Netflow
aus Wikipedia, der freien Enzyklopädie
Netflow ist eine Technik, bei der ein Gerät, in der Regel ein Router oder Layer-3-Switch, Informationen über den IP-Datenstrom in das Gerät per UDP exportiert. Diese UDP-Datagramme werden von einem Netflow-Kollektor empfangen, gespeichert und verarbeitet. Die anfallenden Daten werden zur Verkehrsanalyse, zur Kapazitätsplanung oder zur QoS-Analyse verwendet.
Inhaltsverzeichnis |
[Bearbeiten] Technik
Netflow war ursprünglich eine Cisco-Technik, wird jetzt jedoch von vielen Herstellern unterstützt. Neben Netflow gibt es auch noch cFlow (Juniper) und Netstream (Huawei). Beide sind technisch identisch mit Netflow. Es existieren verschiedene Versionen von Netflow. Netflow Version 9 ist als offener Standard in der RFC 3954 beschrieben. Netflow Version 5 ist die in der Praxis am häufigsten verwendete Version. sFlow (RFC 3176) verwendet statistisches Sampling und ist inkompatibel zu Netflow. Es existieren jedoch Konverter.
Ein Flow enthält typischerweise folgende Informationen:
- Versionsnummer und Sequenznummer
- Zeitstempel
- Byte- und Paketzähler
- Quell- und Ziel-IP-Adressen
- Quell- und Ziel-IP-Ports
- Ingress- und Egress-Port-Nummern
- TOS-Informationen
- AS-Nummern (BGP 4)
- TCP-Flags
- Protokoll-Typ (z. B. TCP, UDP oder ICMP)
Je nach Netflow-Version unterscheidet sich der Inhalt der Exportdatagramme leicht. Detaillierte Information können auf der Cisco-Seite gefunden werden.
[Bearbeiten] Anwendung
Netflow ist, wie SNMP, ein passives Messverfahren. D. h. man beobachtet den Verkehr ohne diesen zu beeinflussen. Wie alle passiven Messverfahren, so erzeugt auch Netflow Volumen-Informationen, typischerweise kBit/s.
Um die Netflow-Daten analysieren zu können, ist eine Kollektor-Software notwendig. Es werden in der Regel zwei Arten von Analysen durchgeführt:
- Top-N-Analysen
- Zeitanalysen
Bei Top-N-Analysen werden in einem frei definierbaren Zeitraum, z. B. 24 Stunden, diejenigen Elemente gesucht, die den meisten Verkehr erzeugen. Kriterien können Sender-IP-Adressen (Top Talker), TCP-Ports (Top Applications) oder andere Einträge aus dem Netflow-Datagramm sein.
Zeitanalysen zeigen das Volumen von Verkehrskomponenten über einer Zeitachse.
Da die Netflow-Datagramme per UDP übertragen werden, muss der Kollektor schnell genug sein, die Daten zu empfangen, zu verarbeiten und zu speichern. Verlorene Datagramme können nicht wiederhergestellt werden. Besonders problematisch ist deshalb die Übertragung von Netflow-Daten über WAN-Strecken. Verteilte Systeme haben sich hier besonders gut bewährt. Einige Systeme sind in der Lage, Auswertungen in einem zentralen Datamart vorzuhalten. Das hat den Vorteil, dass Daten nicht wiederholt und mehrfach über WAN Strecken übertragen werden müssen.
Im Service Provider Umfeld ist die Mandantenfähigkeit eine wichtige Eigenschaft von Netflow Systemen. Diese stellt sicher, dass Subscriber nur die für sie jeweils relevanten Daten einsehen können.
[Bearbeiten] Freie Software
[Bearbeiten] Kommerzielle Software
| Produkt | Netflow | cFlow | jFlow | Netstream | sFlow | Verteilt | Mandantenfähig | Zentraler Datamart |
|---|---|---|---|---|---|---|---|---|
| Infosim StableNet | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| NetFlow Tracker | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| Cisco | Ja | Ja | Ja | Ja | Nein | Nein | Nein | Nein |
| IsarFlow | Ja | Ja | Ja | Ja | Nein | Ja | Ja | Ja |
| IBM Aurora | Ja | Ja | Ja | Ja | Ja | Ja | Nein | Nein |
