O protocolo é um padrão da indústria e é compatível não só com dispositivos Cisco, mas também com muitos outros. Isso permite que ele seja usado para coletar estatísticas da plataforma DPI.
Sobre o NetFlow
O NetFlow permite analisar o tráfego de rede no nível da sessão, registrando cada transação TCP/IP, o que fornece estatísticas bastante detalhadas. Atualmente, existem duas versões do NetFlow: 5 e 9. Um padrão aberto chamado IPFIX foi desenvolvido com base na versão 9. Essa versão também suporta campos adicionais, como cabeçalhos IPv6, rótulos de fluxo MPLS e endereços de gateway BGP.
Os seguintes componentes são necessários para usar o protocolo NetFlow:
- Sensor – coleta estatísticas sobre o tráfego que passa por ele. Geralmente, é um switch ou roteador L3, embora também possam ser usados sensores autônomos que recebem dados espelhando a porta do switch.
- Coletor – coleta os dados recebidos do sensor e os armazena.
- Analisador – analisa os dados coletados pelo coletor e gera relatórios legíveis por humanos (geralmente na forma de gráficos).
O sensor extrai conjuntos de pacotes que viajam na mesma direção dos fluxos de tráfego. Os fluxos concluídos ou atuais são enviados para o coletor em uma frequência configurada.
As informações coletadas estão na forma de registros contendo os seguintes parâmetros (para a versão 5):
- número da versão do protocolo
- número do registro
- interface de rede de entrada e saída
- hora de início e término do fluxo
- número de bytes e pacotes no fluxo
- endereço de origem e destino
- porta de origem e destino
- número do protocolo IP
- valor do Tipo de Serviço
- para conexões TCP – todos os sinalizadores observados durante a conexão
- endereço do gateway
- máscaras de sub-rede de origem e destino.
Os dados do coletor são enviados para o analisador (sistema de processamento e visualização), que deve compreender o formato do arquivo recebido do coletor e exibir as informações nele contidas na forma de relatórios e gráficos.
NetFlow para DPI
É suficiente exportar estatísticas sobre protocolos e direções dos sistemas DPI no formato NetFlow 5, pois é o mais comum e é compatível com a maioria das ferramentas gratuitas e comerciais para coletar e analisar estatísticas.
A transferência de informações DPI no formato NetFlow 5 tem várias características:
- O campo dstport é usado para transferir informações sobre o protocolo usado (número da porta) é usado para transferir informações sobre o protocolo usado. Quando possível, é utilizado o número de porta atribuído ao protocolo pela associação IANA, mas para protocolos com um número livre (torrents, Skype, etc.), é atribuído um número especial na faixa superior (49152–65534) reservada pela IANA para portas privadas. Se o protocolo não puder ser determinado, é atribuído o número de porta 65535.
- As estatísticas do protocolo são transmitidas de forma agregada, ou seja, o DPI acumula estatísticas sobre o protocolo, combinando informações de diferentes sessões, e depois as transmite ao coletor em um intervalo especificado. Isso reduz significativamente a quantidade de informações transmitidas.
- As informações sobre os destinos são transmitidas no campo dst_as (número do sistema autônomo).
- As estatísticas sobre os destinos são transmitidas de forma agregada, ou seja, o DPI acumula estatísticas sobre o destino (número AS), combinando informações de diferentes sessões e, em seguida, as transmite ao coletor em um intervalo especificado.
Uma das formas mais populares de obter e analisar informações da plataforma DPI é uma combinação de:
- um coletor daemon que escuta a porta, coleta dados e grava em arquivos
- um dump que lê e gera os dados nfcapd coletados
- um visualizador, que é uma interface gráfica para dados nfdump.
A configuração do DPI resume-se à especificação dos seguintes parâmetros:
- Habilitação do sistema de coleta e exportação de estatísticas (por protocolos, por direções, para faturamento, estatísticas completas por sessões).
- A interface de rede através da qual o netflow com estatísticas será enviado.
- Frequência de exportação de dados.
- O endereço IP e o número da porta do coletor (ou vários coletores para diferentes tipos de dados).
Para poder criar relatórios sobre o tráfego do site, sobre os assinantes do sistema com atribuição dinâmica de endereços e para vincular dados de sessão e volume com metadados transmitidos dentro de uma sessão, você precisa usar o protocolo IPFIX (um desenvolvimento adicional do protocolo NetFlow versão 9). Qualquer coletor IPFIX universal que compreenda modelos ou o utilitário IPFIX Receiver é adequado para coletar informações no formato IPFIX.
Para instalar o NfSen, você precisará de um computador com CentOS 6 ou superior instalado. O espaço em disco necessário é de 250 MB a 1,5 GB por dia de armazenamento, dependendo das configurações. A quantidade de RAM é de 1G. No entanto, não é recomendável instalar o NfSen em um servidor com uma plataforma DPI: a geração de relatórios consome muitos recursos da CPU, o que pode afetar negativamente o desempenho da plataforma DPI. A instalação do NfSen envolve a instalação do servidor web Apache, e sua configuração se resume a habilitar o autostart e abrir portas no firewall.
Após acumular dados por pelo menos um dia, o NfSen permitirá que você crie gráficos com base em protocolos, volume de tráfego e outras informações obtidas do sistema DPI.
Além dos gráficos, o NfSen pode ser usado para gerar relatórios para quaisquer períodos, protocolos e direções.
A análise de tráfego é o primeiro passo para otimizar e melhorar a qualidade dos serviços prestados pelas operadoras de telecomunicações. Relatórios e gráficos mostram o consumo real de largura de banda, as rotas mais movimentadas e os consumidores mais “gananciosos”. Essas informações permitem que você defina prioridades de forma informada, identifique antecipadamente o aplicativo ou usuário com a maior carga de largura de banda, veja tendências e proteja a rede contra sobrecarga, limitando a velocidade.
