NetFlow چیست ؟
یکی از بهترین راه کار ها برای این شما بدانید که ترافیک عبوری از شبکه شما به چه صورت است و چه اتفاقاتی در شبکه شما در حال رخ دادن است، استفاده از قابلیتی به نام پروتکل
NetFlow است. اگر شما میخواهید بدانید که چند درصد از ترافیک عبوری از تجهیزات شبکه شما از نوع FTP ، چند درصد از نوع HTTP و .. ، آدرس های مبدا و مقصد در ترافیک شبکه کدام آدرس ها هستند، بیشترین میزان ترافیک مصرفی کاربران از چه نوعی است و بستهها و بایتهای مبادله شده در شبکه و میزان ترافیک لحظهای در شبکه چگونه است پروتکل NetFlow استفاده می شود. وقتی از NetFlow استفاده می کنیم ، میتوانیم مانیتورینگ ترافیک شبکه را داشته باشیم و این به ما در درسترسی پذیری، کارایی و عیب یابی شبکه بسیار کمک خواهد کرد.
تجزیه و تحلیل اطلاعات با NetFlow به مدیران شبکه این امکان را می دهد که بتوانند الگوهای عمومی ترافیک را شناسایی کنند، اعتبار سنجی کیفیت خدمات (QoS : Quality of Service) را بدست آورند و تاثیر شبکه بر اپلیکیشن های حساس به زمان را متوجه شوند. هم چنین NetFlow میتواند در رابطه با امنیت شبکه برای تشخیص ترافیک WAN غیر مجاز شناسایی برخی رفتار غیر معمول مانند حملات منع دسترسی به سرویس ) ( DOS بسیار کمک کننده باشد.
مولفه های تشکیل دهنده NetFlow
در ابتدا می خواهیم درباره ویژگی های بسته IP صحبت کنیم. هر بسته ای که توسط روتر یا سوییچ سیسکو ارسال می شود از لحاظ مجموعه ای از ویژگی ها در بسته IP شناسایی می شود. این ویژگی ها هستند که نشان می دهند که بسته مشابه با دیگر بسته ها است یا این که یک بسته منحصر به فرد است.
به مجموعه ویژگی های 5 تایی یا حداکثر 7تایی از بسته IP را IP Flow می گویند. این ویژگی ها شامل آدرس IP مبدا (Source IP Address)، آدرس IP مقصد (Destination IP Address) ،پورت مبدا (Source Port) ، پورت مقصد (Destination Port) ، نوع پروتکل لایه 3 (Layer 3 Protocol) ، کلاس سرویس (Cos:Class of Service)، اینترفیس روتر یا سوییچ (Input Interface) می شود.
آدرس IP مبدا ، نشان دهنده این است که چه کسی ترافیک را ایجاد کرده است. آدرس IP مقصد، نشان دهنده این است که چه کسی ترافیک را دریافت کرده است. پورت های مبدا و مقصد نشان دهنده اپلیکیشن هایی هستند که از ترافیک شبکه استفاده می کنند. کلاس سرویس یا Class of Serivce از طریق گروه بندی انواع مشابهی از ترافیک با یکدیگر با هر نوع به و دادن اولویت به آن ها ، ترافیک شبکه را مدیریت می کند. اینترفیس های مرتبط با روتر یا سوییچ، نحوه استفاده از ترافیک توسط دستگاه های شبکه را نشان می دهد.
حال از بین این بسته ها، همه آن بسته هایی که آدرس IP مبدا، آدرس IP مقصد، پورت مبدا، پورت مقصد، کلاس سرویس (CoS) و اینترفیس ورودی یکسانی دارند در یک flow دسته بندی می شوند و سپس بسته ها مورد بررسی قرار می گیرند. حال این حجم بالای اطلاعات شبکه درون پایگاه داده ای از اطلاعات NetFlow به صورت فشرده قرار می گیرند که به آنNetFlow Cache می گویند.
نحوه گزارش گیری و دسترسی به داده تولید شده توسط NetFlow
در فرآیند NetFlow که توسط یک روتر انجام می شود، ابتدا ما باید مانیتورینگ انجام بدهیم، یعنی به روتر دستور داده می شود که ترافیک پورت خاصی را نیاز داریم که تحلیل و بررسی کنیم و Flow داده های موجود در پورت های مشخصی را می خواهیم، که به این مرحله مانیتورینگ می گوییم. بعد از مرحله مانیتور شدن، Netflow کانفیگ می شود تاFlow ها را در NetFlow Cache ذخیره کند و سپس NetFlow export کانفیگ می شود تا Flow ها را به
Collector ارسال کند. Collerctor نرم افزار یا سخت افزاری که وظیفه تحلیل کردن داده های ارسالی NetFlow را بر عهده دارد . معمولا بین 30 تا 50 Flow دسته بندی می شوند تا به سمت NetFlow Collector فرستاده شوند تا Collector گزارش های real time یا بر مبنای یک تاریخ از داده را انجام می دهد. بنابراین سه قسمت اصلی کاری اصلی NetFlow ابتدا Monitoring سپس Export و در نهایت Collector است.