Protokół NetFlow zapoczątkował nową erę w monitorowaniu ruchu w sieci


NetFlow udostępnia nowoczesne metody zarządzania siecią i zabezpieczania sieci. Jest to najczęściej używany standard monitorowania ruchu w sieci. Dzięki niemu administratorzy sieci, specjaliści ds. bezpieczeństwa i kierownicy działów IT mają dostęp do szczegółowych informacji na temat swojego środowiska IT. Korzystając z protokołu NetFlow, specjaliści z działu IT mogą rozwiązywać problemy, planować obciążenie, analizować wydajność i wykonywać wiele innych czynności z niespotykaną dotąd skutecznością.

The Principle of Collecting NetFlow

Nowa generacja technologii do zarządzania wydajnością i bezpieczeństwem sieci

Od wielu lat regularne monitorowanie sieci było przeprowadzane przy użyciu protokołu SNMP, który zapewnia ogólny przegląd infrastruktury, dzięki czemu administratorzy sieci dysponowali informacjami o dostępności składników sieci. Obecnie dostępność i prawidłowe działanie firmowej sieci są kluczowe dla istnienia całej organizacji, więc są potrzebne dokładniejsze informacje i zaawansowane metody. Aby umożliwić uzyskiwanie takich informacji, firma Cisco opracowała standard NetFlow, który pozwala gromadzić dane statystyczne ruchu w sieci pochodzące z routerów, przełączników i wyspecjalizowanych sond sieciowych.

NetFlow udostępnia informacje z warstwy 3 i 4, czyli adresy IP, numery portów, numer protokołu, znaczniki czasu, liczbę bajtów i pakietów oraz flagi, a także inne szczegółowe informacje techniczne. Można to porównać do spisu połączeń telefonicznych. Wiemy, kto do kogo, kiedy, jak długo i jak często dzwonił, ale nie znamy tematu danej rozmowy. Gromadzenie, przechowywanie i analizowanie takich zbiorczych informacji pozwala administratorom sieci, specjalistom ds. bezpieczeństwa i kierownikom działów IT wykonywać różne działania.

Protokół NetFlow jest zwykle używany do wykonywania następujących działań:

  • Uzyskiwanie wglądu w stan sieci w dowolnym czasie i miejscu

  • Monitorowanie ruchu w sieci w czasie rzeczywistym

  • Zabezpieczanie sieci przed zagrożeniami wewnętrznymi i zewnętrznymi

  • Śledzenie danych historycznych i przechodzenie do szczegółowych informacji o poszczególnych hostach, aplikacjach i transmisjach

  • Analizowanie przepływów w sieci na potrzeby efektywnego planowania obciążenia i inżynierii ruchu

  • Zapewnianie zgodności z przepisami dotyczącymi przechowywania danych (gromadzonych zgodnie z prawem)

  • Szybkie i dokładne wykrywanie i rozwiązywanie problemów sieciowych

  • Stosowanie inteligentnego raportowania na temat ruchu w sieci i finansów

  • Szczegółowe planowanie i monitorowanie zgodności z zasadami dotyczącymi jakości usługi (ang. QoS)

  • Sprawdzanie zasad wymiany ruchu i umów dotyczących poziomu usług (ang. SLA)

  • Wdrażanie rozliczania i ewidencjonowania na podstawie adresów IP

  • Identyfikowanie użytkowników najintensywniej korzystających z sieci i uzyskiwanie ich statystyk

Gromadzenie danych za pomocą protokołu NetFlow. Jak to działa?

NetFlow to najczęściej używany standard obsługi statystyk danych dotyczących przepływów w komunikacji sieciowej. W środowisku sieci danych jeden przepływ odpowiada transmisji sieciowej z takim samym źródłowym adresem IP, numerem portu źródłowego, protokołem warstwy 4, docelowym adresem IP i numerem portu docelowego. Protokół NetFlow jest dostępny w różnych wersjach, które znacznie różnią się od siebie, dlatego ważne jest poznanie każdej z nich, aby można było wybierać rozwiązania pasujące do konkretnych potrzeb:
 

  • NetFlow 5 — najpopularniejsza wersja, która jest dostępna w rozmaitych routerach i aktywnych składnikach sieci. Jednak ta wersja nie spełnia aktualnych wymagań. NetFlow 5 nie obsługuje ruchu IPv6, adresów MAC, sieci VLAN ani innych pól rozszerzeń.
  • NetFlow 9 — standard oparty na szablonach, który został opisany w normie RFC 3954. Jest też nazywany elastycznym protokołem NetFlow. Ta wersja obsługuje ruch IPv6 i wszystkie pola, które nie są obsługiwane przez protokół NetFlow 5. 
  • NetFlow 10 (znany także jako IPFIX) — standard opracowany przez stowarzyszenie IETF. Rozbudowana wersja protokołu NetFlow 9, która obsługuje pola o zmiennej długości (np. nazwę hosta HTTP lub adres URL HTTP) oraz pola definiowane przez firmę.

Obecnie najczęściej używanymi wersjami są NetFlow 5 (stały format) i NetFlow 9 (elastyczny format oparty na szablonach). Innym często stosowanym protokołem jest IPFIX (znany także jako NetFlow 10). Protokół IPFIX (Internet Protocol Flow Information Export — eksport informacji o przepływach w sieci IP) został opracowany przez grupę roboczą IETF w odpowiedzi na zapotrzebowanie na powszechny i uniwersalny standard eksportowania informacji o przepływach danych w sieci IP. Standard IPFIX definiuje sposób, w jaki informacje o przepływach w sieci IP są formatowane i przekazywane od eksportera do kolektora. Wcześniej wielu operatorów sieci danych podczas eksportowania informacji o przepływach ruchu korzystało z zastrzeżonego prawnie standardu NetFlow firmy Cisco. IPFIX to następca formatu NetFlow, który zapewnia dużo większą elastyczność i umożliwia uzupełnienie danych dotyczących przepływów o dodatkowe informacje o ruchu w sieci.


Zasada działania protokołu NetFlow została przedstawiona w filmie. Gdy klient wysyła żądanie do serwera (zielona koperta), aktywne urządzenie obsługujące eksportowanie NetFlow sprawdza nagłówek pakietu i tworzy rekord przepływu. Rekord przepływu zawiera informacje o źródłowym i docelowym adresie IP, źródłowym i docelowym porcie, numerze protokołu, liczbie bajtów i pakietów oraz inne dane z warstwy 3 i 4. Poszczególne transmisje w sieci danych są identyfikowane przy użyciu pięciu atrybutów: źródłowego i docelowego adresu IP, źródłowego i docelowego portu oraz numeru protokołu. Gdy serwer wysyła odpowiedź do klienta, adresy IP i numery portów w nagłówku są zamieniane miejscami (adresy i porty źródłowe stają się adresami i portami docelowymi oraz na odwrót), więc zostaje utworzony nowy rekord przepływu (technologia NetFlow obsługuje ruch w jednym kierunku). Kolejne pakiety z takimi samymi atrybutami aktualizują wcześniej utworzone rekordy przepływów (np. o liczbę bajtów lub czas trwania transmisji). Po zakończeniu transmisji rekordy przepływu są wysyłane do kolektora, w którym te dane są gotowe do przechowywania i analizowania.

Nasi klienci

Vodafone Czech RepublicAllianzOrange PolskaSiemensVolkswagenE.ONKia Motors Slovakia

Odkryj więcej

Rozwiązanie Flowmon

Rozwiązanie Flowmon

Wypróbuj Flowmon — inteligentne rozwiązanie do monitorowania i ochrony sieci oparte na danych dot...

Monitorowanie i analizowanie sieci

Monitorowanie i analizowanie sieci

Poznaj nową generację rozwiązań do monitorowania ruchu w sieci na podstawie danych dotyczących pr...

Flowmon Collector

Flowmon Collector

Uzyskaj pełny wgląd w informacje o ruchu w sieci dzięki zastosowaniu bardzo wydajnego kolektora N...