Статья добавлена 30 июня 2009, в вторник, в 21:43. С того момента...
3234 |
просмотра |
0 | добавлений в избранное |
0 | комментариев |
Представлена в разделах:
Обзор технологии Cisco NetFlow
NetFlow — сетевой протокол, разработанный компанией Cisco, работающий на оборудовнии Cisco IOS, и предназначенный для сбора информации о трафике внутри сети.
NetFlow — сетевой протокол, разработанный компанией Cisco, работающий на оборудовнии Cisco IOS, и предназначенный для сбора информации о трафике внутри сети. NetFlow является проприетарным, но поддерживается платформами, отличными от Cisco IOS, например роутерами Juniper или FreeBSD/OpenBSD.
Роутеры Cisco с включённым NetFlow, генерируют netflow records. Эти пакеты экспортируются роутером по UDP (User Datagram Protocol) или протоколу передачи с управлением потоком SCTP (Stream Control Transmission Protocol), и хранятся, используя netflow collector. Другие поставщики имеют подобные функции в своих маршрутизаторах, но с различными именами:
- Jflow или cflowd для Juniper
- NetStream для Huawei Technology
- Cflowd для Alcatel-Lucent
Хотя первоначально протокол реализован Cisco, NetFlow был опубликован в виде стандарта: Internet Protocol Flow Information eXport (IPFIX). Он основан на реализации Netflow v9 (RFC 3954). Многие поставщики сетевого оборудования уже добавляют поддержку IPFIX в свои устройства.
Представленная с запуском оборудования Cisco ASA 5580, Регистрация События Безопасности NetFlow использует шаблоны и поля Netflow v9, для эффективной поставки телеметрии безопасности в высокоэффективных средах. Масштабы NetFlow Security Event Logging значительно выше, чем syslogd, представляя тот же самый уровень и степень детализации для зарегистрированных событиях.
Сетевой поток (network flow) определялся разными методами. Традиционное определение Cisco должно использовать 7-кортежный ключ, где поток определён как последовательность однонаправленных пакетов с совместным использованием всех 7 значений:
- IP-адрес источника
- IP-адрес получателя
- Порт источника для TCP или UDP, 0 для остальных протоколов.
- Порт получателя для TCP или UDP, тип и код для ICMP, или 0 для других протоколов
- Протокол IP
- Входной интерфейс
- Тип сервиса IP
Гибкий Netflow (Flexible Netflow, FNF) и IPFIX поддерживают определяемые пользователем ключи потока.
Когда роутер определит, что поток закончен, он выводит записи потока. Когда роутер видит новый трафик для существующего потока, он сбрасывает счётчик. Кроме того, завершение сеанса TCP в TCP потоке заставляет маршрутизатор остановить поток. Роутеры также могут быть сконфигурированы для вывода записей потока в фиксированном интервале, даже поток ещё продолжается. В Flexible Netflow (FNF) администратор может определять свойства потока netflow на другом маршрутизаторе.