NetFlow v9 – skomplikowany, ale nieunikniony

0

Cisco już kilka lat temu wprowadziło protokół Netflow v9, ale większość firm wciąż używa do monitorowania i analizowania ruchu w sieci mniej efektywnej wersji Netflow v5. Wprawdzie NetFlow v9 pozwala na głębsze wejrzenie w ruch sieciowy i umożliwia konsolidację różnych technologii zarządzania siecią, ale jednocześnie jest znacznie trudniejszy do opanowania niż Netflow v5. Mimo to firmy będą w końcu zmuszone do migracji.

NetFlow to protokół opracowany przez Cisco i umożliwiający zbieranie danych o ruchu sieciowym. Routery i przełączniki zapisują rekordy NetFlow, które są następnie kompilowane i analizowane przez oprogramowane Netflow Collector. Netflow v9 obsługują przełączniki i routery Cisco oraz Enterasys, natomiast urządzenia pozostałych producentów obsługują Netflow v5 oraz alternatywne wersje tego protokołu, jak JFlow oraz sFlow.

NetFlow v5 jest protokołem mającym sztywno zdefiniowane możliwości i dostarczającym jedynie bardzo podstawowe, statyczne informacje o ruchu sieciowym, jak źródłowy i docelowy adres IP. Natomiast NetFlow v9 jest protokołem, którego możliwości można rozszerzać – pozwala on producentom oraz użytkownikom na tworzenie własnych szablonów eksportowania szeregu różnych informacji o sieci.

W szablonie można definiować własne sposoby grupowania danych czy własne metryki. Przykładowo, można dodać metrykę sprawdzającą stopień obciążenia procesora routera czy podającą szczegółowe informacje na temat rodzaju aplikacji. Można też monitorować takie parametry, jak czas RTT (Round-Trip Time) czy określone flagi, co pozwoli wykryć zalewanie pakietami z flagą SYN. Wszystkie dane, które dotychczas zbierał protokół SNMP można teraz zapisać w rekordach protokołu NetFlow v9.

NetFlow v9 jest nieunikniony
Za kilka lat firmy będą zmuszone wdrożyć Netflow v9, ponieważ starsza wersja NetFlow v5 nie obsługuje protokołu IPv6. Już teraz wyczerpała się wolna pula adresów IPv4, którą dysponowała organizacja IANA, więc upowszechnienie się protokołu IPv6 jest tylko kwestią czasu. Dostawcy usług i duże firmy korzystające z technologii MPLS czy IPv6 potrzebują protokołu Netflow v9 do generowania statystyk i analizowania ruchu sieciowego. Zebrane dane pomagają w planowaniu pojemności czy wykrywaniu ataków DDoS. Tworzenie własnych szablonów NetFlow v9 pozwala również na lepsze monitorowanie ruchu P2P.

Dużą zaletą NetFlow 9 jest możliwość przeglądania wybranych fragmentów ruchu sieciowego. To pozwala na wykrycie, czy ktoś generuje „legalny” ruch HTTP czy raczej przepuszcza ruch BitTorrenta przez port TCP 80 w celu jego ukrycia. NetFlow 9 oferuje także większe możliwości w zakresie wykrywania aplikacji używanych w sieci. Potrafi oznaczać ruch sieciowy w taki sposób, że można później ustalić, przez jaką aplikację został wygenerowany.

Lepszy wgląd w ruch sieciowy pozwala na zarządzanie pojemnością rozwiązań IT. Jeśli monitoring sieci w wykorzystaniem sieci pokazuje, ilu użytkowników i z jakich aplikacji korzysta, można lepiej zaplanować przepustowość sieci potrzebną do obsłużenie generowanego przez nich ruchu.

Nauka NetFlow v9 to wyzwanie
Mimo ogromnego potencjału tkwiącego w protokole NetFlow v9, jedynie 20% użytkowników urządzeń Cisco obecnie korzysta z niego. Popularyzacja tego protokołu przebiega wolno, m.in. dlatego, że producenci rozwiązań do zarządzania i monitorowania nie opanowali jeszcze trudniej sztuki tworzenia własnych szablonów NetFlow v9. Starsza wersja, NetFlow v5, jest łatwa w użytkowaniu, ponieważ jej rekordy są statyczne i oprogramowanie NetFlow Collector ma ułatwione zadanie, ponieważ wie, czego się spodziewać.

Z kolei NetFlow v9 jest dynamiczny. Cisco często udostępnia nowe szablony dla tego protokołu, również użytkownik końcowy może tworzyć własne szablony. W efekcie NetFlow Collector często nie wie, czego szukać w otrzymanych rekordach wygenerowanych na podstawie nowych szablonów i odrzuca takie rekordy.

Wielu producentów oprogramowania typu NetFlow Collector rozwiązuje ten problem poprzez obsługę określonej liczby konfiguracji szablonów NetFlow v9, ale do tej pory nie byli w stanie stworzyć produktu potrafiącego rozpoznawać szablony, które administrator sieci mógł stworzyć samodzielnie. Niektórzy specjaliści od protokołu NetFlow, jak Lancope czy Plixer, osiągnęli całkiem niezłe rezultaty w okiełznaniu NetFlow v9, ale wciąż jest wiele do zrobienia. W przypadku firmy Lancope było to możliwe dzięki bliskiej współpracy z Cisco.

Nawet jeśli administrator sieci dysponuje oprogramowaniem NetFlow Collector, które dobrze radzi sobie z najnowszą wersją tego protokołu, wciąż może obawiać się migracji, ponieważ możliwość tworzenia własnych szablonów sprawia jednocześnie, że ten protokół jest bardziej skomplikowany. Użytkownicy muszą mieć pewność, że potrafią poprawnie skonfigurować szablony oraz mają narzędzia, które poradzą sobie z elastycznością NetFlow v9.

Konsolidacja i udoskonalenie narzędzi do zarządzania siecią

Wprawdzie NetFlow v9 początkowo wprowadza większą złożoność do zarządzania siecią, ale jego możliwości dają administratorom sieci także szansę na konsolidację narzędzi zarządzania oraz bardziej ziarnisty obraz tego, co dzieje się w sieci.

Administrator sieci może skonfigurować NetFlow v9 w taki sposób, żeby dostarczał informacji tradycyjnie zbieranych poprzez narzędzia SNMP. Taka możliwość pozwala firmom na korzystanie wyłącznie z rozwiązań typu NetFlow Collector do realizacji większości zadań związanych z zarządzaniem i monitorowaniem sieci.

Zbieranie informacji o czasie RTT lub metryk określających jakość połączeń poprzez protokół NetFlow ma wiele zalet – pozwala na redukcję liczby używanych systemów zarządzania, zmniejszenie narzutu administracyjnego, ograniczenie kosztów licencji i wsparcia technicznego, a także ograniczenie zależności pomiędzy różnymi narzędziami.

Poza tym NetFlow v9 jest bardziej niezawodny niż SNMP i pozwala na bardziej granularną obróbkę danych, dlatego administratorzy sieci na pewno odczują poprawę możliwości zarządzania.

Poza tym funkcje SNMP z reguły mają w urządzeniach sieciowych nadany niski priorytet. W efekcie, jeśli router jest obciążony, może w ogóle nie odpowiadać na żądania przesłania informacji i w danych zbieranych przez SNMP pojawi się luka. Natomiast NetFlow wysyła zapisane rekordy na bieżąco.

Z kolei narzędzia SNMP wysyłają żądania udostępnienia danych w określonych odstępach czasu, najczęściej okres ten wynosi domyślnie 15 minut. Natomiast zbieranie danych SNMP w odstępach krótszych niż 5 minut może doprowadzić do nadmiernego obciążenia sieci. Dla kontrastu, NetFlow udostępnia rekordy na bieżąco bez żadnego zagrożenia dla płynnego działania sieci.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ