Все о NetFlow и sFlow от Web Control
Главная Регистрация Вход
Меню сайта


Категории раздела
NetFlow Ninjas [8]
Новости о мире технологий NetFlow
Network Security [3]
Новости рынка сетевой безопасности
Lancope StealthWatch [29]
Новости о продуктах компании Lancope
Информационная безопасность [1]
Мониторинг и анализ сетей [2]
Новости производителей [23]
Технологии Интернет [2]


Партнеры



Вход


Поиск


Архив новостей
Приветствую Вас, Гость · RSS 15.05.2024, 04:12

Концепция NetFlow

NetFlow означает тип коммутации, который реализуется на оборудовании Cisco. Сейчас он уже не используется для коммутации пакетов, но продолжает считывать их и использовать информацию для создания кэша, отображающего потоки трафика - что с чем соединяется, когда начинается и заканчивается, и как много данных проходит.
Эти данные затем экспортируются в коллектор NetFlow, обрабатываются, фильтруются, агрегируются и перестраиваются для получения статистики трафика, проходящего в сети.
Если функция NetFlow включена в маршрутизаторе, он категоризует весь трафик, который виден в потоках данных от источника к приемнику. Пакеты в одном потоке совместно используют значения для каждого из следующих полей:
  • IP-адрес источника
  • IP-адрес приемника
  • номер порта источника
  • Номер порта приемника
  • Тип протокола Layer 3
  • ToS byte
  • Логический интерфейс источника
Если одно из этих полей отличается, это соответствует новому потоку, который сохраняется в отдельной записи. Через одинаковые промежутки времени роутер пакует записи и экспортирует их в коллектор.

Получаемая информация

Типичная аналитическая информация о потоках, содержащаяся в записях NetFlow, включает в себя:
  • IP-адреса источника и приемника
  • TCP/UDP-порты источника и приемника
  • Значение типа сервиса (ToS)
  • Количество пакетов и байтов
  • Временные метки начала и конца
  • Номера интерфейса источника и приемника
  • TCP-флаги и протокол инкапсуляции
  • Маршрутная информация (next-hop address, source autonomous system (AS) number, destination AS number, source prefix mask, destination prefix mask)
Естественно, вы можете не собирать всю эту информацию. Если все, что вам надо, это IP-адреса источника и приемника, чтобы, например, идентифицировать тех, кто больше всех нагружает сеть, то вы можете таким образом сконфигурировать систему.

Внедрение

Вы должны заранее определить, в каких местах лучше всего включить NetFlow. Например, вы можете контролировать входящий трафик (за исключением сетей MPLS, где вам необходимо получать также исходящую статистику, чтобы осуществлять мониторинг трафика PE to CE), и в этом случае может быть достаточно включать NetFlow только на нескольких центральных маршрутизаторах. Если же вам необходимо наладить безошибочную и высокопроизводительную работу высокоскоростной сети в условиях, скажем, постоянно меняющейся сетевой среды, то имеет смысл использовать специализированные системы сбора и обработки NetFlow (например, Lancope StealthWatch) и включить функцию NetFlow повсюду в сети.
Включив функцию NetFlow на роутере или коммутаторе, вы несколько увеличиваете загрузку их процессора. Для разных устройств величина такой нагрузки разная, но что же касается влияния собственно на саму сеть, NetFlow, как правило, занимает менее 1% от полосы пропускания. См. доп информацию.
Если вам кажется, что такое потребление полосы пропускания велико (например, если роутер имеет множество локальных высокоскоростных интерфейсов, но лимитированную полосу WAN), то вы можете организовать агрегирование NetFlow непосредственно на маршрутизаторе (больше потребляются ресурсы процессора, меньше - полоса пропускания), либо организовать локальную установку коллектора.

Анализ данных

Хотя Cisco и продает NetFlow Collector/Analyser, но это, скорее, базовое решение. Существуют и другие производители, которые предлагают лучше развитые решения - более или менее специализированные. Среди подобных вендоров, например, Concord Communications, Crannog Software, Infovista, HP, Digiquant. Как одно из наиболее развитых решений необходимо отметить продукт компании Lancope - StealthWatch, который, не только имеет полный комплект оборудования и ПО для анализа поведения сети, но и работает со сторонними коллекторами NetFlow.
Существуют даже бесплатные средства сбора NetFlow и создания на базе этих данных отчетов, такие т.н. flow-tools.
Если в вашей сети не устанвлено оборудование Cisco, то это не значит, что вы не можете использовать богатые возможности анализа на базе NetFlow. Сейчас подобный функционал имеет оборудование практически всех ведущих производителей сетевого оборудования. Часто это аналоги, имеющие другое название (sFlow, NetStream, Cflowd, Jflow & cflowd), но суть от этого не меняется.
Поделитесь информацией с друзьями:
Написать письмо
Связаться с нами