NetFlow, ein Netzwerkprotokoll, das von Cisco Systems für Cisco-Router entwickelt wurde, wird häufig zur Erfassung von Metadaten über den IP-Verkehr verwendet, der über Netzwerkgeräte wie Router, Switches und Hosts fließt. Es überwacht und bietet Einblicke in die Leistung Ihrer Anwendungen und Ihres Netzwerks.
Daten zum Traffic-Fluss geben den IT-Fachleuten eines Unternehmens Aufschluss darüber, wie viel Traffic vorhanden ist, woher er stammt und wohin er geht und welche Pfade dabei genutzt werden. Diese Statistiken zum Network-Flow werden aufgezeichnet und zur Überwachung der Nutzung im Laufe der Zeit, zur Erkennung von Problemen und zur Planung von Upgrades verwendet.
Die neuesten Erkenntnisse und Insights zu KI
Entdecken Sie von Experten kuratierte Erkenntnisse und Neuigkeiten zu KI, Cloud und mehr im wöchentlichen Newsletter Think.
NetFlow ist als Standard der Internet Engineering Task Force (IETF) anerkannt, wobei „Netflow“ auch ein allgemeiner Begriff ist, der sich auf andere Protokolle zur Überwachung des Network-Flow bezieht. Cisco Systems NetFlow Version 9 ist vorlagenbasiert und ermöglicht die Auswahl aktivierbarer Statistiken. Im Gegensatz dazu mussten bei früheren Versionen wie dem beliebten Cisco Systems NetFlow v5 festgelegte Felder verwendet werden. Insgesamt ist NetFlow Version 9 flexibler als frühere Versionen.
IP Flow Information Export (IPFIX) ist ein weiteres Netflow-Protokoll, das einen flexiblen, vorlagenbasierten Ansatz verwendet. Während NetFlow v9 weit verbreitet ist, hat sich IPFIX zum Branchenstandard entwickelt. Tatsächlich basiert IPFIX auf NetFlow v9. Die beiden Protokolle sind so ähnlich, dass IPFIX manchmal als NetFlow v10 bezeichnet wird, obwohl es kein NetFlow-Produkt ist.
Ein weiteres beliebtes Protokoll zur Überwachung des IP-Netzwerkflusses und ein Standard für Datenaufzeichnungen ist sFlow (oder samples NetFlow). Es wurde von InMon Corp. eingeführt und verfolgt nicht wie NetFlow jedes Paket, das Ihr Netzwerk durchquert, sondern erfasst stattdessen eine zufällige Stichprobe des Datenverkehrs im Netzwerk. Diese zufällige Stichprobe bedeutet, dass weniger Daten zum Traffic-Flow verarbeitet und analysiert werden müssen, was jedoch die Auswirkungen auf die Leistung minimiert. Da NetFlow alles verfolgt, kann es zu einer Verlangsamung des Netzwerks kommen.
Andere Netflow-Überwachungsprotokolle sind J-Flow von Juniper Networks, NetStream von 3Com/Huawei, Cflow von Alcatel-Lucent und Rflow von Ericsson. Ein allgemeiner Begriff, der für diese Tools verwendet wird, ist xFlow.
NetFlow-Lösungen bestehen in der Regel aus drei Hauptkomponenten:
1. NetFlow-Exporter. Ein NetFlow-fähiges Gerät, in der Regel ein Router oder eine Firewall, agiert als Flow-Exporter und sammelt Flow-Informationen. Es fasst Datenpakete zu Flows zusammen und exportiert NetFlow-Datensätze regelmäßig über das User Datagram Protocol (UDP) an einen oder mehrere NetFlow-Kollektoren.
Der Exporter identifiziert einen Datenfluss als unidirektionalen Paketstrom mit mindestens einem dieser gemeinsamen Elemente: Eingangsschnittstellenport, Quell-IP-Adresse und Zieladresse, Quellport, Zielportnummer, Layer-3-Protokollfeld oder Diensttyp. Ein Datenfluss ist für den NetFlow-Export bereit, wenn er für einen festgelegten Zeitraum inaktiv ist. Er ist auch bereit, wenn ein TCP-Flag wie FIN oder RST anzeigt, dass der Datenfluss beendet ist.
2. NetFlow-Kollektor. Ein Netflow-Kollektor kann hardware- oder softwarebasiert sein, wobei softwarebasierte Tools häufiger verwendet werden. NetFlow-Kollektoren empfangen die aggregierten Daten der Flussaufzeichnung von Fluss-Exporttools und verarbeiten und speichern sie dann.
3. NetFlow-Analysator. Ein NetFlow-Analysator ist ein Tool, das NetFlow-Datensätze verarbeitet und analysiert, die von einem Flow-Kollektor empfangen und gespeichert werden. Es wandelt Daten in Berichte und Benachrichtigungen um, aus denen Informationen zur Bandbreitennutzung, zu Bandbreitenfressern, zu Verkehrsmustern, zur Anwendungsnutzung und zu anderen Leistungskennzahlen hervorgehen, anhand derer Sicherheits- und Leistungsprobleme identifiziert werden können. Mithilfe dieser Traffic-Flow-Analyse können Sie sich ein Bild von Ihrem Netzwerktraffic und -volumen machen.
NetFlow-Daten bieten einen tiefen Einblick in Ihr Netzwerk, wodurch Sie die Leistung optimieren und die Benutzererfahrung verbessern können.
Verständnis des Verkehrsflusses zur Maximierung des Durchsatzes. Die IP-Verkehrsmuster in Ihrem gesamten Netzwerk zu sehen, ist von großem Wert, z. B. um den in das Unternehmensnetzwerk eingehenden Traffic zu verfolgen und Ihre Hauptnutzer zu identifizieren. Sicherheits- und Netzwerkbetriebsteams können diese Informationen zum Datenfluss zur Überwachung der Nutzung von Netzwerkanwendungen, zur Erkennung von Engpässen und zur Reduzierung des Risikos von Ausfallzeiten verwenden. NetFlow-Daten sind auch für die nutzungsbasierte Abrechnung hilfreich. Diese Funktion ermöglicht die Weiterberechnung von Netzwerkkosten an bestimmte Geschäftsbereiche oder Endnutzer.
Exakte Planung des Wachstums. Mit NetFlow-Daten können Sie Ihren Netzwerkverkehr verfolgen, um eine ausreichende Bandbreitenkapazität sicherzustellen und das Netzwerkwachstum optimal zu planen. Diese Informationen erleichtern und optimieren die Planung von Upgrades in Bezug auf die Anzahl der Ports, Routing-Geräte und andere Anforderungen.
Verbesserung des Cybersicherheitsschutzes. Durch die Visualisierung von Änderungen im Netzwerkverhalten kann Ihr SecOps-Team leichter Anomalien erkennen, die auf eine Cybersicherheitsverletzung hinweisen können. Diese Daten können auch nach einem Sicherheitsvorfall hilfreich sein, um den Verlauf zu rekonstruieren und ein besseres Verständnis des Vorfalls zu erlangen sowie Maßnahmen zur Vermeidung eines solchen Szenarios in der Zukunft zu ergreifen.
Verbesserung Ihrer Benutzererfahrung. Die Erfassung und Analyse von Daten zum Datenverkehr ist eine große Hilfe bei der Diagnose und Behebung von Verlangsamungen, Spitzen im Netzwerkverkehr, übermäßiger Bandbreitennutzung und anderen Netzwerkproblemen.
Gewinnen Sie innerhalb von Minuten Erkenntnisse. Gewinnung von Erkenntnissen in Minutenschnelle. Auf vielen Netzwerkgeräten ist bereits eine NetFlow- oder IPFIX-Unterstützung installiert, sodass die Aktivierung und Weiterleitung der resultierenden Daten an einen NetFlow-Kollektor einfach ist. Wenn Sie NetFlow noch nicht haben, ist die Installation relativ kostengünstig. In der Regel benötigen Sie keine zusätzliche Hardware. Nach dem Herunterladen von NetFlow können Sie in wenigen Minuten und ohne Ausfallzeiten ganz einfach einige Netzwerkknoten konfigurieren, um Ihrem Netzwerk eine IP-Flussanalyse hinzuzufügen.
NetFlow verbraucht viel Bandbreite, was sich auf die Leistung der überwachten Geräte auswirken kann. Aufgrund dieser Einschränkung entscheiden sich einige Teams stattdessen für die Stichprobenprüfung von IP-Paketen, beispielsweise mit sFlow, das viel weniger Bandbreite verbraucht. Der Nachteil ist jedoch, dass die Stichprobenprüfung dazu führen kann, dass IT-Teams kritische Probleme bei der Netzwerksicherheit oder der Leistung übersehen.
Außerdem kann NetFlow Ergebnisse nur an eine begrenzte Anzahl von Personen oder Überwachungstools weiterleiten, oft weniger als nötig, um ein Netzwerk angemessen zu verwalten und Fehler zu beheben. Diese Einschränkung bedeutet, dass zu wenige Personen zu wenig Informationen über die Leistung eines Netzwerks erhalten, um Probleme und Bedrohungen im Auge zu behalten.
Eine weitere Einschränkung besteht in der Tatsache, dass NetFlow zwar ein Gerät identifiziert, das Datenverkehr sendet oder empfängt, aber keine Anmeldeinformationen überprüft. Und das hat wiederum zur Folge, dass keine Benutzeridentitäten bereitgestellt werden können.
Bevor NetFlow verfügbar war, nutzten IT-Fachleute das Simple Network Management Protocol (SNMP) zum Analysieren und Überwachen des Netzwerkverkehrs. Auch heute noch wird SNMP häufig zur Netzwerküberwachung eingesetzt.
Im Gegensatz zu NetFlow überwacht SNMP die Speicher-, CPU- und Speicherauslastung sowie die Gerätetemperatur. SNMP erfasst Informationen für die standardmäßige Netzwerküberwachung und Kapazitätsplanung. SNMP unterscheidet sich von NetFlow dadurch, dass es für die Echtzeit-Netzwerkverwaltung verwendet wird. SNMP liefert jedoch keine detaillierten Informationen über die Bandbreitennutzung, z. B. wofür ein Netzwerk genutzt wird und wer es nutzt.
NetFlow verwendet die Push-Technologie, sodass Informationen angezeigt werden, sobald sie verfügbar sind, während SNMP in der Regel die Pull-Technologie in festgelegten Intervallen verwendet.
Da NetFlow mehr Informationen als SNMP bereitstellt, eignet es sich besser für eine tiefgreifende Analyse des Netzwerkverkehrs und zur Fehlerbehebung. NetFlow empfiehlt sich eher für komplexe Netzwerke mit hohem Datenverkehr, die IP-Datenverkehr nutzen, sowie zur Erkennung von Anomalien. Es bietet detailliertere Informationen über Anwendungen und Quellen des Netzwerkverkehrs und ist besser für die Leistungsanalyse und das Management des Netzwerkverkehrs skalierbar.
Obwohl sowohl SNMP als auch NetFlow nützlich sein können, sollte man bei der Auswahl der besten Option für das eigene Netzwerk die Unterschiede berücksichtigen.
Ressourcen
Entwerfen Sie eine Datenstrategie, die Datensilos beseitigt, die Komplexität reduziert und die Datenqualität verbessert, um außergewöhnliche Kunden- und Mitarbeitererfahrungen zu schaffen.
Watsonx.data ermöglicht es Ihnen, Analysen und KI mit all Ihren Daten zu skalieren, unabhängig davon, wo sie sich befinden, und zwar über einen offenen, hybriden und kontrollierten Datenspeicher.
Erschließen Sie den Wert von Unternehmensdaten mit IBM Consulting und bauen Sie ein erkenntnisgesteuertes Unternehmen auf, das Ihnen geschäftliche Vorteile verschafft.