تکنولوژی Cisco IOS Flexible NetFlow یک راهکار Next-Generation در تکنولوژی جریان بوده که با افزایش انعطافپذیری و مقیاسپذیری به بهینهسازی زیرساخت شبکه، کاهش هزینههای عملیاتی، بهبود برنامهریزی برای ظرفیت و شناسایی رویدادهای امنیتی کمک مینماید. در قسمت اول از سری مقالات بررسی تکنولوژی نت فلو در سیسکو، علاوه بر بررسی این تکنولوژی تا حدودی مزایا و کاربردهای آن نیز بیان شد. در این مقاله که قسمت دوم (پایانی) از این سری مقالات میباشد، سایر مزایای تکنولوژی Cisco IOS Flexible Netflow از جمله برنامهریزی شبکه، تحلیل امنیت، بررسی IP و … میپردازیم.
قابلیت برنامهریزی شبکه در Flexible NetFlow
با استفاده از Flexible NetFlow میتوان دادهها را در بازههای زمانی طولانی مدت Capture نمود که امکان ردیابی و پیشبینی رشد شبکه و برنامهریزیهایی جهت ارتقا مانند افزایش تعداد تجهیزات مسیریابی (Routing)، پورتها و رابطهای کاربری با پهنای باند بالاتر را محقق مینماید. Flexible NetFlow علاوه بر کاهش هزینه کلی عملیات شبکه، مواردی همچون عملکرد، ظرفیت و قابلیت اطمینان شبکه را نیز افزایش میدهد و با شناسایی ترافیکهای ناخواسته WAN، به ارزیابی پهنای باند و QoS پرداخته و امکان آنالیز برنامههای کاربردی جدید را در شبکه فراهم مینماید. همچنین Flexible Netflow امکان ردیابی اطلاعات را در دیتابیس NetFlow یا Flow Monitor فراهم میکند و در صورت پیادهسازی چندین Flow Monitor که هر یک شامل اطلاعاتی خاص و کاربردی میباشند، برنامهریزی برای شبکه آسانتر شده که هزینهی عملیاتی کردن شبکه را نیز کاهش میدهد.
تحلیل امنیت شبکه با Flexible NetFlow
دادههای حاصل از Flexible NetFlow به صورت Real-time به شناسایی و طبقهبندی حملات DDOS، ویروسها و Wormها میپردازند. تغییر در رفتار شبکه نشان از اختلالاتی دارد که به وضوح در اطلاعات NetFlow نشان داده میشوند و ابزار جرمشناسی مهمی برای درک و پاسخ به رخدادهای امنیتی میباشند. Flexible NetFlow قابلیتهایی از جمله امکان Export نمودن Packet را برای بازرسی دقیقتر رخدادهای امنیتی دارا میباشد. آنالیزهای امنیتی ممکن است برای به وجود آوردن نماهای مجازی یا On-Demand از شبکهی داده، شامل Flow Monitorهای سفارشیسازی شده همراه با جزئیات دقیق باشند که قابلیتهای شناسایی را که پیش از این در NetFlow قدیمی در دسترس بودند، ارتقا میدهد.
بررسی ترافیک IP و حسابرسی میزان مصرف
Flexible NetFlow سازمانها را قادر به پیادهسازی راهکار Usage-Based Billing (پرداخت بر اساس میزان استفاده) مینماید، که شرایط اجرای طرحهای قیمتگذاری رقابتی و سرویسهای ویژه را فراهم مینماید. Flexible NetFlow همچنین میتواند مفهوم Permanent Monitoring (مانیتورینگ به صورت دائم) را ارائه نماید که اندازهگیری یا حسابرسی اطلاعات در آن همچون Counterهای SNMP به طور مداوم و متناوب تکمیل میگردد؛ بنابراین مشتریان میتوانند به منظور ردیابی ترافیک IP به داخل یا خارج از دیتاسنترهای خود و با هدف برنامهریزی ظرفیت یا پیادهسازی راهکار Usage-Based Billing، از NetFlow استفاده کنند.
مهندسی ترافیک
NetFlow میتواند میزان ترافیک عبوری از Peeringها و یا نقاط اتصال را اندازهگیری نماید و عادلانه بودن نحوه قرارگیری Peeringها در میان Service Providerهای مختلف را مشخص نماید. برای مثال Flexible NetFlow از اطلاعاتی مثل BGP Policy Accounting Traffic Index، آنالیز دقیق Peering با BGP NextHop و اطلاعات BGP AS برای تحلیل Peering استفاده مینماید.
نحوه عملکرد NetFlow
NetFlow شامل دو جزء اصلی میباشد که دارای قابلیتهای زیر میباشند:
- Flow Caching: این قابلیت جریان دادههای IP را درون روتر یا Switch، آنالیز و جمعآوری نموده و دادهها را برای Export آماده مینماید. Flexible NetFlow برای ردیابی چندین برنامهی NetFlow به صورت همزمان،دارای قابلیت پیادهسازی چندین Flow Cache و یا Flow Monitor میباشد. برای مثال کاربر میتواند ردیابی آنالیزهای امنیتی و ترافیکی را به صورت همزمان در NetFlow Cacheهای جداگانه انجام دهد؛ این کار موجب متمرکز شدن، Pinpoint و مانیتور نمودن اطلاعات خاص برای برنامه میگردد. لازم به ذکر است که دادههای Flexible Flow که از آخرین فرمت استخراج دادهی NetFlow v.9 استفاده مینمایند، در حال حاضر به راحتی در دسترس هستند.
- NetFlow Reporting Collection: این مجموعه گزارشها از دادههای منتقل شده از روترها و فیلترها که بر اساس Policyهای سازمان جمعآوری شده و سپس به صورت خلاصه شده یا کامل ذخیره میگردند، استفاده میکند. سیستمهای جمعآوری نت فلو (NetFlow) به کاربر اجازه میدهند تا تصویرسازی (Visualization) یا آنالیز روند جریان دادههای ذخیره شده و جمعآوری شده را به صورت Real-time تکمیل کند. کاربران میتوانند روتر، برنامه کلی جمعآوری و همچنین فاصله زمانی مورد نظر خود را مشخص نمایند. لازم به ذکر است که سیستمهای Collection میتوانند محصولات رایگان نرمافزاری تجاری یا Third-Party باشند که جهت برخی برنامههای خاص NetFlow مانند آنالیز ترافیک و یا امنیت بهینهسازی شدهاند.
Flexible NetFlow میتواند طیف گستردهای از اطلاعات Packetها را در لایه 2، جریانهای IPv4 و IPv6 ردیابی کند که شامل موارد زیر میگردد:
- Mac Addressهای مبدا و مقصد
- IPv4 یا IPv6 مبدا و مقصد
- مشخص نمودن نوع پروتکل (TCP و UDP) مبدا و مقصد
- نوع سرویسها (ToS)
- IP Differentiated Services Code Point یا به اختصار DSCP
- تعداد Packetها و Byteها
- Flow Timestampها
- تعداد واسطهای کاربری ورودی و خروجی
- TCP Flagها و پروتکلهای Encapsulate شده (TCP/UDP) و TCP Flagهای مجزا
- بخشهای مختلف Packet برای بررسی دقیق Packet
- تمامی فیلدها در IPv4 Header شامل IP-ID، TTL و …
- تمامی فیلدها در IPv6 Header شامل Flow Label، Option Header و …
- مسیریابی اطلاعات ( آدرس Next-Hop، شمارهی AS مبدا، شماره AS مقصد، Prefix Mask مبدا، Prefix Mask مقصد، BGP Next Hop، BGP Policy Accounting traffic index)