Flow-потоки бывают нескольких форматов. В чем их отличия? Какие из них поддерживаются Flowmon?
Flow-мониторинг стал превалирующим методом мониторинга трафика в высокоскоростных сетях. Существует несколько стандартов flow-формата, среди которых может быть трудно выбрать именно тот, который необходим вам. В этой статье мы рассмотрим наиболее распространенные форматы flow, приводя описание их происхождения, основных характеристик и различий.
История происхождения flow-мониторинга
История flow-мониторинга начинается в 1996 году, когда протокол NetFlow был запатентован компанией Cisco Systems. Flow-данные представляют собой единый пакет flow в сети с пятиступенчатой идентификацией, состоящей из проверки IP-адреса источника данных, IP-адреса места назначения, порта источника, порта места назначения и протокола. Получив эти данные, пакеты агрегируются в записи flow, которые аккумулируют весь объем переданных данных, количество пакетов, и другую информацию из сети с уровня передачи данных (transport layer). Обычный процесс установки flow-мониторинга состоит из следующих компонентов:
- Flow exporter – экcпортер flow, создает записи flow путем объединения информации о пакете и экспортирует записи в один или несколько коллекторов (например, зонд Flowmon Probe).
- Flow collector – коллектор flow, собирает и хранит данные flow (например, Flowmon Collector).
- Analysis application – анализ приложений, позволяет визуализировать и анализировать полученные данные flow (например, Flow Monitoring Center – встроенное приложение с функцией мониторинга и анализа для Flowmon Collector).
Изначально Cisco разрабатывал протокол для собственных решений. Другие производители последовали примеру такого подхода и создали более или менее схожие форматы данных flow.
CISCO STANDARDS
NETFLOW V5
Первый широко используемой версией был протокол NetFlow v5, который стал доступен в 2006 году. Он до сих пор является самым распространенным, и поддерживается рядом роутеров и свитчей. Тем не менее, он уже не соответствует требованиям точного flow-мониторинга, и он не поддерживает IPv6 трафик, MAC адрес, VLAN и другие расширения.
NETFLOW V9
NetFlow v9 привнес несколько дополнений. Самое важное из них связано с поддержкой шаблонов, которая позволяет осуществлять настраиваемый экспорт flow, и обеспечивает то, что NetFlow может быть адаптирован для поддержки новых протоколов. Другие доработки связаны с появлением поддержки IPv6, Virtual Local Area Networks (VLANs) и Multiprotocol Label Switching (MPLS) и других функций. NetFlow v9 используется в большинстве современных роутеров и коммутаторов Cisco.
FLEXIBLE NETFLOW
Cisco продолжает работать над технологией NetFlow. Следующее поколение получает название Flexible NetFlow, и вскоре имеет расширение NetFlow v9. Все, что может экспортировать NetFlow становится настраиваемым под требования пользователя, что позволяет клиентам экспортировать практически любые данные, которые проходят через роутер.
NSEL
NSEL (NetFlow Security Event Logging) позволяет экспортировать информацию брандмауэра из семейства устройств Cisco ASA, обеспечивающих защиту сети. Он использует протокол NetFlow, но запрашивает другую интерпретацию и имеет другие случаи применения: цель NSEL – это отслеживание событий и журналов межсетевого экрана через NetFlow.
RELATED STANDARDS
IPFIX
Описание протокола IPFIX (Internet Export Flow Information eXport) было опубликовано комитетом IETF в 2008 году. IPFIX является производным от NetFlow v9 и должен служить универсальным протоколом для экспорта информации о flow-потоках из сетевых устройств в коллектор или NMS (систему управления сетью). IPFIX является более гибким, чем NetFlow, и позволяет расширять данные flow-потока дополнительной информацией о сетевом трафике. Например, наши надстройки Flowmon IPFIX расширяют данные IPFIX flow метаданными протокола с уровня приложений, статистикой производительности сети и другой информацией.
В настоящее время некоторые устройства Cisco поддерживают только традиционный NetFlow протокол, в то время как другие поддерживают Flexible NetFlow или сразу оба протокола.
JFLOW, NETSTREAM
Оба протокола основаны на оригинальном стандарте Cisco NetFlow. jFlow был разработан компанией Juniper Networks, NetStream – компанией Huawei.
Прочие стандарты
SFLOW
В отличие от NetFlow, работа sFlow основана на выборке. Агент sFlow получает статистику трафика с использованием порта выборки sFlow, формирует пакеты данных sFlow, которые затем отправляются в коллектор. sFlow предоставляет два режима выборки – flow-выборка и выборка счетчика:
• Flow-выборка, когда агент sFlow производит выборку пакетов в одном или обоих направлениях в интерфейсе, исходя из коэффициента выборки, и анализирует пакеты для получения информации о содержимом пакетных данных.
• Выборка счетчика, при которой агент sFlow периодически получает статистику трафика в интерфейсе.
Выборка потока фокусируется на деталях трафика для мониторинга и анализа поведения трафика в сети, в то время как выборка счетчика фокусируется на общей статистике трафика.
Однако из-за выборки пакетов невозможно получить точное представление о трафике, и часть трафика будет пропущена. Поэтому выборка может ограничить использование данных потока в таких случаях, как обнаружение аномалий в сети. С другой стороны, он может быть использован для топ-статистики или обнаружения DDoS-атак.
Какие форматы поддерживаются Flowmon?
Наш автономный зонд Flowmon Probe позволяет экспортировать данные flow в форматах NetFlow v5/v9 и IPFIX. Кроме того, зонд может использовать расширение Flowmon IPFIX, которое позволяет расширять данные потока дополнительной информацией, такой как статистика производительности сети (например, время приема-передачи, время отклика сервера и jitter) и информация из протоколов приложений (HTTP, DNS, DHCP, SMB, E-mail, MSSQL и другие).
Flowmon Collector может обрабатывать статистику сетевого трафика из различных источников данных и стандартов потока, включая:
- NetFlow v5/v9
- IPFIX
- NetStream
- jFlow
- sFlow, NetFlow Lite
Заключение: Какой формат flow использовать?
Мы представили описание наиболее распространенных форматов потока. Конечно, формат, который вы можете использовать, зависит от вашей сетевой инфраструктуры, но, исходя из нашего опыта разработки высокопроизводительных устройств сетевого мониторинга, мы настоятельно рекомендуем использовать форматы экспорта NetFlow v9/ IPFIX, поскольку они предоставляют наиболее точную и исчерпывающую информацию. Более подробно о совместимых источниках flow-данных можно узнать на нашем веб-сайте. Если вы хотите получить более подробную информацию о том, как образуются flow-потоки, ознакомьтесь с предыдущей заметкой в блоге.
Чтобы узнать, как Flowmon может помочь производить мониторинг вашей корпоративной сети, ознакомьтесь с онлайн-демо или загрузите бесплатную пробную версию.