Datenstrominformationen, die durch Netzwerkgeräte fließen, werden als Netflow bezeichnet. Switches, Router und andere Komponenten sammeln und speichern Informationen über die im Netz übertragenen Daten. Diese beziehen sich sowohl auf logische End-to-End-Verbindungen zwischen Quell- und Zielserver als auch auf physische Punkt-zu-Punkt-Verbindungen zwischen wichtigen Netzwerkelementen.
Netflow ist ein von Cisco Systems entwickeltes Protokoll, das auch als IPFIX-Standard bekannt und Teil von Cisco-IOS ist. Netflow läuft auf IP-Geräten (Router, Layer-3-Switches) und liefert Statistiken über den IP-Verkehr. Dieser Standard wurde von vielen Herstellern übernommen, z. B. bietet Juniper eine ähnliche Lösung unter dem Namen „jFlow“ an. Andere Unternehmen wie HP, Foundry und Extreme verwenden Datenfluss-Technologien unter dem Namen „sFlow“.
Unabhängig von der Bezeichnung ist der Umfang der Netflow-Daten erheblich und bietet eine reichhaltige Quelle für aktualisierte Echtzeit-Informationen, die immer verfügbar sind und umfassende Kenntnisse über den Datenverkehr im Netzwerk liefern. Dieses System visualisiert nicht nur TCP/IP-Parameter auf den Schichten 3 und 4 (Quell-IP-Adresse, Ziel-IP-Adresse, Protokoll, Port), sondern auch zusätzliche Verkehrsattribute wie Type of Service, DSCP, Quell- und Ziel-AS-Bereichskennung im BGP-Protokoll, zusätzliche Routing- und Verkehrsinformationen – nächster Hop, Eingangs- und Ausgangsschnittstellen, Netzwerk-Quell- und Zieladresse.
Vor- und Nachteile von Netflow
Dank der Netflow-Technologie lassen sich Probleme und Engpässe im Netz erkennen, die Einstellungen der Verkehrsklassen (CoS/ToS) überprüfen, den übertragenen Verkehr und die Anwendungen identifizieren und sie zu einem bestimmten Zeitpunkt einem bestimmten Benutzer zuordnen. Wichtig ist, dass Netflow als integrierte Technologie in Cisco-IOS keine zusätzlichen Geräte oder Lizenzen erfordert. Netflow ist auf den meisten Cisco-Plattformen verfügbar, angefangen bei Cisco-ISR-Routern.
Ohne die richtigen Tools zur Verarbeitung der bereitgestellten Daten wird Netflow jedoch nicht viel bringen. Die Art und Weise, wie das IT-Personal die Daten erhält, entscheidet über ihren Nutzen und ihre Auswirkungen auf das Management der Netzwerkperformance. In Anbetracht der Menge der verfügbaren Informationen ist es nicht sinnvoll, die Datenströme von jedem Netzelement einzeln zu analysieren. Um die Vorteile des NetFfow-Protokolls voll ausschöpfen zu können, müssen die Daten in einer externen Datenbank gesammelt und eine intuitive Schnittstelle bereitgestellt werden, um interessante Informationen und Netzwerkanomalien zu finden oder um die Erweiterung der Netzwerkinfrastruktur zu planen.
Das System zur Verarbeitung der von Netflow gesammelten Informationen besteht aus:
- Dem Netflow-Agenten: Dieser sammelt Daten über den Datenverkehr, die ein Netzwerkgerät durchläuft, und sie an ein zentrales Repository, den so genannten Collector, sendet. Nahezu jeder Cisco-Router, der mit IOS-Software ausgestattet ist, kann als Agent fungieren (ab 12.3T ist die Netflow-Funktion im SP Services „feature set“ oder höher verfügbar). Netflow-Unterstützung ist auch auf Catalyst-6500-Switches implementiert und ist als Option auf dem Catalyst-4500-Switch vorhanden.
- Dem Netflow-Kollektor: Dieser sammelt Informationen vom Agenten. Da es sich um eine große Menge an Daten handelt, hat der Kollektor in der Regel die Möglichkeit, die Daten zu filtern, zu aggregieren und zu löschen, bevor diese in die Datenbank fließen.
- Dem Visualisierungsmodul: Dieses Modul ermöglicht die Darstellung der Netflow-Kollektor Daten. Es stehen verschiedene Anwendungen zur Verfügung, die beispielsweise die Netzplanung erleichtern oder eine Abrechnung durchzuführen oder den Netzverkehr überwachen.
Das Visualisierungsmodul kann Antworten auf eine Reihe von Fragen geben:
- Welche Anwendungen werden verwendet? Sind sie alle erlaubt?
- Wer nutzt die Anwendung?
- Welche Server sind die Verkehrsquellen? Sind das tatsächlich Server?
- Welche Server werden durch den Datenverkehr erreicht? Sollten diese erreicht werden?
- Welche Anwendungen generieren den meisten Netzverkehr?
- Wer beansprucht die gesamte verfügbare Bandbreite?
- Ist der Datentransport zum Betreiber ordnungsgemäß gekennzeichnet?
- Welche Schnittstellen sind am stärksten belastet?
- Welche Router sind am stärksten belastet?
- Wird der eigene und der Transitverkehr ordnungsgemäß weitergeleitet?
- Verfügen die Verbindungen über eine ausreichende Bandbreite?
- Welche Ports werden von den Servern verwendet?
- Welche Anwendungen laufen auf den Servern?
- Welche Ports werden von den Servern verwendet?
- Woher und wohin fließt der Datenverkehr?
- Welche Server erzeugen Datenverkehr? Ist das legal?
Vorteile von Netflow
Der erste und wichtigste Vorteil von Netflow ist die Tatsache, dass die professionelle Nutzung ein relativ kostengünstiges und einfach zu bedienendes System zur Überwachung des Netzverkehrs zu schaffen – und die Visualisierung der Daten ermöglicht.
Zweitens bietet es die Möglichkeit, jede Verbindung in Ihrem Netz zu überwachen. Da Netflow auf dem Router per Software konfiguriert wird, können wir die Netflow-Überwachung selektiv auf sensiblen Geräten aktivieren, z. B. am zentralen Knoten, am Router, der die Verbindung zum Internet herstellt, oder an Orten, an denen Netzwerkprobleme auftreten.
Drittens ist Netflow ein offenes Protokoll – zahlreiche Anwendungen von Drittanbietern stehen zur Verfügung, um die Netzwerküberwachung in Echtzeit, die Erstellung von Berichten und die Abrechnung für Benutzer im Netzwerk zu ermöglichen. Dabei handelt es sich häufig um maßgeschneiderte Anwendungen, die auf spezifische Anforderungen zugeschnitten sind.
Die Verwendung eines auf dem Netflow-Protokoll basierenden Systems bietet die folgenden Vorteile:
- Erhöhte Netzsicherheit: Die Überwachung der Netzaktivitäten ist eines der Schlüsselelemente zur Gewährleistung der Sicherheit. Visualisierungssysteme können Port-Scans, DoS-Angriffe und die Erkennung von IP-Adress-Substitutionen auf einer Schnittstelle erkennen.
- Die vollständige Transparenz des Netzverkehrs und seiner Quelle hilft, illegale Aktivitäten zu erkennen und kostspielige Geldstrafen zu vermeiden, z. B. für die Verwendung nicht lizenzierter Software.
- Planung des Netzwerkwachstums – Erkennen von Verkehrstrends und Anpassung der Verbindungsgrößen, bevor das Netzwerk seine maximale Kapazität erreicht (z. B. Abfangen von fehlplatzierten Servern und deren Verlagerung an einen anderen Ort, um eine starke WAN-Belastung zu vermeiden).
- Schnellere Fehlerbehebung – Durch Optimierung der QoS-Einstellungen zum Beispiel, um wichtige Anwendungen korrekt zu priorisieren, was sich eindeutig in schnelleren Reaktionszeiten niederschlägt.
Von Christian Sauer, Business Development Manager bei Sycope
#Sycope