Locked History Actions

NetFlow

NetFlow PROTOKOLAS

NetFlow – tai Cisco kompanijos kurtas įrankis maršrutizatoriams, kuris suteikia galimybę tirti duomenų srautus pasirinktam tinklo mazge. Flows kaupiami norint turėti duomenų judėjimo tinkle istoriją. Kuo ilgiau jie saugomi, tuo senesnę srauto informaciją galima panaudoti atliekant analizę, stebint tendencijas, įtartinus srautus ir t.t.

VEIKIMO PRINCIPAS

Tipinė NetFlow topologija susideda iš trijų pagrindinių dalių:

• NetFlow siuntėjas – tai paprastai Cisco maršrutizatorius, kuris analizuoja pro jį praėjusius duomenų srautus, juos apdoroja ir išsiunčia į vieną arba daugiau NetFlow kolektorių.

• NetFlow kolektorius – paprastai serveris su atitinkama programine įranga, kuris atsakingas už duomenų priėmimą, jų saugojimą, filtravimą.

• Analizės programa – yra keletas tokių(flow-tools, nfstat, flowd ir t.t), skirta analizuoti kolektoriaus išsaugotą informaciją, daryti iš jos išvadas, braižyti grafikus ir pan.

http://upload.wikimedia.org/wikipedia/commons/9/9e/NetFlow_Architecture_2012.png

NetFlow siuntėjas (NetFlow Exporter) nepertraukiamai stebi pro jį einančius srautus (flows) (tai viena kryptimi nuo konkretaus siuntėjo iki konkretaus gavėjo praėjusių duomenų paketų seka) ir užtikęs naują srautą jį užregistruoja laikinojoje atminty (cache). Efektyvumo sumetimais NetFlow siuntėjas visiškai nuskaito tik pirmą naujo srauto paketą, kurio atitinkamas vertes ir išsaugo, po to sekantys tos pačios srovės paketai apdorojami pagal vieną ir tą pačią politiką, taip mažiau apkraunant tinklo įrenginį. Srauto paketas susideda iš 7 komponenčių:

1. Siuntėjo IP adresas.

2. Gavėjo IP adresas.

3. Siuntėjo prievadas, skirtas UDP arba TCP protokolui, 0-inis žymi kitus protokolus.

4. Gavėjo prievadas, skirtas UDP arba TCP protokolui, 0-inis žymi kitus protokolus.

5. IP protokolas.

6. Įeinantis loginis prievadas (SNMP ifIndex)

7. IP paslaugos tipas (angl. Type of Service – ToS)

Maršrutizatorius aptikęs srauto pabaigą sukurs įrašą kuris gali atrodyti taip:

IP tipas (Type of Service)Date flow

Start

Duration

Proto

Src IP Addr:Port

Dst IP Addr:Port

Packets

Bytes

Flows

2010-09-01

00:00:00.459

0.000

UDP

127.0.0.1:24920

192.168.0.1:22126

1

46

1

2010-09-01

00:00:00.363

0.000

UDP

192.168.0.1:22126

127.0.0.1:24920

1

80

1

Įrašai gali skirtis savo informacijos kiekiu, tai priklauso nuo NetFlow versijos, kurių dabar yra net 10, nors dažniausiai sutinkama ir naudojama yra v5.

Tinklo įrenginiai, kuriuose sukonfigūruotas flows rinkimas, patys jų nekaupia. Tam naudojami flows kaupimo serveriai, vadinami kolektoriais. Informacija kolektoriui pristatoma UDP protokolu, bet šiuo būdu siunčiami duomenys gali būti lengvai prarasti esant tinklo užsikimšimui arba paketų korupcijai, nes maršrutizatorius nesaugo išsiustų įrašų dėl resursų (cache) limito. Kai kuriuose tinkluose tai galėtų turėti didžiulį poveikį statistikoje, todėl naujesnėse NetFlow versijose yra galimybė apsisaugoti nuo paketų praradimo naudojant Srauto Valdymo Perdavimo Protokolą (Stream Control Transmission Protocol). Reikia paminėti, kad TCP protokolas šiuo atveju netiktų, dėl griežtos paketų tvarkos, kas sukeltų papildomą tinklo apkrovą, vėlinimus ir pan.

Tinklo įrenginys įprastai informaciją kolektoriui siunčia kas minutę, tačiau tai priklauso nuo nustatymo. Kolektoriaus paskirtis yra gauti, apdoroti ir saugoti flows informaciją. Jis gali surinkinėti NetFlow duomenis iš keleto tinklo įrenginių. Kolektoriai sukauptus duomenis filtruoja ir sumuoja pagal vartotojų užklausas, saugo rezultatus. Renkant NetFlow informaciją, sukaupiami dideli duomenų kiekiai, todėl reikia turėti daug vietos jų saugojimui. Per dieną NetFlow duomenų kiekis gali būti nuo kelių megabaitų iki kelių gigabaitų dydžio. Jie gali būti saugomi dvejetainiu arba tekstiniu formatu ir suglaudinti, taip sutaupant kietojo disko vietos. Sukauptą NetFlow informaciją sudėtinga analizuoti pagal pavienius įrašus, todėl peržiūrai ir analizei naudojami specializuoti įrankiai. Jie apdoroja naudotojų užklausas, bendrauja su kolektoriumi ir grąžina reikiamus rezultatus naudotojui. Tai leidžia atvaizduoti duomenis ir efektyviai juos analizuoti.

PANAUDOJIMAS

• Apskaita/Apmokestinimas – NetFlow duomenys leidžia atlikti tikslius matavimus (informaciją apie srovę sudaro IP adresai, paketų ir baitų kiekiai, laiko žymės, paslaugos tipo numeris, portų numeriai ir kt.) lanksčiai ir detalizuotai resursų panaudojimo apskaitai. Paslaugų tiekėjai gali panaudoti šio tipo informaciją pereinant nuo vienodo apmokestinimo prie sudėtingesnių apmokestinimo mechanizmų, paremtų dienos laiko, pralaidumo panaudojimo, konkrečios programos panaudojimo, paslaugos kokybės ir kt. Parametrų apmokestinimo. Verslo įmonės gali panaudoti šio tipo informaciją atskirų departamentų apmokestinimui arba atskirų resursų panaudojimo kaštams skaičiuoti.

• Tinklo planavimas ir analizė – NetFlow duomenys suteikia svarbią informaciją sudėtingiems įrankiams, kaip pvz. Netsys, kad optimizuoti tiek strateginį tinklo planavimą (su kuriais kaimynais sudarinėti tarpusavio ryšius, pagrindinio tinklo planavimą, maršrutizavimo politikos planavimą), tiek taktinius tinklo inžinerijos sprendimus (pvz. linijos pralaidumo padidinimas) – taip minimizuojant visą tinklo valdymo kainą bei padidinant tinklo našumą, pralaidumą ir patikimumą.

• NetFlow monitoringas – NetFlow duomenys suteikia galimybes ilgalaikam, artimam realaus laiko monitoringui. Srovėmis paremti analizės metodai gali būti naudojami, kad grafiškai pavaizduoti tiek susijusius su individualiais maršrutizatoriais srautus, tiek viso tinklo srautus, taip palengvinant galimų problemų atpažinimą.

• Aplikacijų monitoringas ir profiliavimas – NetFlow duomenys leidžia tinklo administratoriams gauti detalų konkrečių programų panaudojimo tinkle vaizdą atitinkamu laiko intervalu. Šią informaciją paslaugų tiekėjai gali panaudoti planuodami priskirti programoms tinklo resursų (pvz. žiniatinklio serverio dydžiui ir buvimo vietai priskirti).

• Vartotojų monitoringas ir profiliavimas – NetFlow duomenis tinklo administratorius gali panaudoti, norėdamas sužinoti kiek tinklo resursų sunaudoja kiekvienas jo vartotojas. Tokia informacija vėliau galima panaudoti planuojant ir priskiriant prieigos prie tinklo parametrus bei potencialioms saugumo skylėms atrasti ir sutvarkyti.

• NetFlow duomenų saugojimas – NetFlow duomenis galima saugoti archyve vėlesniam išgavimui ir analizei. Tai įpač naudinga Interneto paslaugų tiekėjams, kadangi NetFlow duomenys leidžia jiems nuodugniai tirti savo tinklą. Be to, NetFlow duomenys suteikia Interneto rinkos tyrėjams galimybę sužinoti, „kas“, „ką“, „kada“ ir „kiek laiko“ darė tinkle.

IŠVADOS

NetFlow metodas nuo pat jo sukūrimo buvo vystomas atsižvelgiant į tinklo apskaitos ir monitoringo reikalavimus. Jis sukurtas, kad naudotų kiek galima mažiau tinklo ir jo įrenginių resursų, teikiama informacija leidžia susidaryti pilnavertį įspūdį apie konkrečiu laiko momentu esančią situaciją tinkle, atitinkamai keisti tinklo nustatymus, planuoti jo plėtimąsi bei analizuoti galimus probleminius segmentus. NetFlow duomenų paketo struktūra parinkta atsižvelgiant į tai, kad juose esanti informacija bus ne tik analizuojama, bet ir archyvuojama, todėl NetFlow tikslinga naudoti ilgo laiko tinklo analizės sistemose

INFORMACIJOS ŠALTINIAI

http://mokslai.lt/referatai/referatas/30404/duomenu-srautu-informacijos-surinkimo-metodai-3.html

http://en.wikipedia.org/wiki/NetFlow

https://cert.litnet.lt/lt/dokumentai/netflow-panaudojimas/kas-yra-netflow

http://www.cisco.com/c/en/us/td/docs/net_mgmt/netflow_collection_engine/6-0/tier_one/user/guide/user/overview.html#wp1028549

https://www.youtube.com/watch?v=DXXpY9u5V3c

https://www.youtube.com/watch?v=aqTpUmUibB8