Zašto koristimo Netflow?

NetFlow je dostupan u nekoliko različitih verzija čija je funkcionalnost značajno različita tako da je jako bitno znati koju verziju NetFlow-a odabiremo ili možemo koristiti za pojedine potrebe. 

• NetFlow v5 – trenutno najčešće dostupna verzija na različitim usmjerivačima i ostalom aktivnom mrežnom opremom. Međutim ova verzija ne zadovoljava trenutne potrebe za informacijama, jer npr. ne podržava IPv6 promet, MAC adresiranje, VLAN-ove i ostalo.
• NetFlow v9 – definiran u RFC 3954 a također poznat kao „fleksibilan NetFlow“. Podržava IPv6 i određena polja koja nedostaju u NetFlow v5.
• NetFlow v10 ili IPFIX – standardiziran od strane IETF, proširena verzija NetFlow v9 koja podržava npr. HTTP hostname ili HTTP URL, kao i većinu ostalih polja

  Trenutno se u praksi još uvijek najviše koriste NetFlow v5 i NetFlow v9. Uz ova dva, IPFIX (Internet Protocol Flow Information Export) također poznat kao NetFlow v10 polako dobija sve širu primjenu. IPFIX je stvoren zbog potrebe za standardizacijom načina eksporta informacija unutar IP mrežnog prometa i omogućava uvid u daleko veći broj podataka unutar pojedinog mrežnog protoka.

  NetFlow princip prikazan je u slijedećem video zapisu:

  Understanding NetFlow Principle Animation

  Individualna mrežna komunikacija identificira se pomoću minimum pet atributa: izvorišna i odredišna IP adresa, izvorni i odredišni mrežni portovi te broj protokola. Kada server odgovori klijentovoj IP adresi kreira se novi zapis. Svi slijedeći paketi koji imaju iste atribute nadopunjuju prethodno stvorene zapise (npr. broj bajtova, vrijeme trajanja komunikacije i sl.). Kada je komunikacija završena, zapisi o protoku šalju se na kolektor gdje se mogu pohraniti i koristiti za različite analize.

  Za više informacija kao i našu preporuku najefikasnijeg rješenja za analizu mrežnog prometa pogledajte ovu stranicu.