Flow Export Protocol Ihres Vaters (Teil 1)

Möglicherweise sind Sie mit NetFlow, IPFIX und anderen ähnlichen Protokollen wie J-Flow und sFlow vertraut. Diese Protokolle bieten nützliche Einblicke in den Verkehrsmix und die Interessengemeinschaften. Diese Protokolle enthalten jedoch nicht die Details auf Anwendungsebene, die einige Administratoren wünschen. IT-Administratoren benötigen mehr Transparenz auf Anwendungsebene, um Application Performance Management (APM) ausführen und Probleme auf Anwendungsebene beheben zu können. Derzeitige flussbasierte Protokolle enthalten keine Details auf Anwendungsebene, die für eine eingehendere Analyse und Fehlerbehebung erforderlich sind.

NetFlow-Verlaufsstunde:

In den 1990er Jahren begann NetFlow Version 5 als proprietäres Protokoll von Cisco Systems zum Erfassen und Senden von Informationen über Netzwerkverkehrsflüsse an einen Sammelpunkt. NetFlow kann auf Netzwerkgeräten aktiviert werden, die Cisco Press Forwarding (CEF) verwenden. Das NetFlow-fähige Gerät erfasst Informationen zu IP-Netzwerkströmen, die die Schnittstelle durchlaufen, und sendet die Daten zu den Flüssen in UDP-Paketen an ein Kollektorsystem. Der NetFlow-Kollektor ist normalerweise ein Computer, auf dem die Erfassungs- und Analysesoftware ausgeführt wird. NetFlow ist in den letzten zehn Jahren sehr beliebt geworden. Mittlerweile gibt es eine Vielzahl von Unternehmen, die NetFlow auf ihren Geräten unterstützen, und viele Unternehmen, die NetFlow-Dienstprogramme zur Erfassung und Analyse herstellen.

Aufgrund des zusätzlichen Verarbeitungsaufwands zur Unterstützung von NetFlow war es nicht für die Verwendung auf vielen Netzwerkgeräten geeignet. Cisco hat Sampled NetFlow, Deterministic Netflow und Random Sampled NetFlow entwickelt, um den Aufwand für die Ausführung von NetFlow auf ausgelasteten Geräten zu verringern und dennoch eine gewisse Verkehrssichtbarkeit zu erzielen. Später entwickelte Cisco Flexible NetFlow, mit dem Layer 2, IPv6 und andere Datentypen an einen Collector gesendet werden können.

NetFlow und IPFIX:

Als NetFlow immer beliebter wurde, fügte NetFlow Version 9 Flussdetails für MPLS-Netzwerke und IPv6-Datenflüsse hinzu. NetFlow begann als proprietäres Cisco-Protokoll, wurde jedoch 2004 in einem IETF-Informations-RFC 3954 dokumentiert. Die IETF begann 2004 mit der Arbeit am IPFIX (Internet Protocol Flow Information eXport). Die IPFIX-Anforderungen wurden erstmals in RFC 3917 dokumentiert. Tatsächlich wurde NetFlow v9 war die Basis für den IETF IPFIX-Standard. Tatsache ist, dass IPFIX und NetFlow v9 viele Feldtypen gemeinsam haben. NetFlow und IPFIX wurden in NetFlow v10 zusammengefasst und mit RFC 5101, RFC 5102, RFC 5103 und RFC 5655 standardisiert. Das IPFIX-Informationsmodell wurde mit RFC 6313 aktualisiert. IPFIX wurde jetzt in den folgenden IETF-RFCs 7011, 7012, 7013, 7014 aktualisiert und 7015. Viele Produkte von Anbietern unterstützen jetzt IPFIX.

Andere Flow-Export-Protokolle:

Da NetFlow ursprünglich als eine von Cisco entwickelte Flow-Methode angesehen wurde, wollten andere Anbieter ihre eigenen Protokolle entwickeln oder an „offeneren“ Flow-Protokollen zusammenarbeiten, um auf ihrer eigenen Hardware zu arbeiten. Es gibt viele andere flussbasierte Protokolle zur Analyse des Netzwerkverkehrs, und einige werden nur von einem einzigen Anbieter verwendet.

J-Flow v5 / v8 / v9 ist ein flussbasiertes Überwachungsprotokoll, das von Juniper Networks entwickelt wurde. Es läuft auf ihren JUNOS-Geräten und J-Flow ist mit NetFlow-fähigen Kollektoren kompatibel.

sFlow ist ein weiteres Paketabtastprotokoll, das Informationen über Flüsse an einen Kollektor sendet. sFlow wird von einer Branchenorganisation unterstützt, die die Übernahme des Protokolls vorantreibt. Der Unterschied zwischen sFlow und anderen Flow-Export-Protokollen besteht darin, dass Paket-Sampling statt nur Flow-basierter Export durchgeführt werden kann. Paketabtastung kann die Leistung der Technik verbessern, indem die Overhead-Belastung des Netzwerkgeräts verringert wird. sFlow Version 5 bietet umfassende Unterstützung von Anbietern.

NetStream ist ein weiteres flussbasiertes Exportprotokoll, das von 3Com / HP / Huawei verwendet wird.

Ericsson hat auch ein eigenes RFlow-Protokoll.

OpenBSD-Systeme können pflow (Pseudo-Device Flow) als Methode zum Exportieren von Flussdaten verwenden. pFlow ist kompatibel mit NetFlow v5 / v9 und v10 (IPFIX).

Einschränkungen von Netzwerkflussprotokollen:

Die Einschränkung bei allen flussbasierten Netzwerkanalyseprotokollen besteht darin, dass ihnen die Granularität des Datenverkehrs fehlt. Nichts liefert mehr Details in den Verkehr als die eigentliche Protokolldecodierung mit einem Protokollanalysator. Das Erfassen von Rohpaketen kann jedoch eine Leistungsbelastung für ein Netzwerkgerät darstellen, und das Speichern all dieser Informationen kann teuer sein. Paketerfassungen sind möglicherweise eine praktikable Option für die kurzfristige Fehlerbehebung und das Testen, sie sind jedoch keine nachhaltige Lösung für die Kapazitätsplanung, Trendanalyse und Langzeitanalyse.

Darüber hinaus ist die Möglichkeit, Paketerfassungen an vielen Punkten über die Netzwerktopologie durchzuführen, normalerweise keine Option. Das Einrichten einer größeren Anzahl von Abgriffen von SPAN / Port-Mirroring-Verbindungen ist möglicherweise nicht möglich. Sie haben nicht immer einen Paketüberwachungs-Switch bereit oder einen Cisco eXtensible Network Controller (XNC), auf dem die Monitor Manager-Anwendung mit bereits eingerichteten Nexus 3000-Switches ausgeführt wird.

Heute erleben wir auch ein sich wandelndes Gesicht der IT-Topologie. Systeme, die sich früher in unternehmenseigenen Einrichtungen befanden, sind jetzt auf eine Cloud-basierte Infrastruktur umgestiegen. Nicht jede Anwendung ist sicher im Unternehmensdatenzentrum eingebettet und kann über das interne Unternehmens-WAN aufgerufen werden. Dies erschwert die Durchführung einer Protokollanalyse von Cloud-basierten Anwendungen. Es fehlt uns auch die Möglichkeit, Paketerfassungen auf Cloud-basierten Diensten oder auf Virtualisierungsplattformen durchzuführen. Infolgedessen fehlt vielen Anwendungen die Sichtbarkeit, die sie benötigen, um detaillierte Anwendungsanalysen durchführen oder Probleme beheben zu können.

Zusammenfassung:

Unternehmen benötigen bessere Möglichkeiten, um den Anwendungsverkehr zu verstehen, der über ihre On-Premise- und Cloud-Basissysteme läuft. NetFlow und IPFIX sind nützlich, es fehlt jedoch die Granularität einer vollständigen Protokollerfassung. Abhängig von der Topologie ist die Erfassung des Rohdatenverkehrs jedoch möglicherweise keine Option. Immer mehr anwendungsbezogene Leistungsprobleme erforderten mehr Transparenz, um Fehler beheben zu können. Möglicherweise sind andere Protokolle verfügbar, die uns die gewünschte Sichtbarkeit geben.

Im zweiten Teil dieses Artikels werden wir ein neues Flussanalyseprotokoll behandeln, das diese nützlichen Informationen enthält.

Scott

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.