http://www.multimediaexpo.cz/mmecz/index.php?action=history&feed=atom&title=NetflowNetflow - Historie editací2026-05-02T01:29:54ZHistorie editací této stránkyMediaWiki 1.16.5http://www.multimediaexpo.cz/mmecz/index.php?title=Netflow&diff=222676&oldid=prevSysop: 1 revizi2013-07-14T23:20:47Z<p>1 revizi</p>
<table style="background-color: white; color:black;">
<tr valign='top'>
<td colspan='1' style="background-color: white; color:black;">← Starší verze</td>
<td colspan='1' style="background-color: white; color:black;">Verze z 14. 7. 2013, 23:20</td>
</tr></table>Sysophttp://www.multimediaexpo.cz/mmecz/index.php?title=Netflow&diff=222675&oldid=prevSysop: Nahrazení textu2011-03-13T23:51:57Z<p>Nahrazení textu</p>
<p><b>Nová stránka</b></p><div><br />
'''NetFlow''' je otevřený protokol vyvinutý společností Cisco Systems, určený původně jako doplňková služba k Cisco [[router|směrovačům]]. Jeho hlavním účelem je monitorování síťového provozu na základě IP toků, které poskytuje administrátorům i manažerům podrobný pohled do provozu na jejich síti v reálném čase. Proto tvoří důležitou a nepostradatelnou součást zabezpečení každé počítačové sítě a je užitečný pro ISP (Internet Service Providers - poskytovatelé připojení), kteří na základě NetFlow statistik mohou svým zákazníkům účtovat ceny služeb v závislosti na množství přenesených dat. S pomocí NetFlow statistik lze odhalovat vnější i vnitřní incidenty, úzká místa v síti, dominantní zdroje provozu, efektivněji plánovat budoucí rozvoj sítě, sledovat, kdo komunikoval s kým, jak dlouho a s pomocí kterého protokolu.<br />
<br />
==NetFlow architektura==<br />
NetFlow architektura se typicky skládá z několika NetFlow exportérů a jednoho NetFlow kolektoru. NetFlow exportér je připojen k monitorované lince a analyzuje procházející [[paket]]y. Na základě zachycených IP toků generuje NetFlow statistiky a ty exportuje na NetFlow kolektor. NetFlow kolektor je zařízení s velkou úložnou kapacitou, které sbírá statistiky z většího počtu NetFlow exportérů a ukládá je do dlouhodobé databáze. Nad těmito daty obvykle běží aplikace, která je umí efektivně vizualizovat a generovat z nich přehledy v podobě grafů a tabulek, které umožňují jednoduše analyzovat monitorovaný provoz i běžnému uživateli.<br />
<br />
===Tradiční architektura===<br />
Tradiční architektura podle Cisco předpokládá na pozici NetFlow exportérů směrovače, které vedle své hlavní činnosti provádějí také výpočet NetFlow statistik. Tradiční architektura však trpí několika nevýhodami. Především se jedná o vysokou pořizovací cenu podobného zařízení, které brání jeho nasazení v malých a středních sítích. Výpočet NetFlow statistik také omezuje směrovací výkon celého zařízení, proto většina směrovačů s podporou NetFlow (s výjimkou těch nejdražších) využívá na vstupu vzorkování, tzn. že se pro výpočet statistik využívá jen každý n-tý paket. Kromě snížené přesnosti měření omezuje vzorkování také pravděpodobnost odhalení bezpečnostních incidentů. <br />
<br />
[[Image:NetFlowTradicniArchitektura.png|center|Schéma tradiční NetFlow architektury.]]<br />
<br />
===Moderní architektura===<br />
Proto se v poslední době stávají velmi oblíbenými řešení, využívající pasivní NetFlow sondy (v ČR např. [[FlowMon]] od firmy [[INVEA-TECH]]), což jsou zařízení specializovaná na monitorování a export NetFlow statistik, která jsou díky své jednoduchosti velmi levná. NetFlow sondy odstraňují všechny nevýhody tradiční architektury a na rozdíl od směrovačů je lze připojit do libovolného bodu v síti a to transparentním způsobem. Sondy procházející data pouze monitorují a nijak do nich nezasahují (proto pasivní sondy). Exportované statistiky jsou na kolektor odesílány dedikovanou linkou a díky tomu jsou na monitorované lince zcela neviditelné (na vrstvách L2 a výše). Tento rys z nich činí velmi obtížný cíl pro případné útočníky.<br />
<br />
[[Image:NetFlowModerniArchitektura.png|center|Schéma moderní NetFlow architektury.]]<br />
<br />
==Co je to IP tok==<br />
IP tok je alfou a omegou celé NetFlow technologie - na jeho základě jsou generovány NetFlow statistiky. Tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje.<br />
<br />
[[Image:NetFlowIPFlow.png|center|Co je to IP tok.]]<br />
<br />
==Popis protokolu==<br />
<br />
NetFlow protokol vznikl v několika verzích, první masově používanou se však stala až verze 5 (NetFlow v5) a v současnosti se začíná hojně využívat i verze 9. Na základě protokolu NetFlow v9 vznikl v nedávné době nový IETF standard Internet Protocol Flow Information eXport (IPFIX), který je taktéž velmi oblíbený a výrobci síťových technologií jej začínají hojně podporovat ve svých nejvýkonějších směrovačích a přepínačích. Lze očekávat, že se v blízké budoucnosti pravděpodbně stane průmyslovým standardem. NetFlow nezahrnuje žádný protokol určený pro konfiguraci spojení mezi exportéry a kolektory. Kromě připojení sond nevyžaduje žádné zásahy do prvků na monitorované síti, proto běžný uživatel vůbec nepozná, že nějaké monitorování probíhá.<br />
<br />
{| class="wikitable" style="margin: 0 auto; text-align: left"<br />
|-<br />
! |Verze<br />
! |Popis<br />
|-<br />
! |v1<br />
| |První verze<br />
|-<br />
! |v2-v4<br />
| |Nebyly uvedeny<br />
|-<br />
! |v5<br />
| |Nejpoužívanější<br />
|-<br />
! |v6<br />
| |Podpora pro tunelovaný provoz<br />
|-<br />
! |v7<br />
| |Informace ze switchů<br />
|-<br />
! |v9<br />
| |Struktura daná šablonou, umožňuje mnoho kombinací<br />
|-<br />
! |IPFIX <br />
| |V podstatě v10, IETF standard, rozšíření v9<br />
|}<br />
<br />
NetFlow záznamy produkované směrovači nebo NetFlow sondami jsou exportovány na kolektor pomoci User Datagram Protokolu (UDP) nebo Stream Control Transmission Protokolu (SCTP). Jakmile je NetFlow záznam exportován, je z důvodů větší efektivity exportérem zahozen. To má za následek ztrátu NetFlow záznamu v případě, že se paket vlivem nepříznivých okolností nepodaří doručit. V případě UDP protokolu už neexistuje možnost, jak tento NetFlow záznam znovu odeslat a je proto ztracen navždy. Export NetFlow paketů probíhá obvykle na portech 2055, 3000-3010, 9555 nebo 9995.<br />
<br />
NetFlow záznam obsahuje důležité statistiky o síťovém provozu. V paketu NetFlow v5 jsou obsaženy následující položky:<br />
<br />
*Číslo verze<br />
*Sekvenční číslo<br />
*SNMP index vstupního a výstupního rozhraní (umožňuje sledovat vytížení jednotlivých síťových rozhraní, vyžaduje seznam rozhraní přístupný pomocí SNMP)<br />
*Čas začátku a konce IP toku (tzn. výskyt prvního a posledního paketu tohoto toku)<br />
*Počet bajtů a paketů v toku<br />
*Údaje z [[L3 vrstva|L3]] hlavičky:<br />
**Zdrojové a cílové IP adresy<br />
**Zdrojové a cílové porty<br />
**IP protokol<br />
**[[Type of Service]] (ToS)<br />
*U TCP toků obsahuje množinu tvořenou sjednocením všem TCP flagů, které se v toku vyskytly.<br />
*Směrovací informace:<br />
**IP adresa přístího hopu (důležité pro analýzu routovacích postupů)<br />
**Maska cílové a zdrojové IP adresy (délky prefixlů podle [[Classless Inter-Domain Routing|CIDR]] notace)<br />
<br />
Některé exportéry také uvádějí hodnotu zdrojového a cílového autonomního systému (AS). Tato hodnota však nemusí být vždy přesná.<br />
<br />
NetFlow v9 je definována jako flexibilní formát. Může obsahovat všechny hodnoty verze 5 a další volitelné položky, např [[Multiprotocol Label Switching|MPLS]], [[IPv6]] adresy a porty atd.<br />
<br />
== Externí informace ==<br />
* [http://www.cisco.com/go/netflow Základní informace o NetFlow u Cisco]<br />
* [http://netflow.caligare.com Další informace o NetFlow]<br />
<br />
<br />
{{Článek z Wikipedie}}<br />
[[Kategorie:Počítačové sítě]]</div>Sysop