NetFlow, nová éra monitorování počítačových sítí

Standard NetFlow je bez nadsázky základní předpoklad moderní správy a zabezpečení počítačových sítí. Jedná se o nejrozšířenější technologii monitorování síťového provozu, která síťovým a bezpečnostním administrátorům poskytuje detailní přehled o tom, co se v jejich infrastruktuře děje. NetFlow výrazně zefektivňuje řadu úloh, jako je například řešení provozních problémů v síti, plánování kapacity, řízení výkonnosti, a poskytuje informace důležité pro ochranu podniku před kybernetickými hrozbami.

Princip monitorování NetFlow

Nový přístup k řízení výkonnosti sítě a bezpečnosti

Po dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který poskytuje informace o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Současná doba, kdy na dostupnosti a správné funkčnosti počítačové sítě závisí fungování většiny organizací, si však žádá mnohem více informací a tedy i efektivnější prostředky. Aby bylo možné tyto informace získávat, uchovávat a analyzovat, vyvinula společnost Cisco standard NetFlow.

NetFlow poskytuje informace z třetí a čtvrté vrstvy referenčního modelu ISO/OSI, tedy informace o IP adresách, portech, protokolech, objemu přenesených dat, paketech a další technické detaily. NetFlow lze připodobnit k výpisu telefonních hovorů. Víme, kdo komunikoval s kým, kdy, jak dlouho, jak často, ale nevíme, jaký byl obsah hovoru. Pomocí sběru, ukládání a analýzy takovýchto informací v agregované podobě mohou síťový a bezpečnostní administrátoři řešit řadu provozních a bezpečnostních úkolů.

NetFlow se typicky používá pro:

  • Detailní monitoring síťového provozu, sledování výkonových parametrů sítě a aplikací

  • Identifikaci a řešení provozních problémů v sítí (troubleshooting)

  • Detekci anomálií a zvyšování síťové bezpečnosti proti pokročilým hrozbám (botnety, infikované stanice, DDoS útoky atd.)

  • Sledování vytíženosti sítě, určení kritických míst, plánování kapacity sítě

  • ​Optimalizaci peeringových dohod a kontrola dodržování SLA

  • Zjednodušení správy sítě pro administrátory, zvýšení spokojenosti uživatelů a zákazníků

  • Plánování a monitorování kvality služeb (QoS)

  • Splnění požadavků na sběr provozních a lokalizačních údajů (Data Retention) dle prováděcí vyhlášky 357/2012 Sb. zákona o elektronických komunikacích

  • Účtování a fakturace služeb založených na množství přenesených dat

  • Monitorování uživatelů a aplikací (služeb), dohled nad využitím internetu

Jak ze síťového provozu získat NetFlow?

NetFlow je v současnosti nejrozšířenější standard pro získávání statistik o datových tocích v síťové komunikaci. Datový tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Cisco během let představilo NetFlow v několika verzích (více například zde), které se od sebe významně liší a je tedy pro konkrétní účely třeba rozumět jejich vlastnostem:
 

  • NetFlow v5 je nejrozšířenější verze podporováná aktivním síťovými prvky. Protože nepodporuje IPv6 provoz, MAC adresy, čísla VLAN a další charakteristiky, je dnes již považována za překonanou.
  • NetFlow v9 je založen na tzv. šablonách a umožňuje flexibilně nastavit, jaké informace z provozu datové sítě budou sledovány. Podporuje IPv6 a další položky, které NetFlow v5 opomíjí.
  • NetFlow v10, nebo též IPFIX, je aktuální, zatím nepříliš rozšířený standard obecně uznávaný IETF. IPFIX dovoluje rozšířit datové toky o další informace o síťovém provozu. IPFIX je budoucností monitorování datových toků.

Nejrozšířenějšími verzemi NetFlow jsou verze 5 a 9. Potřeba jednotného a univerzálního standardu pro export informací o komunikaci v podobě IP toků dala vzniknout standardu IPFIX (Internet Protocol Flow Information Export). Ten definuje, jak jsou informace o IP tocích formátovány a přenášeny z exportéru (routery, switche, speciální sondy, ale i další zařízení) na kolektor. Dříve byli operátoři datových sítí odkázáni na proprietární standard NetFlow společnosti Cisco. Standard IPFIX lze označit za flexibilnějšího následníka NetFlow, který dovoluje rozšířit získávané datové toky o řadu důležitých informací o síťovém provozu.


Princip získávání NetFlow statistik ilustruje video výše. V momentě, kdy je klientem zaslán požadavek na server (zelená obálka), se aktivní síťový prvek podporující export NetFlow „podívá“ do hlavičky paketu a vytvoří záznam o datovém toku. Tento záznam obsahuje informace o zdrojové a cílové IP adrese a portu, číslo protokolu, počtu přenesených bajtů a paketů a další informace z L3 a L4. Každá síťová komunikace je definována pěti atributy: zdrojovou a cílovou adresou, cílový/zdrojový port a číslo protokolu. NetFlow je „jednosměrná“ technologie. Jakmile tedy server odpovídá klientovi (červená obálka), je vytvořen další záznam o datovém toku. Následující pakety se stejnými atributy updatují předchozí záznamy o datovém toku (například počet přenesených bajtů, trvání komunikace).
Jakmile je komunikace ukončena, záznamy o datových tocích jsou poslány na kolektorovou aplikaci, kde jsou tato data uložena a připravena pro vizualizaci a analýzu.

Zákazníci řešení Flowmon

Vodafone Česká RepublikaAllianzOrangeSiemensVolkswagenE.ONKia Motors SlovakiaAVGČeská televizeKofolaSeznam.czUPC

Související témata

Monitorování datových toků

Monitorování datových toků

Zjistěte více o moderním způsobu, jak získat detailní přehled o síťovém provozu.

Flowmon sonda

Flowmon sonda

Flowmon sondy vždy poskytují přesný a detailní monitoring síťového provozu i pro 100 G sítě.

Flowmon kolektor

Flowmon kolektor

Získejte absolutní kontrolu nad děním ve vaší sítí s výkonným NetFlow/IPFIX kolektorem.