Netflow panaudojimas


Intro

NetflowCisco
Systems
sukurtas tinklo protokolas, skirtas įrangos su
paleista Cisco operacine sistema IP srautui stebėti.
Tam panaudojama apie srautą sukaupta informacija.
Netflow pritaikomas srauto apskaičiavimui, tinklo
apmokestinimui pagal vartojimą, tinklo planavimui, saugumui,
elektroninių paslaugų trikdymo atakų (angl. Denial of
Service – DoS
) ir tinklo stebėjimui. Netflow
duomenys gali būti eksportuojami į tinklo valdymo
programas, kurios apdoroja gautus duomenis apskaitos, tinklo
planavimo ir kitais tikslais. Netflow yra palaikoma ir
kitų platformų: Juniper, Enterasys,
Linux, FreeBSD, NetBSD, OpenBSD.

Flow galima apibrėžti
skirtingais būdais. Tradicinis Cisco apibrėžimas
– vienos krypties paketų seka, turinti 7-is bendrus
atributus:

  1. Siuntėjo IP adresas.
  2. Gavėjo IP adresas.
  3. Siuntėjo prievadas, skirtas UDP arba TCP protokolui,
    0-inis žymi kitus protokolus.
  4. Gavėjo prievadas, skirtas UDP arba TCP protokolui,
    0-inis žymi kitus protokolus.
  5. IP protokolas.
  6. Įeinantis loginis prievadas (SNMP ifIndex).
  7. IP paslaugos tipas (angl. Type of Service – ToS).

Netflow tikrina paketus pagal šiuos ir kitus atributus.
Taigi flow – bet koks paketų, užfiksuotų tam tikrame
laiko intervale, skaičius, turintis bendrų savybių,
pav. tas pats siuntėjas, tas pats gavėjas, tas pats
protokolas (angl. same source, same destination, same protocol).
Flow paketai yra atrenkami pagal pasirenkamas
charakteristikas ir reikiamą laiko tarpą.

Netflow suskaičiuoja kiekvieno flow paketus ir baitus.
Kiekvienas L3 komutatoriaus arba maršruto parinktuvo
perduodamas paketas yra flow dalis.