پروتکل NetFlow چیست؟

دسته بندی ها :
پروتکل NetFlow چیست؟

پروتکل NetFlow مانند صورت حساب تلفن است که تمام مکالمات شما را مشخص می‌کند مثلا به کجا و چه مدت تماس گرفتید. در NetFlow تمام IP آدرس های شبکه بررسی می‌شود. با توسعه شبکه آداکهمراه باشید تا به بررسی پروتکل NetFlow، ویژگی‌ها، مزایا، نسخه ها و پیکربندی آن بپردازیم.

پروتکل NetFlow چیست؟

مشاوره و خرید تجهیزات شبکه ، سرور، اکتیو، پسیو
شرکت توسعه شبکه آداک با بیش از 20 سال تجربه و سابقه فعالیت در زمینه فروش تجهیزات شبکه (اکتیو و پسیو)، سرورهای HPE و ملزومات ماشینهای اداری آماده مشاوره ، طراحی و خدمات مربوط به دیتاسنترها ، عرضه رک های دیجیتالی هوشمند مخصوص اتاق سرور، و خدمات کابل کشی طبق استاندارد BICSI و ، TIAتوسط تکنسین ها و مهندسین مجرب و با پشتوانه فنی بیش از ده ها قرارداد پشتیبانی نرم افزاری و سخت افزاری سازمانها، شرکت ها و کارخانجات صنعتی ایران، شما را تا مقصد پروژه همراهی خواهیم کرد. قبل از خرید با کارشناسان آداک در تماس باشید. شماره تماس 021-91303098 ده خط .

 

Netflow ابزار تعبیه شده در سیستم عامل سیسکو (Cisco IOS) است که اتفاقات داخل شبکه را به شما گزارش می‌دهد. ادمین‌های شبکه باید در جریان تمام رویدادهایی که داخل شبکه رخ می‌دهد باشند در اصطلاح Visibility کامل روی شبکه داشته باشند. بدین ترتیب می‌توانند موارد زیر را زیر نظر بگیرند:

  • میزان مصرف شبکه و برنامه ها
  • کارایی شبکه و بهینگی منابع شبکه
  • تاثیر تغییرات در شبکه
  • موارد امنیتی و غیرمعمول در شبکه
  • مشکلات مربوط به دستگاه‌ها

Cisco IOS NetFlow تمام این موارد را پوشش می‌دهد و ادمین شبکه را در جریان اینکه چه کسی، چه چیزی، چه وقتی، کجا و چگونه ترافیک شبکه را استفاده کرده قرار می‌دهد. مثلا چه برنامه‌ای در حال استفاده از پهنای باند است و مقصد ترافیک کجاست. وقتی رفتار شبکه مشخص باشد، می‌توانیم شبکه را بهینه کنیم و امنیت شبکه را افزایش دهیم. با بهینه کردن زیرساخت شبکه، هزینه ها کاهش و درآمد افزایش می‌یابد. مطالعه مطلب”پروتکل در شبکه به چه معناست، بررسی انواع پروتکل شبکه” شما را باپروتکل و انواع آن آشنا می‌کند.

NetFlow از دو قسمت تشکیل شده:

  • Netflow cache: محل نگهداری جریان ترافیک
  • مکانیزم انتقال: انتقال اطلاعات Netflow به NetFlow Collector برای تحلیل و گزارش گیری و نگه‌داری

در ادامه به بررسی این دو قسمت می‌پردازیم.

ویژگی های پروتکل Netflow

قبلا ادمین‌ها برای مانیتور کردن پهنای باند از پروتکل SNMP – Simple Network Management Protocol استفاده می‌کردند اما این پروتکل به اندازه Netflow قدرتمند نیست و در توصیف الگوهای ترافیک شبکه قوی عمل کند. امروزه فهمیدن اینکه شبکه ما چقدر خوب است و می‌تواند کسب‌وکارمان را پشتیبانی کند بسیار مهم است. اینکه بدانیم چه بسته‌هایی در شبکه داریم خوب است اما مهم‌تر از آن دانستن این است که چه آی پی آدرسی آنها را تولید کرده است.

مطالعه مطلب “مانیتورینگ شبکه چیست، چه ضرورتی دارد و چگونه انجام می‌شود؟” در این زمینه مفید است.

توانایی مشخص کردن ترافیک IP و فهمیدن اینکه چطور و کجا در حرکت است برای دسترس‌پذیر بودن شبکه بسیار مهم است. مانیتورینگ جریان ترافیک IP باعث می‌شود برنامه‌ریزی دقیق‌تری روی ظرفیت شبکه داشته باشیم و منابع شبکه به درستی از اهداف کسب‌وکارمان پشتیبانی می‌کنند.

پروتکل Netflow نقش مهمی در امنیت شبکه بازی می‌کند: تشخیص حملات DoS، جلوگیری از پخش شدن ورم‌ها در شبکه، و تشخیص و جلوگیری از دیگر اتفاقات نامطلوب دیگر.

در مقایسه SNMP و NetFlow باید گفت:

SNMP پروتکل مدیریت پهنای باند است که مواردی مانند لود CPU، مصرف رم و وضعیت اینترفیس را بررسی می‌کند.

NetFlow برای شبکه‌های پیچیده با ترافیک بالا کاربرد دارد تا آنومالی شبکه تشخیص داده شود.

تحلیلگر NetFlow که نرم افزار مدیریت شبکه مبتنی بر Flow است، با NetFlow و sFlow و jFlow و IPFIX و دیگر فرمت‌های Flow یکپارچه است تا Visibility بلادرنگ از ترافیک شبکه و کارایی پهنای باند ارایه دهد. NetFlow Analyzer به تشخیص و عیب یابی کندی و آنومالی شبکه به همراه جزییات دقیق کمک می‌کند و نیازهای پهنای باند شما در آینده را مشخص می‌کند.

از جمله قابلیت‌های NetFlow عبارتند از:

  • آنالیز برنامه‌های جدید و تاثیر آنها روی شبکه
  • کاهش پیک ترافیک WAN
  • عیب یابی و فهمیدن Pain Point های شبکه
  • تشخیص ترافیک غیرمجاز WAN
  • امنیت و تشخیص آنومالی شبکه
  • تایید اعتبار پارامترهای QoS – Quality of Service
  • ارایه گزارشات
  • کاهش زمان عیب یابی
  • رفع مشکلات گلوگاه

 NetFlow چگونه کار می‌کند؟

NetFlow چگونه اطلاعات شبکه را ارایه می‌دهد؟ هر بسته‌ای که در سوئیچ و روتر، فوروارد می‌شود از نظر مجموعه‌ای از ویژگی‌های بسته IP بررسی می‌شود. این ویژگی‌ها عبارتند از: هویت بسته IP یا همان اثر انگشت بسته، و تشخیص اینکه بسته منحصر به فرد است یا شبیه بسته های دیگر.

IP Flow چیست؟ IP Flow مجموعه‌ای با ۵ تا ۷ ویژگی بسته IP است. ویژگی های بسته IP که NetFlow استفاده می کند، عبارتند از:

  • آدرس IP مبدا
  • آدرس IP مقصد
  • پورت مبدا
  • پورت مقصد
  • نوع پروتکل لایه ۳
  • Class of Service: یک راهکار مدیریت ترافیک در شبکه است.
  • Interface روتر یا سوییچ

تمام بسته‌هایی که آدرس IP مبدا / مقصد، پورت مبدا / مقصد،protocol interface  و CoS یکسانی دارند در یک flow گروه‌بندی و سپس بررسی می‌شوند. حجم زیادی از اطلاعات شبکه در دیتابیس اطلاعات NetFlow مختصر می‌شوند. به این دیتابیس NetFlow Cache می‌گویند. بنابراین روش اثرانگشت و تشخیص flow ارتقاپذیر است.

نحوه ایجاد flow از ویژگی های بسته

این اطلاعات Flow برای فهمیدن رفتار شبکه بسیار مهم است:

  • آدرس مبدا: مشخص می‌کند چه کسی ترافیک را ایجاد می‌کند.
  • آدرس مقصد: مشخص می‌کند چه کسی ترافیک را دریافت می‌کند.
  • پورت‌ها مشخص می‌کند چه اپلیکیشن‌هایی از ترافیک شبکه استفاده می‌کنند.
  • CoS: اولویت ترافیک را بررسی می‌کند.
  • اینترفیسِ دستگاه مشخص می‌کند دستگاه شبکه چگونه از ترافیک استفاده کند.
  • بایت‌ها و بسته های بررسی شده، مقدار ترافیک را مشخص می‌کنند.

اطلاعاتی که به Flow اضافه می‌شود عبارتند از:

  • Timestamp که مشخص کننده عمر Flow است. timestamp برای محاسبه بایت‌ها و بسته‌ها در هر ثانیه به کار می‌رود.
  • Next hop IP address ها که شامل BGP routing Autonomous Systems (AS) است.
  • Subnet mask در آدرس های مبدا و مقصد برای محاسبه پیشوندها
  • TCP flag برای بررسی TCP handshake
پیشنهاد مطالعه

چگونگی دسترسی به دیتای تولید شده توسط NetFlow

دو روش برای دسترسی به دیتای NetFlow وجود دارد:

  1. Command Line Interface (CLI) با دستورات Show یا ابزارهای گزارش گیری از برنامه‌ها. اگر می‌خواهیدبلافاصله از چیزی که در شبکه در حال وقوع است اطلاع یابید، از این روش استفاده کنید. روشNetFlow CLI برای عیب یابی بسیار مفید است.
  2. ارسال اطلاعات به نرم افزار Netflow Collector برای گرفتن خروجی: وظیفه Netflow Collector این است که اطلاعات جمع‌آوری شده را سر هم کند تا به شکل قابل فهم و گرازشات مفیدی درآیند تا بتوان از آدر آنالیز ترافیک و امنیت استفاده کرد. این کار به صورت دوره‌ای انجام می‌شود (برخلاف SNMP polling).

NetFlow cache همواره در حال پر شدن با flow هاست و نرم افزار موجود در روتر یا سوییچ درحال سرچ flowهای خاتمه یافته یا منقضی شده در این cache است. این flow ها به سرور NetFlow collector  اکسپورت می شوند. تقریبا ۳۰ تا ۵۰ تا Flow با هم دسته‌بندی می‌شوند و در فرمت UDP به سرور NetFlow collector منتقل می‌شوند. نرم افزار NetFlow collector گزارشات بلادرنگ یا سوابق را ایجاد می‌کند.

برخی از نرم افزارهای Collector عبارتند از:

  • SolarWinds NetFlow Traffic Analyzer
  • ManageEngine NetFlow Analyzer Professional
  • Paessler PRTG
  • Plixer International Scrutinizer NetFlow and sFlow Analyzer

flowها چه زمانی خاتمه می‌یابند؟

روتر و سوئیچ چگونه مشخص می‌کنند کدام flow برای خروجی گرفتن – اکسپورت، به سرور netflow collector فرستاده شوند؟

این اتفاق زمانی می‌افتد که:

  1. ارتباطات شبکه پایان یابد و بسته دارای TCP flag ای باشد که نشان‌دهنده پایان flow است مثل FIN و RST و …
  2. بسته برای مدت زیادی در حالت غیرفعال باشد مثلا هیچ بسته جدیدی برای flew دریافت نشود. inactive flow timer برابر با ۱۵ ثانیه است.
  3. بسته برای مدت زمان زیادی فعال است و این زمان بیش از زمان active timer باشد. مثلا دانلود طولانی ftp. عدد active flow timer برابر با ۳۰ دقیقه است.

تایمرها قابل تغییر هستند اما در بیشتر مواقع از همان مقدار پیش فرض استفاده می‌شود به جز سیسکو سوئیچ های سری Catalyst 6500.

Collector می‌تواند flow ها را ترکیب و ترافیک را تجمیع کند. مثلا در دانلود FTP که بیش از تایمر اکتیو طول می‌کشد، ممکن است آن را به چندین flow تقسیم کند و collector این flow ها را ترکیب می‌کند و کل ترافیک FTP را در زمان مشخصی از روز به سرور نمایش می‌دهد.

در فرآیند NetFlow که در روتر و سوئیچ، ابتدا پروسه مانیتورینگ انجام می‌شود و مثلا می‌خواهیم ترافیک پورت خاصی را بررسی و تحلیل کنیم. بعد از مانیتورینگ نوبت پردازش است یعنی و دیتای لازم کش می‌شود. سپس از این دیتا برای تحلیل، اکسپورت می‌شود تا نرم افزار بتواند آن را تحلیل کند. توجه کنید که این روتر نیست که ترافیک را تحلیل می‌کند بلکه نرم افزار Collector این کار را می‌کند.

نسخه های NetFlow

اولین نسخه NetFlow توسط سیسکو ارایه شد و محدود به IPv4 بود که البته در حال حاضر کسی از آن استفاده نمی‌کند.

نسخه های ۲ و ۳ و ۴ نسخه های داخلی بود و کاربرد عمومی نداشت.

NetFlow v5 رایج‌ترین نسخه است که همچنان توسط بسیاری برندهای روتر استفاده می‌شود. در این نسخه، فرمت بسته ثابت است و مانیتورینگ ترافیک NetFlow و گزارش‌دهی آسان‌تر است چون محتوای هر بسته به سرعت قابل شناسایی است.  ۵ بهبودهای بسیاری داشت مانند پشتیبانی از BGP.

۶ حتی توسط سیسکو هم دیگر استفاده نمی‌شود.

نسخه ۷ و ۸ نیز بهبودهایی داشت اما دیگر استفاده نمی‌شوند. نسخه ۷ مشابه نسخه ۵ بود و در سوئیچ های کاتالیست سیسکو پشتیبانی می‌شد.

NetFlow version 9 در حال رایج شدن است. فرمت بسته در آن دینامیک است و قابلیت FNF داردو آن را انعطاف پذیر می‌کند.

IPFIX اغلب به NetFlow version 10 اشاره دارد و این نسخه برای مشخص کردن IPFIX استفاد می‌شود.

نحوه پیاده سازی NetFlow در روتر

برای استفاده از Netflow باید روی دستگاهی مانند روتر فعال شود البته این کار کار راحتی است و نیاز به اعمال هیچ تغییری در شبکه نیست. Netflow روی هر دستگاه مستقل عمل می‌کند و لازم نیست روی همه تجهیزات فعال شود. ویژگی مهم Netflow این است که کاملا پنهان از دید تجهیزات و کاربران پنهان است.

ین قسمت به چگونگی پیکربندی NetFlow روی روتر سیسکو با سیستم عامل IOS می‌پردازیم.

سمت چپ تصویر هاستی داریم که از طریق R1 اینترنت گردی می‌کند. در پایین تصویر سروری داریم که نرم افزار متن باز آنالیز ترافیک دارد که از NetFlow پشتیبانی می‌کند. پیکربندی این سرور از مبحث ما خارج است.

آموزش پیکربندی و کانفیگ NetFlow در روتر

۱- ابتدا باید سرور را معرفی کنیم. روتر تمام Flow ها را به ۱۹۲.۱۶۸.۱.۱ با پورت مقصد UDP با شماره ۲۰۵۵ می‌فرستد:

R1(config)#ip flow-export destination 192.168.1.1 2055

۲-  نسخه NetFlow که می‌خواهید استفاده کنید را مشخص کنید:

R1(config)#ip flow-export version 9

۳- مشخص کنید روتر چه اینترفیسی برای استفاده از IP آن برای ارسال بسته های Netflow استفاده کند که البته این کار آپشنال است:

R1(config)#ip flow-export source FastEthernet 0/0

۴- مشخص کنید روتر از چه اینترفیس هایی برای Track کردن Flow ها استفاده کند:

R1(config)#interface FastEthernet 0/1

۵- فعال کردن قابلیت NetFlow روی اینترفیس های مورد نظر

R1(config-if)#ip route-cache flow

با این دستور تمام Flow ها و Sub interface ها پیگیری می‌شود و اگر بخواهید فقط روی یک جهت و یک Sub interface آن را فعال کنید، از دستور ip flow egress یا ip flow ingress استفاده کنید.

برای بررسی و خطایابی از دستورات زیر استفاده کنید:

R1#show ip flow export 
R1#show ip flow interface
R1#show ip cache flow
R1#clear ip flow stats

مثلا خروجی دستور R1#show ip flow export به صورت زیر است:

R1#show ip flow export
Flow export v9 is enabled for main cache
  Export source and destination details : 
  VRF ID : Default
    Source(1)       192.168.1.254 (FastEthernet0/0)
    Destination(1)  192.168.1.1 (2055) 
  Version 9 flow records
  ۴۳۳ flows exported in 28 udp datagrams
  ۰ flows failed due to lack of export packet
  ۰ export packets were sent up to process level
  ۰ export packets were dropped due to no fib
  ۰ export packets were dropped due to adjacency issues
  ۰ export packets were dropped due to fragmentation failures
  ۰ export packets were dropped due to encapsulation fixup failures

نسخه NetFlow، مبدا و مقصد، چه تعداد Flow اکسپورت شده است.

مثلا خروجی دستور R1#show ip cache flow به صورت زیر است:

R1#show ip cache flow
IP packet size distribution (98406 total packets):
   ۱-۳۲   ۶۴   ۹۶  ۱۲۸  ۱۶۰  ۱۹۲  ۲۲۴  ۲۵۶  ۲۸۸  ۳۲۰  ۳۵۲  ۳۸۴  ۴۱۶  ۴۴۸  ۴۸۰
   .۰۰۰ .۰۱۳ .۰۰۰ .۰۰۱ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰

    ۵۱۲  ۵۴۴  ۵۷۶ ۱۰۲۴ ۱۵۳۶ ۲۰۴۸ ۲۵۶۰ ۳۰۷۲ ۳۵۸۴ ۴۰۹۶ ۴۶۰۸
   .۰۰۰ .۰۰۰ .۰۰۰ .۰۱۰ .۹۶۶ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰ .۰۰۰

IP Flow Switching Cache, 278544 bytes
  ۳۷ active, 4059 inactive, 680 added
  ۱۰۱۵۴ ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
  ۳۷ active, 987 inactive, 680 added, 680 added to flow
  ۰ alloc failures, 0 force free
  ۱ chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-WWW            262      0.1       360  1479     41.1       3.2       8.6
TCP-other          153      0.0        21  1014      1.4       2.5       9.2
UDP-other          228      0.0         1   153      0.0       0.0      15.4
Total:             643      0.2       152  1461     42.7       1.9      11.2

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1         52.17.234.27    Fa0/0         10.56.102.41    06 0050 C1AA     1 
          
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1         23.52.59.27     Fa0/0         10.56.102.41    06 0050 C21D     5 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 F244     1 
Fa0/1         185.54.150.17   Fa0/0         10.56.102.41    06 0050 C228     3 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 D424     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 D4C1     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 D4D4     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 C4F5     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 E92E     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 C93C     1 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 CD0E     1 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C21F    46 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C225    40 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C224    36 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C223    42 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C222    48 
Fa0/1         31.22.80.141    Fa0/0         10.56.102.41    06 0050 C220    57 
Fa0/1         8.8.8.8         Local         10.56.102.41    11 0035 DDDA     1 
Fa0/1         74.125.71.138   Fa0/0         10.56.102.41    06 01BB C1FF     2 
Fa0/1         74.125.71.138   Fa0/0         10.56.102.41    06 01BB C21E     8 
Fa0/1         213.239.154.20  Fa0/0         10.56.102.41    06 01BB C21C     8 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C227     2 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C226     3 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C227     1 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C226     1 
          
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C221     3 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C221     4 
Fa0/1         213.239.154.20  Fa0/0         10.56.102.41    06 0050 C217    12 
Fa0/1         213.239.154.20  Fa0/0         10.56.102.41    06 0050 C217     3 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C219    42 
Fa0/1         213.239.154.20  Fa0/0         10.56.102.41    06 0050 C21B     3 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C21A    10 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C218    58 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C219    11 
Fa0/1         213.239.154.20  Fa0/0         10.56.102.41    06 0050 C21B     3 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C21A    92 
Fa0/1         213.239.154.21  Fa0/0         10.56.102.41    06 0050 C218     9 
Fa0/1         74.125.71.154   Fa0/0         10.56.102.41    06 0050 C229     4

این اطلاعات به شما کمک می‌کند تا درستی کارکرد Netflow روی روتر را بررسی کنید.

برخی از مطالب مرتبط:

sql injection چیست؟

دارک وب و دیپ وب چیست؟؛ پادکست

بیگ دیتا چیست، چگونه به دست می آید و مصرف آن چیست؟

Mail Server چیست؟

پردازنده گرافیکی چیست؟؛ ویدئو

منبع

مشاوره و خرید تجهیزات شبکه ، سرور، اکتیو، پسیو
شرکت توسعه شبکه آداک با بیش از 20 سال تجربه و سابقه فعالیت در زمینه فروش تجهیزات شبکه (اکتیو و پسیو)، سرورهای HPE و ملزومات ماشینهای اداری آماده مشاوره ، طراحی و خدمات مربوط به دیتاسنترها ، عرضه رک های دیجیتالی هوشمند مخصوص اتاق سرور، و خدمات کابل کشی طبق استاندارد BICSI و ، TIAتوسط تکنسین ها و مهندسین مجرب و با پشتوانه فنی بیش از ده ها قرارداد پشتیبانی نرم افزاری و سخت افزاری سازمانها، شرکت ها و کارخانجات صنعتی ایران، شما را تا مقصد پروژه همراهی خواهیم کرد. قبل از خرید با کارشناسان آداک در تماس باشید. شماره تماس 021-91303098 ده خط .

 

مطالب مرتبط

نظرات شما

نیاز به کمک دارید؟ با ما چت کنید!
مکالمه را شروع کنید
سلام! برای چت در واتساپ روی یکی از اعضای ما در بخش زیر کلیک کنید
ما معمولاً در کمتر از چند دقیقه پاسخ شما را می دهیم 😉