Đối với những người vận hành hệ thống mạng, giao thức SNMP [Simple Network Management Protocol] khá quen thuộc, được sử dụng phổ biến trong giám sát hệ thống switch, router, server... như giám sát tải CPU, tài nguyên bộ nhớ đã sử dụng, tổng lưu lượng trên các cổng kết nối Tuy nhiên, để có thể giám sát những tính năng chuyên biệt hơn thì ta phải cần đến giao thức Netflow.
NetFlow có thể đáp ứng được các khả năng sau:
- Phân tích tỉ lệ chiếm dụng băng thông kênh của các ứng dụng mới triển khai và tác động trên mạng lưới.
- Theo dõi lưu lượng mạng bằng cách sử dụng số liệu thống kê, phát hiện kịp thời các ứng dụng đang gây ra tình trạng tắc nghẽn.
- Chẩn đoán việc làm chậm hiệu suất mạng, theo dõi băng thông, và sử dụng băng thông trong thời gian thực với giao diện dòng lệnh [CLI] hoặc các công cụ báo cáo.
- Thực hiện đánh giá chất lượng dịch vụ [QoS] để lên phương án phân loại, ưu tiên các ứng dụng yêu cầu độ trễ thấp.
Triển khai Netflow
Việc triển khai Netflow là cần thiết để giúp người vận hành hệ thống theo dõi hiệu suất sử dụng tài nguyên hệ thống và kiểm soát các ứng dụng đang chạy, như theo dõi băng thông kênh truyền, các ứng dụng được truy cập nhiều, người dùng nào đang truy cập các ứng dụng nào, Bài viết sẽ trình bày mô hình và các bước triển khai Netflow trên hệ thống.
Mô hình triển khai
Giả sử cần phân tích lưu lượng truy cập từ các máy tính người dùng đến Internet, mô hình triển khai có dạng như hình trên. Router R1 là thiết bị định tuyến biên, đóng vai trò gateway của mạng, với interface fa0/1 là cổng kết nối với Internet bên ngoài và interface fa0/0 là cổng kết nối mạng LAN bên trong. Khi đó, để phân tích lưu lượng, cần trích xuất dữ liệu trên cổng fa0/0 của router R1. Tuy nhiên dữ liệu netflow sau khi lấy được tồn tại ở dạng thô và cần được xử lý để hiển thị ở dạng trực quan [đồ thị, bảng biểu,] và lưu trữ để phục vụ mục đích báo cáo thống kê.
Hiện nay có nhiều phần mềm hỗ trợ xử lý dữ liệu netflow như Solarwind Netflow Traffic Analyser, PRTG NetFlow Analyzer, ManageEngine NetFlow Analyzer... Bài viết minh họa sử dụng công cụ phần mềm là Solarwind Traffic Analyser cho trường hợp phân tích luồng dữ liệu qua thiết bị mạng Cisco. Với các dòng thiết bị khác như Juniper, HP thực hiện tương tự.
Các bước triển khai
Bước 1 : Cấu hình enable netflow trên router để gửi dữ liệu về Server phân tích
Chỉ định địa chỉ IP server để nhận dữ liệu netflow từ thiết bị mạng gửi về
- Enable ip flow v9 và chỉ định nguồn đích của luồng traffic, ở đây nguồn là interface fa0/0 với IP 192.168.1.254 và đích là server [IP 192.168.1.1] có cài đặt phần mềm phân tích lưu lượng Solarwind traffic analyser.
Bước 2: Kiểm tra lại cấu hình trên thiết bị
Kiểm tra việc thực thi netflow trên thiết bị
Kết quả kiểm tra cho thấy netflow vesion 9 đang được enable trên thiết bị. Luồng dữ liệu phân tích xuất phát từ địa chỉ IP nguồn 192.168.1.254 [cổng inside của thiết bị router], đến địa chỉ đích 192.168.1.1 [server thu thập phân tích dữ liệu].
Kiểm tra các luồng traffic đang lưu trên cache thiết bị
Sau khi enable tính năng netflow trên thiết bị, dữ liệu netflow sẽ được lưu vào bộ nhớ cache trên chính thiết bị đó. Lệnh show ip cache flow hiển thị thông tin IP nguồn, IP đích, cổng trao đổi dữ liệu in/out, Tuy nhiên dữ liệu tồn tại trong cache dưới dạng thô và cần sử dụng thêm công cụ để xử lý, phục vụ công tác thống kê.
Bước 3: Cài đặt công cụ phân tích dữ liệu
Trên server [IP 192.168.1.1] cài đặt ứng dụng phân tích lưu lượng [ví dụ như Solarwind netflow traffic analyser, PRTG NetFlow Analyzer, ManageEngine NetFlow Analyzer,...] để thống kê các thông tin thu thập được
- Giao diện thống kê các dịch vụ truy cập [kèm theo thông tin về lưu lượng của từng dịch vụ].
- Giao diện thống kê các máy trạm có lưu lượng truy cập vào ra cao
Bài viết trình bày các nội dụng cơ bản liên quan đến ứng dụng netflow trong phân tích dữ liệu, mô hình triển khai, cấu hình trên thiết bị Network cần đẩy dữ liệu về Server để phân tích, giúp giám sát hệ thống mạng hiệu quả hơn.
Cơ sở hạ tầng, công nghệ thông tin ngày càng phát triển nhanh chóng nên sự đòi hỏi khả năng hiển thị và bảo mật mạng ngày càng cần thiết. Trong bài viết này, bạn sẽ tìm hiểu cách thu thập và phân tích dữ liệu qua công cụ NetFlow. Vây NetFlow là gì? NetFlow hoạt động như thế nào và ứng dụng như thế nào? Hãy theo dõi bài viết dưới đây để có câu trả lời chính xác nhất.
1. NetFlow là gì?
NetFlow là một công cụ được triển khai để thực hiện giám sát, khắc phục sự cố và kiểm tra chuyên sâu, giải thích và tổng hợp dữ liệu luồng lưu lượng. Nó nổi bật so với các giao thức mạng khác về khả năng tạo ra thông tin chi tiết cụ thể về các luồng ứng dụng.
NetFlow tạo điều kiện cho việc lập kế hoạch năng lực chính xác hơn và đảm bảo rằng các nguồn lực được sử dụng một cách thích hợp để hỗ trợ các mục tiêu của tổ chức. Nó cho phép bạn thu thập lưu lượng và phân tích nó thông qua một chương trình.
Sau đó NetFlow tổ chức các bản ghi luồng thành một định dạng cho phép quản trị viên CNTT hoặc kỹ sư mạng phân tích thêm lưu lượng.
NetFlow được phát hành như một giao thức mạng để người dùng có một cái nhìn sâu sắc nhất về năng suất mạng, lỗ hổng bảo mật mạng, sự phân tán các tài nguyên cũng như việc sử dụng các ứng dụng.
Một NetFlow gồm 3 thành phần chính như sau:
- Flow exporter: tổng hợp các gói thành các flow và xuất các bản ghi flow cho một hoặc nhiều bộ thu flow và các trình xuất flow là bộ định tuyến và thiết bị chuyển mạch.
- Flow collector: nó chịu trách nhiệm tiếp nhận, lưu giữ và giải quyết trước dữ liệu dòng nhận được từ bộ xuất dòng.
- Ứng dụng phân tích: phân tích dữ liệu flow nhận được trong bối cảnh phát hiện xâm nhập hoặc lập hồ sơ lưu lượng mạng.
2. Ứng dụng của NetFlow
Những gì mà NetFlow cung cấp có thể giải quyết được rất nhiều vấn đề như:
- Sử dụng NetFlow loại bỏ những ứng dụng gây ảnh hưởng đến đường truyền tải mạng của bạn
- Tăng tốc độ khắc phục sự cố, hạn chế làm giảm khả năng truyền tải
- NetFlow xác định và kiểm soát những gì đang làm cản trở mạng của bạn
- Xác định chính xác những ứng dụng nào gây ra sự cố cho mạng, do đó bạn không phải tốn tiền thay thế hoặc nâng cấp tất cả phần mềm của mình.
- Khi được sử dụng song song với các ứng dụng khác như Cisco CSMars, NetFlow có thể kiểm tra các điểm bất thường và tiến hành bảo mật một cách kỹ càng.
- Theo dõi việc phân bổ băng thông của bạn để đảm bảo rằng bạn không sử dụng quá mức.
3. NetFlow hoạt động như thế nào?
NetFlow sẽ hoạt động bằng việc tương tác với các luồng IP hoặc chuỗi các gói kết nối máy chủ với đích. Mỗi gói đi qua bộ định tuyến hoặc bộ chuyển mạch được kiểm tra các thuộc tính gói IP nhất định, sau đó được sử dụng làm mã nhận dạng gói để xác định xem một gói là duy nhất hoặc đủ tương tự với các gói khác được nhóm cùng với chúng.
NetFlow hoạt động theo một quy trình thu thập, phân loại và phân tích dữ liệu đơn giản. Các thành phần chính của NetFlow bao gồm:
- Địa chỉ IP: bao gồm một nhóm các gói có các thuộc tính gói IP giống nhau. Khi một gói được chuyển tiếp trong một bộ định tuyến hoặc bộ chuyển mạch, nó được kiểm tra một tập hợp các thuộc tính
Tập hợp đó bao gồm địa chỉ nguồn IP, cổng nguồn, cổng đích, loại giao thức lớp 3, loại dịch vụ và bộ định tuyến hoặc giao diện chuyển mạch.
- Bộ đệm NetFlow là một cơ sở dữ liệu thông tin cô đọng, và là nơi dữ liệu NetFlow được lưu trữ sau khi các gói đã được kiểm tra.
- Giao diện CLI là cũng một trong những cách để truy cập dữ liệu NetFlow.
- Người dùng có thể truy cập bằng cách xuất dữ liệu sang bộ thu thập NetFlow.
4. Lợi ích khi sử dụng NetFlow
Việc sử dụng NetFlow rất hữu ích cho người dùng, nó mang lại những lợi ích nổi bật với những người đang sử dụng NetFlow là:
- Những người dùng NetFlow có thể sử dụng các phương pháp phân tích dựa trên luồng với NetFlow để có thể nhìn rõ các mẫu lưu lượng trên toàn bộ mạng.
- Có thể theo dõi và lập hồ sơ việc sử dụng tài nguyên mạng và ứng dụng của người dùng nhằm phát hiện bất kỳ vi phạm chính sách hoặc bảo mật tiềm ẩn nào.
- Lên kế hoạch, chiến lược mạng: bạn có thể lên kế hoạch nâng cấp để có thể đáp ứng được nhu cầu của mình.
- Phân tích một cách an toàn và bảo mật: người dùng có thể thấy được những điều bất thường khi có sự thay đổi trong các hành vi mạng. Cho phép người dùng có thể theo dõi, cũng như tìm ra những hoạt động ảnh hưởng đến an ninh mạng và tăng cường việc bảo mật mạng của mình.
- NetFlow mang lại cho người dùng thông tin quan trọng để phân tích phức tạp nhằm tối ưu hóa cả việc lập kế hoạch mạng chiến lược và ra quyết định kỹ thuật mạng chiến thuật, giảm thiểu tổng chi phí của các hoạt động mạng trong khi vẫn tối đa hóa hiệu suất, dung lượng và độ tin cậy của mạng.
5. So sánh NetFlow với sFlow
Hai công cụ này đều quan tâm đến các gói và những lưu lượng mạnh. Vì vậy, bạn nên cẩn thận để không nhầm lẫn giữa NetFlow và sFlow.
NetFlow sẽ sử dụng những mẫu, còn sFlow nó là một giải pháp để thay thế NetFlow và sử dụng các phần mở rộng hơn các mẫu.
sFlow cũng sử dụng bằng cách lấy mẫu gói được thiết kế đặc biệt để xử lý các mạng tốc độ cao hoặc hiệu suất cao. s được hiểu là việc lấy mẫu, sFlow chỉ xử lý các gói chứ không phải luồng IP và các gói đó không được hợp nhất thành Flow như trong NetFlow.
sFlow sẽ bổ sung các mẫu với các gói được chọn ngẫu nhiên khác. SFlow lấy các byte từ các mẫu này, biến chúng thành các biểu đồ dữ liệu sFlow và gửi chúng đến bộ thu thập sFlow.
Những điểm khác biệt chính giữa NetFlow và sFlow được biểu hiện như sau:
- Khả năng mở rộng: việc sử dụng NetFlow sẽ chuẩn xác hơn sFlow vì có thể sử dụng được nhiều gói ở trên mạng thay vì chỉ sử dụng một vài gói.
Tuy nhiên, phương pháp lấy mẫu sFlow làm cho nó có khả năng lớn hơn NetFlow vì nó có thể xử lý lượng lớn lưu lượng truy cập nhanh hơn.
- Sự hoạt động: NetFlow được sử dụng cả CPU và RAM để chạy bộ đệm flow, nó có thể không tốt khi hiệu suất ở khối lượng lớn, và sẽ tốt hơn chỉ chi khả năng hiểu. sFlow không có liên quan nhiều đến những thiết bị mạng.
- Phủ sóng khác nhau: NetFlow chỉ tương tác với IP, sFlow có nhiều lớp đến 7.
- Độ trễ khác nhau: độ trễ của NetFlow cao hơn sFlow, các bộ phân tích NetFlow thường xuyên tiến hành xuất bộ đệm lưu lượng dựa trên thời gian chờ hoạt động và không hoạt động và các báo cáo có thể bị trì hoãn do lưu lượng truy cập trực tiếp, đặc biệt là khi nói đến VoIP.
NetFlow có độ nhìn rộng hơn và cung cấp cho bạn thấy được một góc độ khác rộng hơn và toàn diện hơn về các dữ liệu về mạng của bạn.
6. Lời kết
Với những thông tin mà bài viết trên đã chia sẻ về NetFlow giúp bạn hiểu được định nghĩa NetFlow là gì. Những lợi ích khi sử dụng NetFlow mang lại là rất lớn nếu bạn tận dụng nó một cách hiệu quả và doanh nghiệp sử dụng NetFlow có thể giảm thiểu được những rủi ro về mạng. Hy vọng bạn có được những thông tin hữu ích từ bài viết và có thể sử dụng NetFlow một cách hiệu quả nhất.
Tổng hợp: kinhnghiemchungkhoan.com