Netflow, Cisco tarafından geliştirilen ve IP trafik bilgisini toplayan ağ protokolüdür. Netflow, ağ kullanıcıları, ağ uygulamaları, ve yönlendirme (routing) trafiği hakkında bilgi sağlar. Netflow’un temel çıktısı akış kaydıdır. Akış kaydı biçimlerinden en yenisi Netflow v9 olarak adlandırılmaktadır. Daha önce geliştirilmiş biçimlerden ayırıcı farkı şablon temelli (template-based) olmasıdır. Şablonlar, akış biçimi için geliştirilebilir tasarımlar sağlar, eşzamanlı temel akış kaydı değişimi gerektirmeden Netflow hizmetlerinde uygulanacak gelişmelere izin verir.
Bir akış 7 öğe ile tanımlanır:
- Kaynak IP adresi
- Hedef IP adresi
- UDP veya TCP için kaynak port (diğer protokoller için 0)
- UDP veya TCP için hedef port, ICMP için tip ve kod (diğer protokoller için 0)
- IP protokolü
- Giriş arayüzü
- IP Hizmet Türü (Type of Service)
Netflow Kaydı
Netflow kaydı çoğunlukla UDP ve SCTP protokolleri ile gönderilir.
Netflow kaydı bir çok bilgi bulundurur:
- Sürüm numarası
- Sıra numarası (sequence number)
- Giriş ve çıkış arayüzleri (SNMP destikli)
- Akış başlangıç ve bitiş bilgisi
- Akış boyutu ve paket sayısı
- 3. Katman başlıkları (kaynak ve hedef IP adresleri ve portları, IP protokolü, Hizmet türü (Type of Services) değeri)
- 3. Katman yönlendirme bilgisi
Ayrıca NetFlow v9 isteğe bağlı olarak MPLS (Multiprotocol Label Switching - Çoklu Protokol Etiket Anahtarlama) etiket bilgisini ve IPv6 adres ile port bilgisini sağlar.
Netflow Sürümleri
Sürüm
| İçeriği |
| v1 | İlk uygulama olup IP mask ve AS numaralarını desteklemez. |
| v2 | Cisco test sürümü olup yayınlanmamıştır. |
| v3 | Cisco test sürümü olup yayınlanmamıştır. |
| v4 | Cisco test sürümü olup yayınlanmamıştır. |
| v5 | En yaygın sürüm olmakla birlikte sadece IPv4 desteği sunmaktadır. |
| v6 | Cisco tarafından desteği kaldırılmıştır. |
| v7 | v5 içeriğine sahip olup Cisco "Catalyst Swtich"lerde kullanılmaktadır. |
| v8 | v5 bilgilerini çeşitli gruplar halinde sunulması sağlanmıştır. |
| v9 | Şablon temellidir ve güncel yönlendiriciler (router) tarafından desteklenir . MPLS ve IPv6 bilgisi ie BGP next-hop bilgisi içerir. |
| IPFIX | IETF standardı olup v9 baz alınarak geliştirilmiştir. |
Netflow Kullanım Alanları
Netflow ile ağ trafiği hakkında detaylı bilgi elde edilir. Trafiğin yönetilmesi ve gereksinimlerin organizasyon hedefleri doğrultusunda belirlenmesi sağlanır. QoS’un (Quality of Service - Hizmet Kalitesi) nerede uygulanacağı ve “Denial of Service” (DoS) ataklarının tespiti gibi önemli durumlarda referans olur.
Netflow aşağıdaki durumlara çözümler üretebilmektedir:
- Yeni uygulamalar ve uygulamaların ağa etkisini gösterir. Örneğin VOIP trafiği.
- Wan bant genişliği kullanım bilgisi ile bağlatıyı en fazla kullanan (top talkers) ve kullanım türüne ilişkin bilgi içerir.
- Uygun olmayan wan trafiği tespit edilerek gereksiz yeni yatırımlara engel olur.
- Hizmet Kalitesi (Quality of Service) kontrolü yapılarak ağın ideal şekilde yönetilmesine yardımcı olur.
Netflow Verisinin Oluşturulması
Netflow bilgisi bağımsız veri toplama araştırmaları ile oluşturulur. Bu sayede yönlendirici (router) temelli izleme limitleri aşılabilmektedir. Netflow dinlemede gözlemlenen bağlantı ile Netflow sunucusunun TAP veya Span portları arasında net bir bağlantı vardır.
Netflow bilgisine CLI (Client Management System- İstemci Yönetim Sistemi) üzerinden ve “Netflow Collector” adı verilen sunucular üzerinde ulaşılır. “show” komutları ile anlık olarak CLI üzerinden trafik bilgisi alınabilir. Hata tespiti (troubleshooting) için büyük öneme sahiptir.
Netflow Collector sunucuları Netflow verisini işleyip, birleştirerek anlık ya da geçmişe dönük grafiksel bilgi verir. Netflow bilgisi yönlendirici tarafından oluşturularak sunucuya iletilir. Protokol yapısı gereği ağda oluşabilecek olumsuz bir durumda sunucuya iletilemeyen akış bilgisi yeniden elde edilemez. Genellikle 2055, 9555 ve 9995 portları kullanılarak Netflow bilgisi sunucuya iletilir. Netflow, işlemci yükünü azaltmak amacıyla arayüz içerisinde aktif edilmektedir.