, a fim de entregar eficientemente telemetria de segurança em ambientes de alto desempenho. NetFlow Segurança escalas Event Logging melhor do syslog, oferecendo o mesmo nível de detalhe e granularidade dos eventos registrados.

Monitoração de NetFlow baseada em Pontas de Prova Autônomas editar

Apesar de freqüentemente utilizado, o roteador abordagem baseada sofre de várias limitações. Cisco roteadores usam freqüentemente a amostragem de pacotes de entrada eo número de pacotes de suporte / seg ou fluxos / s é limitada a menos adicionais placas de rede especializadas e dispendiosas são usadas. Além disso, os roteadores têm fixado colocação, a visibilidade da camada 3 torna alvo de ataques, e as estatísticas fornecidas não são confiáveis o suficiente para o faturamento ou aplicativos de segurança. Além disso, permite o acompanhamento NetFlow diminui o desempenho dos roteadores.

Por esta razão, uma nova abordagem no acompanhamento NetFlow usando sondas autônomo NetFlow está se tornando muito popular. Esta abordagem supera as limitações do roteador monitoramento baseado NetFlow. As sondas são ligados de forma transparente a ligação monitorada como um aparelho totalmente passiva com a TAP ou SPAN porta do switch ou roteador. NetFlow sondas estão usando link dedicado para as exportações NetFlow, portanto, são completamente invisíveis no link monitorados

Ver também editar

Sflow

Ligações externas editar

Informações Básicas Netflow no site da Cisco

Packet format for Version 9 NetFlow packets

Cisco NetFlow Security Event Logging

RFC3334

RFC3954

RFC3955

Obtida de "https://pt.wikipedia.org/w/index.php?title=Netflow&oldid=67554890"