NetFlow, nová éra monitorování počítačových sítí

Standard NetFlow je bez nadsázky základní předpoklad moderní správy a zabezpečení počítačových sítí. Jedná se o nejrozšířenější technologii monitorování síťového provozu, která síťovým a bezpečnostním administrátorům poskytuje detailní přehled o tom, co se v jejich infrastruktuře děje. NetFlow výrazně zefektivňuje řadu úloh, jako je například řešení provozních problémů v síti, plánování kapacity, řízení výkonnosti, a poskytuje informace důležité pro ochranu podniku před kybernetickými hrozbami.

Princip monitorování NetFlow

Nový přístup k řízení výkonnosti sítě a bezpečnosti

Po dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který poskytuje informace o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Současná doba, kdy na dostupnosti a správné funkčnosti počítačové sítě závisí fungování většiny organizací, si však žádá mnohem více informací a tedy i efektivnější prostředky. Aby bylo možné tyto informace získávat, uchovávat a analyzovat, vyvinula společnost Cisco standard NetFlow.

NetFlow poskytuje informace z třetí a čtvrté vrstvy referenčního modelu ISO/OSI, tedy informace o IP adresách, portech, protokolech, objemu přenesených dat, paketech a další technické detaily. NetFlow lze připodobnit k výpisu telefonních hovorů. Víme, kdo komunikoval s kým, kdy, jak dlouho, jak často, ale nevíme, jaký byl obsah hovoru. Pomocí sběru, ukládání a analýzy takovýchto informací v agregované podobě mohou síťový a bezpečnostní administrátoři řešit řadu provozních a bezpečnostních úkolů.

NetFlow se typicky používá pro:

  • Detailní monitoring síťového provozu, sledování výkonových parametrů sítě a aplikací

  • Identifikaci a řešení provozních problémů v sítí (troubleshooting)

  • Detekci anomálií a zvyšování síťové bezpečnosti proti pokročilým hrozbám (botnety, infikované stanice, DDoS útoky atd.)

  • Sledování vytíženosti sítě, určení kritických míst, plánování kapacity sítě

  • ​Optimalizaci peeringových dohod a kontrola dodržování SLA

  • Zjednodušení správy sítě pro administrátory, zvýšení spokojenosti uživatelů a zákazníků

  • Plánování a monitorování kvality služeb (QoS)

  • Splnění požadavků na sběr provozních a lokalizačních údajů (Data Retention) dle prováděcí vyhlášky 357/2012 Sb. zákona o elektronických komunikacích

  • Účtování a fakturace služeb založených na množství přenesených dat

  • Monitorování uživatelů a aplikací (služeb), dohled nad využitím internetu

Jak ze síťového provozu získat NetFlow?

NetFlow je v současnosti nejrozšířenější standard pro získávání statistik o datových tocích v síťové komunikaci. Datový tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Cisco během let představilo NetFlow v několika verzích (více například zde), které se od sebe významně liší a je tedy pro konkrétní účely třeba rozumět jejich vlastnostem:
 

  • NetFlow v5 je nejrozšířenější verze podporováná aktivním síťovými prvky. Protože nepodporuje IPv6 provoz, MAC adresy, čísla VLAN a další charakteristiky, je dnes již považována za překonanou.
  • NetFlow v9 je založen na tzv. šablonách. Je známý také jako „flexibilní NetFlow“, protože umožňuje flexibilně nastavit, jaké informace z provozu datové sítě budou sledovány. Podporuje IPv6 a další položky, které NetFlow v5 opomíjí.
  • NetFlow v10, nebo též IPFIX, je aktuální, zatím nepříliš rozšířený standard obecně uznávaný IETF. IPFIX dovoluje rozšířit datové toky o další informace o síťovém provozu. IPFIX je budoucností monitorování datových toků.

Nejrozšířenějšími verzemi NetFlow jsou verze 5 a 9. Potřeba jednotného a univerzálního standardu pro export informací o komunikaci v podobě IP toků dala vzniknout standardu IPFIX (Internet Protocol Flow Information Export). Ten definuje, jak jsou informace o IP tocích formátovány a přenášeny z exportéru (routery, switche, speciální sondy, ale i další zařízení) na kolektor. Dříve byli operátoři datových sítí odkázáni na proprietární standard NetFlow společnosti Cisco. Standard IPFIX lze označit za flexibilnějšího následníka NetFlow, který dovoluje rozšířit získávané datové toky o řadu důležitých informací o síťovém provozu.


Princip získávání NetFlow statistik ilustruje video výše. V momentě, kdy je klientem zaslán požadavek na server (zelená obálka), se aktivní síťový prvek podporující export NetFlow „podívá“ do hlavičky paketu a vytvoří záznam o datovém toku. Tento záznam obsahuje informace o zdrojové a cílové IP adrese a portu, číslo protokolu, počtu přenesených bajtů a paketů a další informace z L3 a L4. Každá síťová komunikace je definována pěti atributy: zdrojovou a cílovou adresou, cílový/zdrojový port a číslo protokolu. NetFlow je „jednosměrná“ technologie. Jakmile tedy server odpovídá klientovi (červená obálka), je vytvořen další záznam o datovém toku. Následující pakety se stejnými atributy updatují předchozí záznamy o datovém toku (například počet přenesených bajtů, trvání komunikace).
Jakmile je komunikace ukončena, záznamy o datových tocích jsou poslány na kolektorovou aplikaci, kde jsou tato data uložena a připravena pro vizualizaci a analýzu.

Ke stažení

Flowmon ADS

Popis produktu

Flowmon APM

Popis produktu

Flowmon kolektor

Popis produktu

Flowmon DDoS Defender

Popis produktu

Zákazníci řešení Flowmon

Vodafone Česká RepublikaAllianzOrangeSiemensVolkswagenE.ONKia Motors SlovakiaAVGČeská televizeKofolaSeznam.czUPC

Související témata

Monitorování datových toků

Monitorování datových toků

Zjistěte více o moderním způsobu, jak získat detailní přehled o síťovém provozu.

Flowmon sonda

Flowmon sonda

Flowmon sondy vždy poskytují přesný a detailní monitoring síťového provozu i pro 100 G sítě.

Flowmon kolektor

Flowmon kolektor

Získejte absolutní kontrolu nad děním ve vaší sítí s výkonným NetFlow/IPFIX kolektorem.