Netflow / SFlow – Mehr Transparenz im Netzwerk

Netflow ist eine in den späten 90er Jahren entwickelte Technik, bei der ein Gerät, in der Regel ein Router oder Switch, Informationen über die Datenströme (Flow) sammelt, welche das Gerät passieren, und in definierten Intervallen an einen Netflow-Kollektor schickt. Unter einem Flow versteht man einen unidirektionalen Datenstrom von Paketen zwischen einer Quelle und einem Ziel. Beide Seiten sind definiert durch eine IP-Adresse und einem Quell- und Ziel-Port.
 
Diese gesammelten Informationen werden von dem Netflow-Kollektor empfangen, gespeichert und verarbeitet. Die anfallenden Daten dienen als Grundlage zur Fehlersuche, zur Verkehrsanalyse, zur Kapazitätsplanung  oder zur QoS-Analyse der einzelnen Anbindungen. Diese Technik wird heute bereits von den meisten Herstellern aktiver Netzwerk-Komponenten unterstützt.
 
Netflow ist wie SNMP ein passives Messverfahren. D.h. man beobachtet den Verkehr ohne diesen zu beeinflussen. Wie alle passiven Messverfahren, so erzeugt auch Netflow Volumen-Informationen, typischerweise kBit/s. NetFlow-Daten sind rein Quantitative Daten. Sie können nicht gleich gesetzt oder verglichen werden mit dem Informationsgehalt einer Protokollanalyse. Dennoch haben Sie einen beachtlichen Wert. Es ist nicht Ziel von NetFlow eine bis ins letzte Bit detaillierte Analyse durchzuführen. Viel mehr ist das Ziel, Antworten auf die folgenden Fragen zu erhalten:
 
Wer? Mit wem? Was? Wie viel? Mit welchen Prioritäten? Mit welchem Protokoll? Wie lange?
 
Um die Netflow-Daten analysieren zu können, ist eine Kollektor-Software notwendig. Es werden in der Regel zwei Arten von Analysen durchgeführt:
  • Top-N-Analysen
  • Zeitanalysen
Bei Top-N-Analysen werden in einem frei definierbaren Zeitraum, z. B. 24 Stunden, diejenigen Elemente gesucht, die den meisten Verkehr erzeugen. Kriterien können Sender-IP-Adressen (Top Talker), TCP-Ports (Top Applications) oder andere Einträge aus dem Netflow-Datagramm sein.
Zeitanalysen zeigen das Volumen von Verkehrskomponenten über einer Zeitachse.
 
Ein Flow ist eine Kombination aus mehreren Schlüsselfeldern.
  • Versionsnummer und Sequenznummer
  • Zeitstempel
  • Byte- und Paketzähler
  • Quell- und Ziel-IP-Adressen
  • Quell- und Ziel-IP-Ports
  • Eingangs- und Ausgangs-Port-Nummern
  • TOS-Informationen
  • AS-Nummern ( beim Einsatz des BGB-4 Routing Protokoll )
  • TCP-Flags
  • Protokoll-Typ ( z.B. TCP, UDP oder ICMP )
 
 
Welche Netzwerk-Protokolle werden auf der Anbindung in welchem Maße benutzt ?
Welche Stationen benutzen die meiste Bandbreite meiner Leitungen ?

 

 

Welche Stationen unterhalten sich mit wem wie viel ?
Da die Netflow-Datagramme per UDP übertragen werden, muss der Kollektor schnell genug sein, die Daten zu empfangen, zu verarbeiten und zu speichern. Verlorene Datagramme können nicht wiederhergestellt werden.
 
Was bietet Netflow ?
  • Kapazitätsplanung
    Welche Bandbreiten werden benötigt und welche Reserven sind noch vorhanden ?
  • Trendanalysen
    Wie entwickelt sich das Kommunikationsverhalten meiner Infrastruktur ?
  • Welche Systeme/Anwendungen benötigen welche Bandbreite ?
  • Top – Talker
    Wer nutzt das größte Volumen ?
  • Top – Destination
    Welche Ziele werden am häufigsten angesprochen ?
  • transparente Darstellung der Nutzung der Leitungskapazitäten
    Welche Anwendung braucht welche Bandbreiten ?
    Daraus resultiert auch die Möglichkeit der Quality of Service Implementierung und ein Bandbreiten-Management
  • Reports
    Die individuell zu erstellenden Reports können zur Dokumentation / Planung und Fehleranalyse herangezogen werden.
  • Effektivere Nutzung der vorhandenen Leitungskapazitäten durch Transparenz
    Dadurch lassen sich Kapazitätserweiterungen weiter verzögern ( Kosteneinsparung !!! )
  • Höhere Zufriedenheit der Administratoren und Anwender

 

Rückruf-Service