Cisco NetFlow
NetFlow – мережевий протокол, розроблений компанією Cisco, що працює на базі Cisco IOS, і призначений для збору інформації про трафік всередині мережі. NetFlow є пропрієтарним, але підтримується платформами, відмінними від Cisco IOS, наприклад роутерами Juniper або OpenBSD/FreeBSD.
Маршрутизатори Cisco з включеним NetFlow, генерують netflow records. Ці пакети експортуються роутером по UDP (User Datagram Protocol) або протоколу передачі з управлінням потоком SCTP (Stream Transmission Control Protocol), і зберігаються, використовуючи netflow collector. Інші постачальники мають подібні функції у своїх маршрутизаторів, але з різними іменами:
Jflow або cflowd для Juniper Networks
NetStream для Huawei Technology
Cflowd для Alcatel-Lucent
Хоча спочатку протокол реалізований Cisco Systems, NetFlow був опублікований у вигляді стандарту IETF: Internet Protocol Information Flow eXport (IPFIX). IPFIX заснований на реалізації Netflow v9 (RFC 3954). Багато постачальників мережевого обладнання вже додають підтримку IPFIX в свої пристрої.
Представлена з запуском обладнання Cisco ASA 5580, Реєстрація Події Безпеки NetFlow використовує шаблони і поля Netflow v9, для ефективної поставки телеметрії безпеки у високоефективних середовищах. Масштаби NetFlow Security Event Logging значно вище, ніж syslogd, пропонуючи той же рівень і ступінь деталізації для зареєстрованих події.
Мережевий потік (network flow) визначався різними способами. Традиційне визначення Cisco має використовувати 7-кортежный ключ, де потік – односпрямована послідовність пакетів з використанням всіх 7 значень:
IP-адреса джерела
IP-адреса одержувача
Порт джерела для UDP або TCP, 0 для інших протоколів.
Порт одержувача для TCP або UDP, тип та код для ICMP, або 0 для інших протоколів
Протокол IP
Вхідний інтерфейс
Тип сервісу IP
Гнучкий Netflow (FNF, Flexible Netflow) і IPFIX підтримують визначені користувачем ключі потоку.
Коли роутер визначить, що потік завершений, він виводить запису потоку. Коли роутер бачить новий трафік для існуючого потоку, він скидає лічильник. Крім того, завершення сеансу TCP в TCP потоці примушує маршрутизатор закінчити потік. Маршрутизатори також можуть бути сконфігуровані для виведення записів потоку у фіксованому інтервалі, навіть якщо цей все ще триває. В Гнучкому NetFlow (FNF) адміністратор може визначити властивості потоку netflow на іншому роутері.
RFC 3954 — Протокол експорту Netflow версії 9