پروتکل NetFlow در سال 1996 توسط دو مهندس سیسکو بنامهای Darren Kerr و Barry Bruins ایجاد شد. یک پروتکل مدیریتی که اطلاعات Flow هایی که از روتر یا سوییچ عبور میکنند را به سرور ارسال میکند. بدین صورت میتوان از Flow ها و ترافیک در حال عبور مطلع شد.
NetFlow به پنج سوال رایج در ترافیک شبکه پاسخ میدهد: who, what, when, where and how
چه فرستنده ای به کدام گیرنده در زمان مشخص چه دیتایی را در چه حجمی ارسال میکند.
Source IP address
Destination IP address
Source port for UDP or TCP, 0 for other protocols
Destination port for UDP or TCP, type and code for ICMP, or 0 for other protocols
IP protocol
Ingress interface
IP Type of Service
از این پروتکل در Backbone های اینترنت جهت Accounting براساس ترافیک IP استفاده میشود. (Peering Arrangement )
براین اساس Backbone ها میتوانند ترافیک مورد Exchange خود با یکدیگر را حساب کنند. از دیگر موارد استفاده آن Network Planning و بررسی منابع مورد نیاز شبکه است.
از مصارف جدیدتر NetFlow، NBA يا Network Behavior Analysis است که در امنیت شبکه و برای تشخیص حملات و Denial of Service – DOS مورد استفاده قرار میگیرد.
اطلاعات جمع آوری شده در زمان های مشخصی توسط UDP به سرور NetFlow Collector ارسال میگردد. عموما 20 تا 50 Flow در هر بسته گزارش گنجانده میشود روی اکثر روتر های سیسکو و سوییچ های 6500 و 4500 پشتیبانی شده و جدیدا در نسخه 8.2 سیستم عامل ASA روی فایروال نیز گنجانده شده است. که به آن NSEL یا NetFlow Security Event Logging گفته میشود و برای ارسال Flow ها به CS-MARS در نظر گرفته شده است.
آخرین نسخه NetFlow v9 است که اجازه تعریف اطلاعات ارسالی را بصورت Template به فرستنده و گیرنده میدهد. مثل MPLS و IPv6. همچنین IETF نسخه ای بنام IPFIX را که Version 10 آن اطلاق میشود براساس v9 استاندارد کرده است.RFC5101, RFC5102
از NetFlow برندهای دیگر شبکه نظیر جونیپر ، HP و Brocade تحت عنوان sFlow استفاده میکنند. (استاندارد)
برنامه های Collector متعددی برای NetFlow وجود دارد که قابلیت های زیاد و متنوعی را ارائه میکنند:
بطور مثال در Scrutinizer میتوان کاربر تعریف کرد و براساس هر کاربر سطح دسترسی مشخص کرد. نسخه رایگان آن را از وب سایت Plixer میتوان Download کرد. که البته نسخه حرفه ای آن رایگان نیست:
http://www.plixer.com/products/scrutinizer.php
تنظیمات:
router#configure terminal
router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit
router-2621(config)#ip flow-export destination 192.168.0.101 9996
router-2621(config)#ip flow-export source FastEthernet 0/1
router-2621(config)#ip flow-export version 5
router-2621(config)#ip flow-cache timeout active 1
router-2621(config)#ip flow-cache timeout inactive 15
router-2621(config)#snmp-server ifindex persist
router#show ip flow export
router#show ip cache flow
از دیگر برنامه های Collector :
Adventnet Netflow analyzer
Solarwinds
Linux, FlowScan – http://net.doit.wisc.edu/~plonka/FlowScan
Netscout
Fluke Netflow Tracker – http://www.flukenetworks.com/fnet/en-us/products/NetFlow+Tracker
همچنین:
http://www.switch.ch/tf-tant/floma/software.html
http://www.networkuptime.com/tools/netflow
با سلام و تشکر
منظور از اطلاعات Flow چیست ؟
تصویر فوق یک Flow را نشان میدهد یک ارتباط بین دو دستگاه – بین دو برنامه کاربردی یک Flow نامیده میشود.
با سلام
آیا مطمئن هستید که برای Switch ها هم قابل استفاده است !
Command
آن چیست؟
دوست عزیز اگر متن را مرور کرده باشید تنها روی 4500 و 6500 پشتیبانی میشود…
سلام
آیا netflow پس از اجرا overhead زیادی برروی دستگاه میگزارد؟ از مکانیزم NBAR برای تفکیک ترافیک استفاده میکند ؟
استفاده از NBAR پر هزینه است (Processor) و ارتباطی با عملکرد NetFlow ندارد. ضمنا اغلب Provider ها از NetFlow استفاده میکنند و overhead کمی دارد.
آيا براي استفاده از nwetflow در سوئيچ 4500 كانفيگ خاصي جهت اين سوئيچ لازم است ؟
با تشگر
باید Supervisor شما آنرا Support کند مثلا روی Sup6 که جدیدتر از SupV است پشتیبانی نمیشود اما روی Supervisor بسیار جدید 7 از آن پشتیبانی میشود.
برای تنظیم آن:
Configuring Netflow on 4500 12.2
http://www.solarwinds.com/support/Netflow/docs/OrionNetFlowSwitches.pdf