Start » Strefa eksperta » Technologie i pojęcia » Protokól Netflow

Protokół NetFlow


Na pytania co to jest protokół NetFlow i jak go wykorzystać w praktyce odpowiada Grzegorz Mańturzyk, Inżynier Wsparcia Technicznego w firmie Passus

Co to jest netflow?

Netflow to protokół opracowany przez firmę Cisco Systems, znany także obecnie jako standard IPFIX, który stanowi element systemu Cisco IOS. Netflow działa na urządzeniach IP (routery, przełączniki warstwy 3) i dostarcza statystyk o ruchu IP. Standard ten został  przyjęty przez wielu producentów - Juniper udostępnia podobne rozwiązanie pod nazwą jFlow. Inne firmy, takie jak HP, Foundry oraz Extreme stosują technologie przepływu danych pod nazwą sFlow.
Niezależnie od nazwy zakres danych netflow jest znaczący, i stanowi bogate źródło danych aktualizowanych w czasie rzeczywistym, które są zawsze dostępne i dostarczają szczegółowych informacji na temat ruchu danych w sieci.

Zalety i wady

Dzięki technologii netflow możemy identyfikować problemy, wąskie gardła w sieci, sprawdzać ustawienia klas ruchu (CoS/ToS), identyfikować przesyłany ruch oraz aplikacje z możliwością powiązania ich z konkretnym użytkownikiem w zadanym czasie.
Co ważne, NetFlow jako zintegrowana w Cisco IOS technologia nie wymaga dodatkowych urządzeń oraz licencji. NetFlow dostępny jest na większości platform Cisco poczynając od routerów Cisco ISR.
Jednak netflow nie daje zbyt wiele jeśli nie posiadamy odpowiednich narzędzi, które przetworzą dostarczone dane. A właśnie sposób, w jaki personel IT uzyskuje dane, decyduje o ich użyteczności i wpływie na zarządzanie wydajnością sieci. Jeśli wziąć pod uwagę objętość dostępnych informacji, nie ma sensu analizować danych na temat przepływu z każdego elementu sieci z osobna.


Co zrobić aby protokół netflow wykorzystać w praktyce?

Aby w pełni wykorzystać protokół NetFlow należy eksportowane dane zgromadzić w zewnętrznej bazie oraz udostępnić intuicyjny interfejs pozwalający odszukać interesujące nas informacje, anomalie w sieci czy też pomóc w planowaniu rozbudowy sieci.
System „obróbki” informacji zebranych przez netflow składa się z:
  • agenta NetFlow, który kolekcjonuje dane o ruchu przechodzącym przez urządzenie sieciowe i przesyła do "kolektora" szczegółową informację o ruchu IP. W roli agenta może występować niemal dowolny router Cisco  wyposażony w oprogramowanie IOS (od 12.3T funkcja NetFlow jest dostępna w "feature set" SP Services lub wyższych). Obsługa NetFlow jest również zaimplementowana w przełącznikach Catalyst 6500 oraz występuje jako opcja w  przełączniku Catalyst 4500. 
  • kolektora NetFlow, który gromadzi informacje z agentów. Ponieważ danych tych jest dość dużo, zazwyczaj kolektor posiada możliwość filtracji, agregacji danych przed umieszczeniem ich w bazie danych oraz kasowania niepotrzebnych danych. 
  • modułu wizualizacji, który umożliwia prezentacje danych zgromadzonych w kolektorze NetFlow. Dostępne są różne aplikacje np. ułatwiające planowanie sieci, realizujące rozliczanie ruchu, monitorowanie ruchu. Jednym z narzędzi które przetwarza dane dostarczane przez protokół netflow/IPFIX i jego pochodne jest NetFlow Tracker opracowany przez firmę Visual Network Systems. Odpowiada on na pytanie jak wykorzystanie sieci wpływa na jej wydajność,  pozwala ponadto zachować informacje o wszystkich strumieniach przez niemal nieograniczony czas (barierą jest 999 lat lub pojemność dysku twardego), a także udostępnia graficzny interfejs przez WWW, dzięki czemu z narzędziem możne pracować wielu użytkowników równocześnie, także zdalnie.

Kilka najważniejszych korzyści z wdrożenia

Główną zaletą netflow jest fakt, że jego umiejętne wykorzystanie pozwala na stworzenie stosunkowo taniego i łatwego w obsłudze systemu monitorowania ruchu sieciowego – jedyny koszt wiąże się z  koniecznością zakupu aplikacji umożliwiającej wizualizacje danych.
Po drugie mamy możliwość monitorowania dowolnego łącza w sieci - konfiguracja NetFlow na routerze odbywa się programowo, możemy więc selektywnie włączyć monitorowanie NetFlow na newralgicznych urządzeniach np. w węźle centralnym, na routerze obsługującym łącze do Internetu, lub w miejscach gdzie występują problemy z siecią.
Po trzecie NetFlow jest protokołem otwartym - dostępne są liczne aplikacje firm trzecich, takich jak NetFlow Tracker firmy Fluke Networks,  które umożliwiają monitorowanie sieci w czasie rzeczywistym, tworzenie raportów, rozliczanie użytkowników w sieci. Często są to aplikacje pisane na zamówienie klienta dostosowane do specyficznych wymagań. Wykorzystanie systemu opartego na protokole netflow daje takie korzyści jak:
  • wzrost bezpieczeństwa sieci – monitorowanie aktywności sieciowej jest jednym z kluczowych elementów zapewnienia bezpieczeństwa. Systemy wizualizacji takie jak netflow Tracker powalają na identyfikację skanowania portów, ataków DoS, rozpoznawanie podmienionych adresów IP na interfejsie
  • pełna widoczność ruchu sieciowego i źródła tego ruchu  pomaga w identyfikacji nielegalnych działań i w uniknięciu kosztownych kar za np. nielicencjonowane użycie programów
  • planowanie rozwoju sieci – rozpoznanie trendów w ruchu i dopasowanie rozmiarów łączy zanim sieć padnie pod jego naporem (np. wychwytywanie źle umiejscowionych serwerów i przeniesienie ich w inne miejsce w celu uniknięcia dużego obciążenia sieci WAN)
  • szybsze rozwiązywanie problemów – np. poprzez możliwość optymalizacji ustawień QoS w celu nadania prawidłowych priorytetów ważnym aplikacjom, a co za tym idzie szybsze czasy odpowiedzi
 
Ekspert
Pobierz
Zobacz produkty

NetFlow Tracker

Narzędzie do monitorowania ruchu w sieci w oparciu o protokół NetFlow