پروتکل NetFlow چیست؛ کاربرد netflow در شبکه

کاربران در شبکه‌های کامپیوتری با چند کلیک ساده و وارد کردن نام کاربری و رمز عبور معتبر خود به اطلاعات مورد نظرشان یا سخت افزار اشتراکی موجود در شبکه دسترسی پیدا می‌کنند. ولی در پشت پرده این سرویس‌های ارائه شده به کاربر توسط سرویس دهنده‌ها اتفاقات زیادی رخ می‌دهد که گاهی هکرها و افراد سودجو به این بخش از شبکه نفوذ و دست به اقدامات خرابکارانه می‌زنند.

پروتکل رصد تمام فعالیت های شبکه

از مهم‌ترین موضوعات برای ادمین شبکه رصد کردن تمام فعالیت‌ها و اطلاعات مبادله شده در سطح شبکه است. ادمین با توجه به اطلاعاتی که در حال حاضر از شبکه دارد می‌تواند به راحتی آینده شبکه را پیش بینی کند. برای رفع نیاز ادمین شبکه می‌توان از پروتکل NetFlow استفاده کرد. اگر ادمین شبکه هستید در ادامه همین مطلب همراه ما باشید.

پروتکل NetFlow چیست؟

پروتکل NetFlow توسط شرکت سیسکو به دنیای شبکه معرفی شد، گاهی از آن با عنوان Cisco IOS NetFlow هم یاد می‌شود. این پروتکل به ادمین شبکه امکان رصد تمام اتفاقات رخ داده در شبکه را می‌دهد.

این پروتکل مهم‌ترین دغدغه‌های سازمان‌های بزرگ را مرتفع می‌کند. زیرا معمولا برای سازمان‌های بزرگ دانستن اینکه چند درصد از ترافیک عبوری از تجهیزات شبکه آنها از نوع Http و یا DNS است یا کاربران شبکه بیشتر از چه منابع و مقاصدی استفاده می‌کنند یا در بسته‌های اطلاعاتی که از شبکه عبور می‌کنند چه داده‌هایی مبادله می‌شود، حائز اهمیت است.

پیشنهاد مطالعه: انواع پروتکل های شبکه

برای به دست آوردن این اطلاعات شبکه سازمان باید مانیتور شود و این کار با بهره گیری از NetFlow امکان پذیر است.

پروتکل NetFlow توسط تمام تجهیزات سیسکو مانند روترها و سوییچ‌های آن پشتیبانی می‌شود. این پروتکل قابلیت ارائه گزارش از ریز اطلاعات موجود در بسته‌های اطلاعاتی که در سطح شبکه مبادله و از روترها و سوییچ‌های مختلف عبور می‌کنند را دارد و همچنین ارائه گزارشی در خصوص وضعیت فعلی شبکه و آینده آن، با استفاده از این پروتکل شبکه را هم می‌توانید تجزیه و تحلیل کنید.

برای به دست آوردن این اطلاعات، شبکه سازمان باید مانیتور شود و این کار با بهره گیری از NetFlow امکان پذیر است.

پروتکل NetFlow توسط تمام تجهیزات سیسکو مانند روترها و سوییچ‌های آن پشتیبانی می‌شود. این پروتکل قابلیت ارائه گزارش از ریز اطلاعات موجود در بسته‌های اطلاعاتی که در سطح شبکه مبادله و از روترها و سوییچ‌های مختلف عبور می‌کنند و همچنین ارائه گزارشی در خصوص وضعیت فعلی شبکه و آینده آن را دارد. با استفاده از این پروتکل شبکه را هم می‌توانید تجزیه و تحلیل کنید.

اگر حس می‌کنید خطری شبکه سازمان را تهدید می‌کند از پروتکل NetFlow استفاده کنید. زیرا با بهره گیری از NetFlow و تحلیل داده‌هایی که توسط این قابلیت به نرم افزار آنالیزور داده می‌شود می‌توان به تمام خطرات و حملاتی که شبکه را تهدید می‌کنند دسترسی پیدا کرد. NetFlow قابلیت مشخص کردن میزان ترافیک ایجاد شده در شبکه را توسط نرم افزارهای مختلف دارد.

در بحث مانیتورینگ شبکه با استفاده از NetFlow می‌توان به بسته‌های اطلاعاتی و ترافیک ورودی و خروجی شبکه دسترسی پیدا کرد.

مقایسه SNMP و NetFlow

به بیان ساده اگر بخواهیم دو پروتکل SNMP و NetFlow را با هم مقایسه کنیم باید بگوییم که netflow برای ارائه اطلاعات مهم مورد نیاز مدیران شبکه از جمله ریز عملیات‌های انجام شده توسط کاربران یا اپلیکیشن‌های مختلف، آدرس مبدا و مقصد بسیار مناسب است. ولی پروتکل snmp این اطلاعات را ذخیره نمی‌کند. اگر شبکه دچار خطا شود با پروتکل netflow می‌توان فهمید کدام قسمت از شبکه نیاز به تغییر و رفع عیب دارد ولی پروتکل SNMP فقط نشان می‌دهد که خطایی در شبکه رخ داده است. پروتکل SNMP بیشتر برای بازگرداندن لحظه‌ای اطلاعات با کم‌ترین بار و اشغال پهنای باند روی شبکه مورد استفاده قرار می‌گیرد. اما پروتکل NetFlow برای تجزیه و تحلیل عمیق‌تر استفاده می‌شود.

NetFlow چگونه کار می‌کند؟

برای بهره‌گیری از پروتکل NetFlow آن را روی یک روتر فعال کنید، نیاز به اعمال تغییرات روی هیچ کدام از دستگاه‌ها و اعضای دیگر شبکه نیست. پروتکل NetFlow از جمله پروتکل‌های مستقلی است که بطور کامل از دید و دسترس کاربر پنهان است. اگر بخواهیم فرآیند فعال‌سازی و عملیات بعد از آن را بررسی کنیم باید بگوییم که NetFlow ای که توسط روتر انجام می‌شود همان مانیتورینگ ترافیک است زیرا به روتر می‌گوییم ترافیک و اطلاعات کدام پورت را نیاز داریم و آن را مورد تحلیل و بررسی قرار می‌دهیم.

برای تحلیل یک پورت، ترافیک پس از مانیتورینگ وارد مرحله پردازش توسط CPU و ذخیره موقت در RAM شده و سپس توسط روتر به سمت نرم افزار مانیتورینگ هدایت شده و یک خروجی از گزارشات ترافیک به نرم افزار تحلیل ارسال می‌شود. به این نکته توجه کنید که عملیات تحلیل ترافیک توسط نرم افزار مانیتورینگ انجام می‌شود و روتر هیچ دخالتی در آن ندارد. به نرم افزار تحلیل‌گر داده‌های NetFlow اصطلاحا Collector می‌گویند.

بطور خلاصه کار اصلی NetFlow در سه مرحله صورت می‌پذیرد.

• مرحله اول: مانیتورینگ
• مرحله دوم: Export ، خروجی
• مرحله سوم: تحلیل یا Collector

پیشنهاد مطالعه: پروتکل SMB چیست

Netflow از چه اطلاعاتی برای تشخیص رفتار شبکه استفاده می کند؟

هر بسته اطلاعاتی که از روتر یا سوییچ عبور می‌کند، 5 ویژگی آن توسط پروتکل NetFlow مورد بررسی قرار می‌گیرد. آدرس مبدا، آدرس مقصد،پورت مبدا و مقصد و نوع پروتکل لایه 3. هدف از اینکار مختصر سازی اطلاعات در این پروتکل است زیرا بسته هایی با ویژگی‌های مشابه در یک گروه قرار گرفته و بررسی می‌شوند. به دیتابیس این پروتکل Cache NetFlow گفته می‌شود.

برای تشخیص رفتار شبکه، پروتکل NetFlow اطلاعات مربوط به آدرس مبداء که مشخص کننده کاربر ایجاد کننده ترافیک ، آدرس مقصد که مشخص کننده گیرنده ترافیک است، آدرس پورت مبداء و مقصد که مشخص کننده اپلیکیشن‌های مصرف کننده ترافیک شبکه هستند و CoS یا Class of Service برای اولویت ترافیک را بررسی می‌کند.

نحوه راه اندازی (کانفیگ) و تنظیمات NetFlow

دستورات مربوط به فعال‌سازی NetFlow روی اینترفیس مورد نظر:

Router(config)#interface FastEthernet 0/1 Router(config-if)#ip route-cache flowRouter(config-if)#ip flow ingressRouter(config-if)#ip flow egress

مشخص کردن نسخه مورد استفاده :

Router(config)#ip flow-export version 5

مدت زمانی (بر حسب دقیقه) که برای ارسال اطلاعات مشخص می‌کنیم:

Router(config)#ip flow-cache timeout active 1

مدت زمانی (بر حسب ثانیه) که اطلاعات اجازه دارند در cache باقی بمانند :

Router(config)#ip flow-cache timeout inactive 15

برای بررسی و خطایابی از دستورات زیر می‌توانید استفاده کنید :

Router#show ip flow export Router#show ip flow interfaceRouter#clear ip flow stats

معرفی ۲ روش دسترسی به اطلاعات NetFlow

براساس نیاز کاری می‌توانید به دو روش از اطلاعات ذخیره شده توسط NetFlow استفاده کنید.

اگر در لحظه می‌خواهید بدانید که چه اتفاقاتی در شبکه در حال وقوع است از روش NetFlow CLI استفاده کنید که برای عیب‌یابی مناسب است.

ولی اگر می‌خواهید به اطلاعات شبکه به صورت دوره‌ای دسترسی پیدا کنید و با این اطلاعات بتوانید ترافیک و امنیت شبکه را بررسی کنید بهتر است از روش Netflow Collector استفاده کنید. اطلاعات ذخیره شده توسط NetFlow را به نرم افزار Netflow Collector ارسال می‌کند و از گزارشات ذخیره شده یک خروجی قابل فهم برای بررسی ارائه می‌دهد.