سنغطي في هذه المقالة أساسيات Netflow بما في ذلك حالات الاستخدام والأجهزة المدعومة من Netflow وسجل Netflow والمتغيرات، كما سنغوص أيضًا في التفاصيل الفنية لكيفية عمل بروتوكول Netflow بما في ذلك منافذ Netflow وإصدارات Netflow المختلفة.
مقدمة عن NETFLOW و ماهي إستخداماته
تلعب الرؤية دورًا رئيسيًا في صيانة وأمن أي شبكة و بها يمكن للمسؤولين تحديد المشكلات واكتشاف المستخدمين غير المتوافقين وتحسين التزويد الخاص بهم والمزيد. Netflow هو بروتوكول طورته CISCO لهذا الغرض ويسمح للأطراف المهتمة بفهم أنماط الشبكة مع دعم المزيد من البيانات الدقيقة مثل نوع خدمة IP للتشخيص.
تعد NetFlow ميزة تم تقديمها على أجهزة راوتر Cisco سنة 1996 والتي توفر القدرة على جمع حركة مرور شبكة IP أثناء دخولها أو خروجها من المنافذ، من خلال تحليل البيانات المقدمة من NetFlow يمكن لمسؤول الشبكة تحديد أشياء مثل مصدر ووجهة حركة المرور وفئة الخدمة وأسباب الازدحام. يتكون إعداد مراقبة التدفق النموذجي (باستخدام NetFlow) من ثلاثة مكونات رئيسية
مصدر التدفق: تجميع الحزم في التدفقات وسجلات تدفق الصادرات نحو واحد أو أكثر من جامعي التدفق.
جامع التدفق: مسؤول عن الاستقبال والتخزين والمعالجة المسبقة لبيانات التدفق الواردة من مصدر التدفق.
تطبيق التحليل: يحلل بيانات التدفق المتلقاة في سياق كشف التسلل أو تحديد السمات المرورية ، على سبيل المثال.
البروتوكول الذي طورته Cisco مدعوم بعدد من أجهزة شبكات CISCO، كما تستخدم أجهزة توجيه IOS-XR الخاصة بالشركة تطبيقًا برمجيًا يعمل على وحدة المعالجة المركزية للبطاقة الخطية، بينما يقوم خط IOS بتشغيل البرامج على معالج المسار، وفي الوقت نفسه تحتوي محولات Catalyst و Nexus على تنفيذ TCAM للأجهزة مما يدعم بشكل عام المزيد من التدفقات.
تاريخ NETFLOW
بدأ تطوير Netflow في عام 1996 مع IOS 11.x كتقنية برمجية بدلا من تقنية تبديل حزم Cisco لأجهزة توجيه و تم تصميمه للشبكة المحلية و كان في الأصل موجها ل Cisco 7000 و 7200 و 7500 حيث كان يُعتقد أنه أفضل مقارنة بـ Cisco Fast Switching الحالي، تم اختراع Netflow بواسطة دارين كير وباري بروين من شركة سيسكو
كانت الفكرة أن الحزمة الأولى من التدفق ستنشئ سجل تحويل NetFlow و سيتم بعد ذلك استخدام هذا السجل لجميع الحزم اللاحقة من نفس التدفق إلى غاية انتهاء صلاحية التدفق.
تتطلب الحزمة الأولى فقط من التدفق إجراء تحقيق في جدول التوجيه للعثور على المسار المطابق الأكثر تحديدًا و تعتبر هذه العملية مكلفة في تطبيقات البرامج خاصة القديمة منها بدون إعادة توجيه قاعدة المعلومات. كان سجل تبديل NetFlow في الواقع نوعًا من سجل ذاكرة التخزين المؤقت للمسار ولا تزال الإصدارات القديمة من IOS تشير إلى ذاكرة التخزين المؤقت لـ NetFlow على أنها ذاكرة تخزين مؤقت لمسار IP.
كانت هذه التكنولوجيا مفيدة للشبكات المحلية إذ كان يجب تصفية بعض حركة المرور بواسطة قائمة التحكم بالوصول (ACL) حيث يجب تقييم الحزمة الأولى فقط من التدفق بواسطة قائمة التحكم بالوصول (ACL).
تم استبدال NetFlow سنة 1995 بواسطة Cisco Express Forwarding و ظهر لأول مرة على أجهزة توجيه Cisco 12000 ، واستبدل لاحقًا على IOS المتقدم لـ Cisco 7200 و Cisco 7500.
سيسكو لم تكن البائع الوحيد للأجهزة التي تدعم Netflow و مع إنتشار Netflow جاء عدد من البائعين المشهورين الذين حاولوا الاستفادة منها و في محاولة لتجنب معارك العلامات التجارية طبق العديد من المنافسين نكهاتهم الخاصة من هذه التقنية، يعد برنامج Juniper’s jflow أحد الأمثلة على ذلك بالإضافة إلى NetStream من Huawei و SFlow من HP.
مالذي يمكنني رؤيته مع Netflow
كما ذكرنا سابقًا يفحص الجهاز المفعل لـ Netflow عددًا من المعلمات لتحديد التدفقات المميزة و يمكن لعناوين المصدر والوجهة إخبار المسؤولين بمن يقوم بإرسال واستقبال حركة المرور، على سبيل المثال تُظهر المنافذ التطبيقات التي تستخدم حركة المرور و كيف يستخدم الجهاز حركة المرور.
يمكن لأجهزة التوجيه والمحولات التي تدعم NetFlow جمع إحصائيات حركة مرور IP على جميع المنافذ التي تم تفعيل NetFlow عليها ثم تقوم بتصدير هذه الإحصائيات لاحقًا كسجلات NetFlow نحو جامع NetFlow واحد على الأقل — عادةً ما يكون الخادم الذي يقوم بتحليل حركة المرور الفعلية
تدفقات الشبكة
يُعرّف الإصدار 5 من NetFlow من Cisco التدفق على أنه تسلسل أحادي الاتجاه للحزم تشترك جميعها في سبع قيم تحدد مفتاحًا فريدًا للتدفق:
- واجهة الدخول (SNMP ifIndex)
- عنوان IP المصدر
- عنوان IP الوجهة
- بروتوكول IP
- منفذ المصدر لـ UDP أو TCP ، 0 للبروتوكولات الأخرى
- منفذ الوجهة لـ UDP أو TCP ، ورمز ICMP أو 0 للبروتوكولات الأخرى
- نوع خدمة IP
لاحظ أن واجهة الخروج أو IP Nexthop أو BGP Nexthops ليست جزءًا من المفتاح ، وقد لا تكون دقيقة إذا تغير المسار قبل انتهاء صلاحية التدفق ، أو إذا تم موازنة التحميل لكل حزمة.
يستخدم تعريف التدفقات هذا أيضًا لـ IPv6 ، ويستخدم تعريف مشابه لتدفقات MPLS و Ethernet.
تصدير السجلات
سيخرج جهاز التوجيه سجل تدفق عندما يقرر أن التدفق قد انتهى، يقوم بذلك عن طريق تقادم التدفق عندما يرى جهاز التوجيه حركة مرور جديدة لتدفق موجود ، فإنه يعيد تعيين عداد التقادم، يؤدي إنهاء جلسة TCP في تدفق TCP إلى انتهاء صلاحية جهاز التوجيه للتدفق و يمكن أيضًا تكوين أجهزة التوجيه لإخراج سجل التدفق في فاصل زمني ثابت حتى إذا كان التدفق لا يزال مستمراً.
بروتوكول نقل الحزم
يتم تصدير سجلات NetFlow بشكل تقليدي باستخدام بروتوكول (UDP) ويتم تجميعها باستخدام أداة تجميع NetFlow. يجب تكوين عنوان IP الخاص بمجمع NetFlow ومنفذ UDP الوجهة على جهاز التوجيه المرسل. القيمة الشائعة هي منفذ UDP 2055 ، ولكن يمكن أيضًا استخدام قيم أخرى مثل 9555 أو 9995 و 9025 و 9026 وما إلى ذلك.
لأسباب تتعلق بالكفاءة لا يتتبع جهاز التوجيه سجلات التدفق التي تم تصديرها بالفعل لذلك إذا تم إسقاط حزمة NetFlow بسبب ازدحام الشبكة أو تلف الحزمة فستفقد جميع السجلات المضمنة إلى الأبد. لا يُعلم بروتوكول UDP جهاز التوجيه بالخسارة حتى يتمكن من إرسال الحزم مرة أخرى. قد تكون هذه مشكلة حقيقية خاصةً مع NetFlow v8 أو v9 الذي يمكنه تجميع الكثير من الحزم أو التدفقات في سجل واحد. يمكن أن تتسبب خسارة حزمة UDP واحدة في إحداث تأثير كبير على إحصائيات بعض التدفقات.
ولهذا السبب تقوم بعض تطبيقات NetFlow الحديثة بإستخدام بروتوكول نقل التحكم في التدفق (SCTP) لتصدير الحزم و توفير بعض الحماية ضد فقدان الحزمة والتأكد من استلام قوالب NetFlow v9 قبل تصدير أي سجل ذي صلة، لاحظ أن TCP لن يكون مناسبًا لـ NetFlow لأن الطلب الصارم للحزم قد يتسبب في زيادة التخزين المؤقت والتأخير.
رأس الحزمة
تبدأ جميع حزم NetFlow بالرأس المعتمد على الإصدار والذي يحتوي على الأقل على هذه الحقول:
- رقم الإصدار (v1، v5، v7، v8، v9)
- رقم التسلسل لاكتشاف الضياع والازدواجية
- الطوابع الزمنية في لحظة التصدير كوقت تشغيل النظام أو الوقت المطلق.
- عدد السجلات (الإصدار 5 أو الإصدار 8) أو قائمة القوالب والسجلات (الإصدار 9)
التسجيلات
يمكن أن يحتوي سجل NetFlow على مجموعة متنوعة من المعلومات حول حركة المرور في تدفق معين.
يحتوي الإصدار 5 من NetFlow (أحد أكثر الإصدارات استخدامًا ، متبوعًا بالإصدار 9) على ما يلي:
- فهرس واجهة الإدخال المستخدم بواسطة SNMP (ifIndex في IF-MIB).
- فهرس واجهة الإخراج
- الطوابع الزمنية لوقت بدء التدفق وانتهائه ، بالمللي ثانية منذ آخر تمهيد.
- عددد البايت والحزم التي لوحظت في التدفق
- رؤوس الطبقة الثالثة: عناوين IP المصدر والوجهة نوع ICMP ورمزه بروتوكول IP
- قيمة نوع الخدمة (ToS)
- ارقام منفذ المصدر والوجهة لـ TCP و UDP و SCTP
- معلومات توجيه الطبقة 3: عنوان IP للخطوة التالية المباشرة (وليس BGP nexthop) على طول الطريق إلى الوجهة أقنعة IP المصدر والوجهة
من خلال تحليل بيانات التدفق يمكن بناء صورة لتدفق حركة المرور وحجم حركة المرور في الشبكة، لقد تطور تنسيق تسجيل NetFlow بمرور الوقت ومن ثم تم تضمين أرقام الإصدارات. تحتفظ Cisco بتفاصيل أرقام الإصدارات المختلفة وتخطيط الحزم لكل إصدار.
المنافذ
عادةً ما يتم تفعيل NetFlow على أساس كل منفذ للحد من الحمل على مكونات جهاز التوجيه المتضمنة في NetFlow ، أو للحد من كمية سجلات NetFlow المصدرة.
عادةً ما يلتقط NetFlow جميع الحزم التي تتلقاها منافذ IP ، ولكن بعض تطبيقات NetFlow تستخدم مرشحات IP لتحديد ما إذا كان يمكن لـ NetFlow ملاحظة الحزمة.
الفرق بين Netflow و SNMP
إذا كنت قد سمعت عن Netflow فمن المحتمل أنك تعرف SNMP، ومع ذلك هناك اعتقاد خاطئ شائع أنهما متشابهان سيكون لدينا شرح مفصل قريبًا ولكن المحصلة النهائية هي أن البروتوكولين مختلفان للغاية يتخ أساليب مختلفة للرصد ، وهي قابلة للتطبيق في سيناريوهات مختلفة.
يمكن أن يكشف SNMP أن هناك مشكلة لكنها ليست مثالية لمعرفة السبب بينما يمكن استخدام Netflow لمزيد من التحليل المتعمق.
و في الأخير أرجو ان تكون هذه المقالة قدمت لك فهمًا أساسيًا لبروتوكول Netflow وكيف يعمل، بما في ذلك Netflow Exporter و Netflow Collector و Netflow Analyzers، لقد غطينا تاريخها وعمليات النقل عبر البروتوكول والموانئ المشتركة ، فضلاً عن حالة RFC الخاصة بها.
كما تطرقنا إلى أيضًا الفوائد التي يوفرها Netflow لمشرفي الشبكة والسماح لهم بالحصول على نظرة عامة على أنماط حركة المرور مع المساعدة أيضًا في تشخيص الاختناقات ، والإبلاغ عن هجمات DoS ، وتعزيز تخطيط الشبكة
لا يوجد تعليقات
أضف تعليق