NetFlow چیست

نویسنده:

دسته:

پشتیبانی و مانیتورینگ شبکه

تاریخ انتشار:

2 مرداد 1404

پروتکل NetFlow یک ابزار قدرتمند و پرکاربرد برای نظارت و تحلیل ترافیک شبکه است که به طور گسترده در مدیریت شبکه استفاده می‌شود. استفاده از این فناوری امنیت شبکه را فراهم می‌کند. در این مقاله، به بررسی چیستی، کارکرد، ویژگی‌ها و کاربردهای متنوع این پروتکل می‌پردازیم. همچنین، مراحل راه‌اندازی (کانفیگ) و تنظیمات آن را به‌صورت گام‌به‌گام آموزش می‌دهیم. با ادامه این مطلب همراه ما باشید تا با قابلیت‌های این ابزار کلیدی و نقش آن در بهبود عملکرد شبکه آشنا شوید.

پروتکل NetFlow چیست؟ تاریخچه نت‌فلو

NetFlow پروتکلی برای نظارت بر شبکه است که توسط شرکت سیسکو در سال ۱۹۹۵ معرفی شد. کاربرد اولیه آن در شبکه‌های محلی (LAN) برای خلاصه‌سازی داده‌های ترافیکی در روترها بود؛ اما امروزه نقش‌های به‌مراتب مهم‌تری در مدیریت شبکه پیدا کرده است. به ‌نحوی ‌که در حال حاضر نسخه‌های توسعه‌یافته این پروتکل توسط مجموعه‌های مختلف منتشر شده است.

این فناوری با جمع‌آوری متادیتای جریان‌های ترافیکی، مانند آدرس‌های IP، پورت‌ها و حجم داده‌ها، به مدیران شبکه امکان می‌دهد الگوهای ترافیکی را بررسی، گلوگاه‌ها را شناسایی و امنیت شبکه را تقویت کنند. نت‌فلو با ارائه دید عمیق به ترافیک شبکه، در بهینه‌سازی عملکرد، برنامه‌ریزی ظرفیت و تشخیص تهدیدات امنیتی نقش بسیار مهمی ایفا می‌کند.

هم‌چنین بخوانید: روتر چیست؟

کاربرد NetFlow

اجزای تشکیل‌دهنده NetFlow

نت‌فلو از چندین مؤلفه کلیدی تشکیل شده است که هر کدام نقش خاصی در فرآیند جمع‌آوری، ذخیره و تحلیل داده‌های ترافیک شبکه ایفا می‌کنند. در ادامه این اجزا را به همراه عملکردی که در کل سیستم ایفا می‌کنند معرفی می‌کنیم:

NetFlow Exporter

NetFlow Exporter یا صادرکننده، بسته‌های داده را به جریان‌ها سازمان‌دهی کرده و رکوردهای نت‌فلو را با استفاده از پروتکل UDP به یک یا چند جمع‌کننده Netflow ارسال می‌کند. این مؤلفه ویژگی‌هایی مانند آدرس‌های IP مبدأ و مقصد، پورت‌های مبدأ و مقصد، نوع پروتکل لایه سوم و نوع سرویس را شناسایی می‌کند. جریان‌ها پس از غیرفعال‌شدن برای مدت مشخص یا با دریافت پرچم‌های TCP مانند FIN یا RST برای صادرات آماده می‌شوند.

NetFlow Collector

NetFlow Collector یا جمع‌آوری‌کننده نت‌فلو (کالکتور) که به دو شکل سخت‌افزاری یا نرم‌افزاری استفاده می‌شود، داده‌های رکورد جریان را از صادرکننده‌ها دریافت، پیش‌پردازش و ذخیره می‌کند. این مؤلفه به‌عنوان مخزن داده‌های جریان عمل کرده و آن‌ها را برای تحلیل بیشتر آماده می‌کند.

NetFlow Analyzer

NetFlow Analyzer یا تحلیلگر (آنالایزر)، ابزاری است که داده‌های جمع‌آوری‌شده توسط جمع‌کننده را پردازش و تحلیل می‌کند. این ابزار داده‌ها را به گزارش‌ها، هشدارها و شاخص‌های عملکردی مانند استفاده از پهنای باند، الگوهای ترافیک و شناسایی تهدیدات امنیتی تبدیل می‌کند. 

NetFlow Cache

حافظه نهان یا کش یک پایگاه داده فشرده است که داده‌های Netflow را پس از بررسی بسته‌ها ذخیره می‌کند. این حافظه اطلاعات جریان‌های اخیر را نگه‌داری کرده و به‌روزرسانی‌هایی مانند تعداد بسته‌ها و بایت‌ها را برای هر جریان ثبت می‌کند.

Command-Line Interface یا CLI

Command-Line Interface یا رابط خط فرمان یکی از روش‌های اتصال به Netflow برای دسترسی به داده‌های ترافیک شبکه است. این ابزار نمای سریعی از ترافیک شبکه ارائه می‌دهد که برای عیب‌یابی و نظارت سریع مفید است.

IP Flow

جریان IP مجموعه‌ای از بسته‌های داده است که ویژگی‌های مشترکی مانند آدرس IP مبدأ و مقصد، پورت‌های مبدأ و مقصد، نوع پروتکل لایه سوم و کلاس سرویس دارند. این جریان‌ها بسیار مهم هستند و اساس تحلیل داده‌های نت‌فلو را تشکیل می‌دهند.

ویژگی‌های پروتکل NetFlow

ویژگی‌های منحصر‌به‌فرد این فناوری، آن را به ابزاری کاربردی تبدیل کرده است. در ادامه، این ویژگی‌ها را شرح می‌دهیم:

  • دید عمیق به ترافیک: ارائه اطلاعات دقیق در مورد الگوهای ترافیکی و برنامه‌های در حال اجرا.
  • مصرف کم پهنای باند: داده‌های نت‌فلو معمولاً کمتر از ۰.۵٪ از کل پهنای باند را اشغال می‌کنند.
  • انعطاف‌پذیری: نسخه‌های جدیدتر این پروتکل مانند v9 امکان افزودن فیلدهای سفارشی را فراهم می‌کنند.
  • پشتیبانی گسترده: توسط اکثر دستگاه‌های سیسکو و برخی دیگر از تولیدکنندگان پشتیبانی می‌شود.
  • کاربرد در امنیت: قابلیت شناسایی ناهنجاری‌ها و تهدیدات امنیتی مانند حملات DDoS.

NetFlow چگونه کار می‌کند؟

وقتی بسته‌های داده یا همان بار ترافیکی به دستگاه شبکه (مانند روتر یا سوئیچ) می‌رسد، دستگاه بررسی می‌کند که آیا این بار بخشی از یک جریان موجود در حافظه کش است یا خیر؟ اگر جریان جدید باشد، یک ورودی جدید در کش ایجاد می‌شود. در غیر این صورت، اطلاعات جریان موجود (مانند تعداد بسته‌ها یا حجم داده) به‌روزرسانی می‌شود. این داده‌ها سپس از طریق فرآیند صادرکننده به کالکتور ارسال می‌شوند. این فرآیند در دو حالت رخ می‌دهد و گزارش می‌شود:

  • انقضای غیرفعال: (Inactive Timeout) اگر برای مدتی (معمولاً ۱۵ ثانیه) بسته‌ای برای یک جریان دریافت نشود، آن جریان منقضی می‌شود.
  • انقضای فعال: (Active Timeout)  جریان‌های طولانی‌مدت (مانند دانلودهای بزرگ) پس از مدت‌زمان مشخصی (معمولاً ۱ دقیقه توصیه می‌شود) منقضی می‌شوند تا اطلاعات به‌موقع به تحلیلگر ارسال شود.

NetFlow از چه اطلاعاتی برای تشخیص رفتار شبکه استفاده می‌کند؟

این فناوری با جمع‌آوری داده‌ها و به‌کارگیری روش‌های زیر، رفتار شبکه را تحلیل و شناسایی می‌کند:

  • آدرس‌های IP مبدأ و مقصد: برای شناسایی دستگاه‌های درگیر در یک جریان.
  • پورت‌های مبدأ و مقصد: برای تشخیص برنامه‌ها یا سرویس‌های خاص.
  • پروتکل لایه سوم: مانند TCP یا UDP که نوع ارتباط را مشخص می‌کند.
  • تعداد بسته‌ها و بایت‌ها: برای ارزیابی حجم ترافیک.
  • زمان‌بندی جریان: شامل زمان شروع و پایان جریان برای تحلیل زمانی.
  • رابط‌های ورودی و خروجی: برای ردیابی مسیر ترافیک در شبکه.
  • پرچم‌های TCP: این پرچم‌ها نشان‌دهنده وضعیت ارتباط هستند.

برای آشنایی با لایه های شبکه، بخوانید.

نسخه‌های مختلف NetFlow

در حال حاضر نسخه‌های مختلفی از این پروتکل ارائه شده است که هر کدام ویژگی‌های خاصی دارند و هر نسخه با توجه به نیازهای شبکه و نوع دستگاه انتخاب می‌شود. در ادامه مهم‌ترین نسخه‌های این پروتکل را معرفی می‌کنیم:

نسخه / فناوری

نوع پروتکل

پروتکل‌ها / ویژگی‌های پشتیبانی‌شده

فرمت داده

مزایا

محدودیت‌ها

NetFlow v1

اختصاصی

فقط IPv4

ثابت

اولین پیاده‌سازی NetFlow

منسوخ، بدون پشتیبانی از MAC، VLAN، IPv6

NetFlow v5

اختصاصی

IPv4، شماره توالی جریان، AS BGP

ثابت

پرکاربرد، قابل‌اعتماد، داده‌های دقیق‌تر نسبت به v1

بدون پشتیبانی از MAC، VLAN، IPv6، عدم قابلیت توسعه

NetFlow v7

اختصاصی

فقط سوییچ‌ها، بدون پشتیبانی از روتر

ثابت

بهبود یافته از v5 برای برخی سوئیچ‌ها

بدون انعطاف‌پذیری، فقط روی سخت‌افزارهای خاص

NetFlow v8

اختصاصی

تجمیع مبتنی بر روتر

ثابت با الگوریتم‌های تجمیع

کاهش حجم داده، تجمیع قبل از ارسال به جمع‌آورنده

پیچیدگی بیشتر، انعطاف‌پذیری کمتر نسبت به نسخه‌های بعدی

NetFlow v9

اختصاصی (مبتنی بر الگو)

IPv6، MPLS، VLAN، فیلدهای قابل توسعه از طریق Template

مبتنی بر قالب (Template)

انعطاف‌پذیری بالا، پشتیبانی از پروتکل‌های مدرن

نیاز به جمع‌آورنده‌های سازگار، پیاده‌سازی پیچیده‌تر

IPFIX (v10)

استاندارد باز (RFC 7011)

مانند v9 + گسترش‌پذیر، متادیتای لایه کاربرد

مبتنی بر قالب (Template)

استاندارد، چندفروشنده‌ای، توسعه‌پذیرتر از NetFlow

نیازمند پشتیبانی در دستگاه‌ها، پیچیدگی بیشتر

sFlow

استاندارد باز

نمونه‌برداری بسته و شمارنده، تحلیل آماری گسترده

داده‌های نمونه‌برداری‌شده

سبک، مقیاس‌پذیر، مناسب برای شبکه‌های بزرگ

از دست رفتن داده به دلیل نمونه‌برداری، دقت پایین‌تر نسبت به NetFlow

J-Flow

اختصاصی (مبتنی بر UDP)

نمونه‌برداری از جریان ترافیک

ثابت، نمونه‌برداری‌شده

مخصوص شبکه‌های Juniper، داده جریان قابل قبول

از دست رفتن داده در UDP، دقت کمتر به دلیل نمونه‌برداری

مزایای استفاده از Netflow

مزایای متعدد این پرتکل آن را به انتخابی مطمئن و کاربردی برای مدیران شبکه تبدیل کرده است. در ادامه امتیازات استفاده از Netflow را بررسی می‌کنیم:

  • امکان مشاهده جامع الگوهای ترافیک شبکه: این قابلیت به مدیران شبکه اجازه می‌دهد تا جریان‌های ترافیک ورودی و خروجی (شمال-جنوب) و همچنین ترافیک داخلی بین بخش‌های مختلف (شرق-غرب) را رصد کنند.
  • تقویت امنیت سایبری: داده‌های نت‌فلو به تیم‌های امنیتی امکان شناسایی ناهنجاری‌های ترافیکی را می‌دهند که می‌توانند نشانه‌ای از حملات سایبری مانند نقض داده‌ها یا حملات DDoS باشند. تحلیل این داده‌ها پس از وقوع حوادث امنیتی نیز برای بازسازی تاریخچه و جلوگیری از تکرار آن‌ها مفید است.
  • برنامه‌ریزی دقیق برای توسعه شبکه: نیازهای آینده را پیش‌بینی کرده و برای ارتقای زیرساخت‌ها، مانند تعداد پورت‌ها یا دستگاه‌های مسیریابی، برنامه‌ریزی کنند. این اطلاعات به بهینه‌سازی منابع و کاهش هزینه‌ها کمک می‌کند.
  • نصب و پیکربندی آسان: بسیاری از دستگاه‌های شبکه، به‌ویژه تجهیزات سیسکو، از نت‌فلو پشتیبانی می‌کنند و فعال‌سازی آن نیازی به سخت‌افزار اضافی یا توقف شبکه ندارد. پیکربندی نت‌فلو معمولاً در چند دقیقه انجام می‌شود و داده‌ها به یک جمع‌آوری‌کننده (Collector) ارسال می‌شوند تا تحلیل شوند.
  • سربار کم: نت‌فلو معمولاً کمتر از 0.5 درصد از پهنای باند کل شبکه را برای ارسال داده‌ها مصرف می‌کند. در صورت نگرانی درباره پهنای باند، قابلیت نمونه‌برداری (Sampled NetFlow) امکان کاهش بار پردازشی را فراهم می‌کند، هر چند این کار ممکن است دقت داده‌ها را کمی کاهش دهد.
  • پشتیبانی از صورت‌حساب مبتنی بر مصرف: نت‌فلو امکان تخصیص هزینه‌های شبکه به واحدهای تجاری یا کاربران خاص را فراهم می‌کند، که برای سازمان‌هایی که نیاز به مدیریت دقیق هزینه‌ها دارند، بسیار مفید است.

مزایا NetFlow

معایب و چالش‌های استفاده از Netflow

با وجود مزایای فراوان، نت‌فلو دارای محدودیت‌هایی است که می‌توانند بر کارایی و اثربخشی آن در تحلیل شبکه تأثیر بگذارند. در ادامه مهم‌ترین چالش‌های استفاده از Netflow را بررسی می‌کنیم:

  • مصرف بالای منابع شبکه: نت‌فلو می‌تواند مقدار قابل‌توجهی از توان پردازشی و حافظه دستگاه‌های شبکه مانند روترها و سوئیچ‌ها را مصرف کند، به‌ویژه در شبکه‌های پرسرعت با حجم ترافیک بالا این امر مشکلاتی را ایجاد می‌کند و ممکن است عملکرد دستگاه‌ها را کاهش داده و بر کیفیت کلی شبکه تأثیر بگذارد و منجر به کاهش دقت داده‌های ترافیکی شود.
  • اطلاعات ناقص ترافیک: نت‌فلو عمدتاً بر ترافیک مبتنی بر IP تمرکز دارد و اطلاعات کاملی درباره ترافیک لایه دوم (Data Link Layer) یا پروتکل‌های غیر IP ارائه نمی‌دهد. برای جبران این محدودیت، استفاده از فناوری‌های مکمل مانند sFlow یا SNMP ضروری است.
  • اطلاعات محدود درباره محتوای بسته‌ها: سوابق نت‌فلو شامل داده‌های محتوای بسته‌ها (Payload) نمی‌شوند، بنابراین شناسایی محتوای واقعی ترافیک یا ویژگی‌های خاص برنامه‌ها دشوار است. این محدودیت می‌تواند در تشخیص تهدیدات امنیتی خاص یا عیب‌یابی مشکلات در سطح برنامه چالش‌برانگیز باشد.
  • پیاده‌سازی وابسته به سازنده: اگرچه نت‌فلو به‌طور گسترده توسط سازندگان مختلف پشتیبانی می‌شود، اما پیاده‌سازی آن ممکن است بین دستگاه‌های مختلف متفاوت باشد، که منجر به ناسازگاری در جمع‌آوری و پردازش داده‌ها می‌شود. استفاده از پروتکل استاندارد IPFIX، که بر پایه نت‌فلو نسخه 9 طراحی شده، می‌تواند این مشکل را کاهش دهد.
  • مقیاس‌پذیری: در شبکه‌های بزرگ با حجم ترافیک بالا، مدیریت و ذخیره حجم عظیمی از داده‌های نت‌فلو می‌تواند چالش‌برانگیز باشد. نیاز به راهکارهای مؤثر برای تجمیع، فیلتر کردن و ذخیره داده‌ها برای قابل مدیریت ماندن اطلاعات ضروری است.
  • نیاز به ابزارهای تحلیل و تجسم: تفسیر داده‌های خام Netflow بدون ابزارهای تخصصی و دانش کافی دشوار است. سازمان‌ها باید در نرم‌افزارهای جمع‌آوری و تحلیل نت‌فلو سرمایه‌گذاری کنند تا بتوانند الگوها را شناسایی کرده و اطلاعات عملی استخراج کنند.
  • عدم شناسایی کاربر: نت‌فلو دستگاه‌های ارسال‌کننده یا دریافت‌کننده ترافیک را شناسایی می‌کند، اما اطلاعات مربوط به کاربر واردشده به دستگاه را ارائه نمی‌دهد. برای شناسایی کاربران، نیاز به ادغام با پلتفرم‌های احراز هویت مانند Active Directory است.
  • نقص در جمع‌آوری داده‌ها: اگر داده‌های Netflow پس از اعمال ترجمه آدرس شبکه (NAT) جمع‌آوری شوند، آدرس‌های IP داخلی قابل‌مشاهده نخواهند بود، که این امر عیب‌یابی را دشوار می‌کند. برای رفع این مشکل، باید داده‌ها از رابط‌هایی جمع‌آوری شوند که آدرس‌های داخلی قبل از NAT قابل‌مشاهده باشند.
  • عدم مشاهده محتوای جریان‌ها: نت‌فلو تنها اطلاعات هدر بسته‌ها را جمع‌آوری می‌کند و نمی‌تواند محتوای داخل بسته‌ها را تحلیل کند. این محدودیت در شبکه‌های مدرن که بخش زیادی از ترافیک از طریق پورت 443 (مانند برنامه‌های ابری) جریان دارد، شناسایی دقیق منابع مشکلات عملکرد را دشوار می‌کند. 
  • عدم شناسایی محل اتصال دستگاه‌ها: Netflow اطلاعات آدرس‌های IP را ارائه می‌دهد، اما مکان فیزیکی دستگاه‌ها (مانند پورت سوئیچ متصل به دستگاه) را مشخص نمی‌کند و برای ردیابی دستگاه‌ها، ابزارهای نقشه‌برداری خودکار توپولوژی شبکه موردنیاز است.

مقایسه SNMP و NetFlow

SNMP مانند Netflow یک پروتکل مدیریت ساده شبکه یک پروتکل برای پایش و مدیریت دستگاه‌های شبکه است. با این تفاوت که با استفاده از سیستم نظرسنجی (Polling) یا تله‌ها (Traps) داده‌هایی مانند وضعیت CPU، حافظه و اینترفیس‌های دستگاه‌ها را برای ارزیابی عملکرد آن‌ها جمع‌آوری می‌کند. با توجه به پرکاربرد بودن این پروتکل‌ها، در ادامه این دو فناوری را از جنبه‌های مختلف مقایسه می‌کنیم:

مبنای مقایسه NetFlow SNMP
روش جمع‌آوری داده داده هر بسته ورودی یا خروجی از یک اینترفیس را ثبت می‌کند و حجم داده زیادی تولید می‌شود. دستگاه‌ها را به‌صورت فعال نظرسنجی می‌کند یا از Trap برای دریافت لحظه‌ای وضعیت و عملکرد استفاده می‌کند.
جزئیات (Granularity) نیازمند پیکربندی روی هر اینترفیس است که زمان‌بر است. روی هر دستگاه به‌صورت جداگانه پیکربندی می‌شود و شاخص‌های خاص از طریق OID جمع‌آوری می‌شود.
پشتیبانی توسط فروشندگان توسعه Cisco و عمدتاً در ابزارهای Cisco استفاده می‌شود؛ نرم‌افزاری و اختصاصی است. تقریباً در تمام فروشندگان برای پایش استاندارد دستگاه‌ها پشتیبانی می‌شود.
بار اضافی (Overhead) به دلیل ثبت جریان تک‌تک بسته‌ها، بار سنگین ایجاد می‌کند و ممکن است باعث گلوگاه شود. بار کم تا متوسط، بسته به فرکانس نظرسنجی و حجم داده متغیر است.
انواع پروتکل رکوردهای جریان خلاصه‌شده ارسال می‌کند؛ Stateful بوده و منابع CPU/Memory نیاز دارد. از Trap (Push) یا Polling (Pull) برای جمع‌آوری شاخص‌های دستگاه استفاده می‌کند؛ Stateless است.
نمونه‌برداری یا مبتنی بر جریان مبتنی بر جریان و بررسی تک‌تک بسته‌ها با دقت تقریباً ۱۰۰٪؛ مصرف CPU بالا. مبتنی بر جریان نیست؛ بر پایش شاخص‌های دستگاه متمرکز است، نه ترافیک سطح بسته.
موارد استفاده تحلیل جرم‌شناسی شبکه، آمار دقیق ترافیک IP، شناسایی تهدیدات، مدیریت پهنای باند. پایش سلامت دستگاه‌ها، برنامه‌ریزی ظرفیت، شاخص‌های عملکرد لحظه‌ای.
زمان ارسال داده جریان رکوردهای جریان پس از اتمام جلسه ارسال می‌شود؛ مصرف بالای منابع با نمونه‌برداری. داده‌ها به‌صورت On-Demand از طریق Polling یا به‌صورت Trap ارسال می‌شود؛ ارسال جریان ندارد.
مدیریت و تحلیل از Flow Exporter، Collector و Analyzer استفاده می‌کند؛ رکوردهای جریان به‌صورت Metadata هستند. از Agent و Manager استفاده می‌کند؛ داده سطح بالا از دستگاه ارائه می‌دهد و تحلیل عمیق ترافیک ندارد.
انعطاف‌پذیری و عمق دید جامع و دقیق از ترافیک IP برای تحلیل و امنیت عمیق. دید سطح بالا از دستگاه‌ها؛ فاقد تحلیل جزئی جریان ترافیک.

ابزارها و نرم‌افزارهای جمع‌آوری و تجسم داده‌های NetFlow 

برای جمع‌آوری، ذخیره و تجسم داده‌های NetFlow، ابزارها و نرم‌افزارهای متعددی وجود دارند که هرکدام ویژگی‌ها و قابلیت‌های خاصی ارائه می‌دهند. در ادامه، برخی از رایج‌ترین ابزارهای مورداستفاده را معرفی می‌کنیم:

SolarWinds NetFlow Traffic Analyzer (NTA)

این ابزار تحلیل جامعی از ترافیک شبکه ارائه می‌دهد و به شناسایی منابع مصرف‌کننده پهنای باند کمک می‌کند. NTA یکپارچگی داده‌های ترافیک، داده‌های کیفیت خدمات مبتنی بر کلاس سیسکو (CBQoS) و داده‌های عملکرد شبکه، اطلاعات را در قالب نمودارهای تعاملی ارائه می‌دهد. این ابزار امکان دسته‌بندی ترافیک به گروه‌هایی مانند پنج گفت‌وگوی برتر، پنج برنامه برتر و ده منبع برتر مصرف را نیز فراهم می‌کند.

برای اطلاعات بیشتر بخوانید: solarwinds چیست؟

SolarWinds Engineer’s Toolset  (ETS)

این مجموعه شامل بیش از 60 ابزار برای مدیریت شبکه است که شامل ابزارهای نظارت بر  NetFlow، کشف خودکار، مدیریت پیکربندی، نظارت بر آدرس IP و امنیت می‌شود. ETS امکان دسترسی به ابزارهای مختلف نظارتی مانند  Traceroute ،CPU Monitor و Interface Monitor را از یک محیط یکپارچه فراهم می‌کند.

ManageEngine NetFlow Analyzer

این ابزار دید عمیقی به الگوهای ترافیک و مصرف‌کنندگان اصلی پهنای باند ارائه می‌دهد و از فناوری‌های جایگزین مانند  IPFIX، NetStream  و J-Flow پشتیبانی می‌کند. این نرم‌افزار با رابط کاربری وب‌محور، نمودارهای تعاملی مانند نمودارهای دایره‌ای و نقشه‌های حرارتی ارائه می‌دهد و امکان مقایسه عملکرد شبکه در بازه‌های زمانی مختلف را فراهم می‌کند. همچنین، قابلیت صدور گزارش‌ها به‌صورت PDF  و شناسایی نقص‌های امنیتی از ویژگی‌های برجسته آن است.

NfDump 

این مجموعه ابزار برای جمع‌آوری و پردازش داده‌های NetFlow، IPFIX  و sFlow طراحی شده است. ابزار nfcapd از نسخه‌های مختلف NetFlow و IPFIX پشتیبانی می‌کند و NfSen رابط گرافیکی وب‌محوری برای تحلیل داده‌های NetFlow ارائه می‌دهد.

نحوه بهینه‌سازی پهنای باند و تجزیه ‌و تحلیل ترافیک باNetFlow 

در ادامه، روش‌های کلیدی استفاده از داده‌های NetFlow برای برای بهینه‌سازی پهنای باند و تحلیل ترافیک شبکه را توضیح می‌دهیم:

  • انتخاب جمع‌کننده و تحلیلگر مناسب: NetFlow انتخاب ابزار مناسب برای جمع‌آوری و تحلیل داده‌های NetFlow اولین گام است. ابزارهایی مانند SolarWinds NTA یا ManageEngine NetFlow Analyzer قابلیت‌های پیشرفته‌ای برای ذخیره، پردازش و تجسم داده‌ها ارائه می‌دهند.
  • فیلتر و تجمیع داده‌ها: با فیلترکردن داده‌های نت‌فلو بر اساس معیارهایی مانند آدرس‌های IP، پورت‌ها، پروتکل‌ها یا بازه‌های زمانی، می‌توان حجم داده‌ها را کاهش داد و روی اطلاعات مرتبط تمرکز کرد. تجمیع داده‌ها نیز به شناسایی الگوهای کلی و ناهنجاری‌ها کمک می‌کند.
  • تجسم داده‌ها با نمودارها: استفاده از نمودارها و گراف‌هایی مانند نمودارهای دایره‌ای، خطی یا نقشه‌های حرارتی، الگوهای ترافیک، نقاط اوج و ناهنجاری‌ها را به‌صورت بصری نمایش می‌دهد. این تجسم‌ها به شناسایی گلوگاه‌ها و تخصیص بهینه منابع کمک می‌کنند.
  • ایجاد گزارش‌های سفارشی: گزارش‌های این فناوری می‌توانند برای ارائه اطلاعات کلیدی در مورد مصرف پهنای باند، الگوهای ترافیک و مشکلات شبکه استفاده شوند. این گزارش‌ها برای اشتراک‌گذاری با مدیران و مهندسان شبکه مفید هستند.
  • استفاده از تحلیل‌های پیشرفته و یادگیری ماشین: تکنیک‌های پیشرفته مانند خوشه‌بندی، طبقه‌بندی و تشخیص ناهنجاری می‌توانند بینش‌های عمیق‌تری از داده‌های نت‌فلو ارائه دهند. این روش‌ها به پیش‌بینی الگوهای ترافیک و بهینه‌سازی خودکار شبکه کمک می‌کنند.
  • یکپارچگی با سایر منابع داده: ترکیب داده‌های این پروتکل با داده‌های دیگر مانند لاگ‌های امنیتی یا داده‌های عملکرد برنامه‌ها، دید جامع‌تری از شبکه فراهم می‌کند و به شناسایی دقیق‌تر مشکلات کمک می‌کند.

نحوه راه‌اندازی (کانفیگ) و تنظیمات NetFlow

راه‌اندازی NetFlow در دستگاه‌های شبکه نیازمند پیکربندی دقیق است تا داده‌های ترافیکی به‌درستی جمع‌آوری و ارسال شوند. این فرآیند معمولاً از طریق رابط خط فرمان (CLI) انجام می‌شود به مدیر شبکه امکان می‌دهد دستورات لازم برای پیکربندی، نظارت و مدیریت دستگاه‌های شبکه را به‌صورت مستقیم وارد کند. در ادامه نحوه راه‌اندازی و تنظیمات این پروتکل را توضیح می‌دهیم:

  • مرحله ۱: ورود به بخش Network Services

ابتدا در قسمت Enterprise Portal مسیر Configure > Network Services را طی کنید تا این صفحه باز شود:

  • مرحله ۲: ورود به تنظیمات NetFlow

در بخش Network Management، روی NetFlow کلیک کنید. سپس در بخش Collectors روی New کلیک کنید تا پنجره اضافه‌کردن Collector باز شود.

نحوه راه‌اندازی (کانفیگ) و تنظیمات NetFlow مرحله 2
  • مرحله 3: وارد کردن اطلاعات Collector

در بخش Collector Name یک نام یکتا، در Collector IP آدرس IP Collecto و در Collector Port شماره پورت Collector را وارد کنید و سپس Save Changes را بزنید تا Collector ذخیره شود. در بخش Filters نیز روی + New کلیک کنید. 

  • مرحله 4: تنظیم اطلاعات Filter

 در بخش Filter Name نام فیلتر را وارد کنید. سپس در تب Match، روی Define کلیک کرده و تنظیمات Source IP، Destination IP یاApplication ID را به‌عنوان شرط اعمال فیلتر مشخص کنید یا روی Any بگذارید.

سپس در تب Action حالت Allow یا Deny را انتخاب کنید. روی OK کلیک کنید و پس از اضافه شدن Collector و Filter، به Profile یا Edge مربوطه بروید و آن‌ها را به Edge اختصاص بدهید. پس از فعال‌سازی، Edge، پروتکل داده‌ها را با استفاده از IPFIX Template به Collector ارسال می‌کند و جریان‌های شبکه پایش و ثبت می‌شوند.

روش‌های دسترسی به اطلاعات NetFlow

NetFlow تنها از این طریق امکاناتی مانند فیلتر کردن، تجمیع، و تجسم داده‌ها را فراهم می‌کند. روش‌های دسترسی به داده‌ها در این پروتکل را در ادامه توضیح می‌دهیم:

  • مشاهده داده‌ها از طریق رابط خط فرمان (CLI) برای بررسی سریع ترافیک و عیب‌یابی فوری.
  • استفاده از جمع‌آوری‌کننده‌های NetFlow برای دریافت و ذخیره داده‌ها از صادرکننده‌ها توسط ابزارهای نرم‌افزاری یا سخت‌افزاری.
  • به‌کارگیری تحلیلگرهای NetFlow مانند SolarWinds NetFlow Traffic Analyzer، ManageEngine NetFlow Analyzer و Splunk برای نمایش گرافیکی داده‌ها و تولید گزارش‌های جامع.

نحوه پیاده‌سازی NetFlow در روتر

پیاده‌سازی NetFlow در روترها نیازمند پیکربندی دقیق و استفاده از ابزارهای مناسب است. در ادامه مراحل پیکربندی دقیق این پروتکل را ارائه می‌دهیم:

  1. پس از ورود به تنظیمات ابتدا دستور زیر را وارد کنید:
    enable
    configure terminal
  2. برای ننظیم تایم‌اوت NetFlow دستورات زیر را بزنید:
    ip flow-cache timeout active 1
    ip flow-cache timeout inactive 15
    ip flow-capture vlan-id
    ip flow-capture mac-addresses
    به یاد داشته باشید که وارد کردن active 1 به این معناست که هر 1 دقیقه جریان‌های فعال گزارش شود. در inactive 15 جریان‌های غیرفعال پس از 15 دقیقه حذف شوند. vlan-id ذخیره شناسه VLAN در رکورد جریان و mac-addresses ذخیره آدرس MAC در رکورد جریان است.
  3. برای تنظیم مقصد ارسال NetFlow به Auvikآدرس IP و پورت کالکتور Auvik خود را جایگزین کنید:
    ip flow-export version 9 origin-as
    ip flow-export destination
    به عنوان مثال:
    ip flow-export destination 192.168.1.100 2055
  4. برای فعال‌سازی NetFlow روی اینترفیس موردنظر اگر IOS شما نسخه 12.0 (22) S، 12.0 (14) S یا 12.2 (15) T است این فرمان را وارد کنید:
    interface GigabitEthernet0/1
    ip flow ingress
  5.  اگر IOS شما قدیمی‌تر است این فرمان را وارد کنید:
    interface GigabitEthernet0/1
    ip route-cache flow
  6. به جای GigabitEthernet0/1 نام اینترفیس خودتان را قرار دهید و برای بررسی صحت تنظیمات از حالت کانفیگ خارج شده و سپس دستورات زیر را بزنید:
    show ip cache flow
    show ip flow interface
    show ip flow export
    show ip flow export template
    به یاد داشته باشید این دستورات وضعیت فعال بودن NetFlow و صحت ارسال جریان‌ها به سمت Auvik را نشان می‌دهد.
  7. برای ذخیره کانفیگ فعال یکی از این دو مورد را انتخاب کنید:
    write memory
    copy running-config startup-config
    اکنون NetFlow روی روتر شما فعال شده و داده‌های ترافیکی را به سمت کالکتور Auvik ارسال می‌کند.

نحوه پیاده‌سازی NetFlow در روتر

سازمان‌ها چگونه از NetFlow استفاده می‌کنند؟

سازمان‌ها به دلایل و اشکال مختلف از این پروتکل استفاده می‌کنند؛ از این رو در ادامه مهم‌ترین شیوه‌ها و کاربرد استفاده از نت‌فلو در سازمان‌ها را بررسی می‌کنیم:

پایش دائم شبکه‌ها

این قابلیت به مدیران شبکه اجازه می‌دهد تا به‌سرعت مشکلات احتمالی مانند ازدحام شبکه، گلوگاه‌ها یا ناهنجاری‌هایی که بر عملکرد شبکه تأثیر می‌گذارند را شناسایی کنند. به‌عنوان مثال، حملات توزیع‌شده انکار سرویس (DDoS) را می‌توان با تحلیل داده‌های NetFlow  به‌سرعت تشخیص داد و اقدامات لازم برای خنثی‌سازی آن‌ها انجام داد.

برنامه‌ریزی ظرفیت شبکه

داده‌های جمع‌آوری شده به مدیران شبکه کمک می‌کنند تا برنامه‌ها و خدماتی که بیشترین پهنای باند را مصرف می‌کنند شناسایی کنند. این اطلاعات امکان تخصیص بهینه منابع شبکه را فراهم کرده و به بهبود عملکرد شبکه و کاهش هزینه‌ها کمک می‌کند.

ارتقای امنیت شبکه

این فناوری با شناسایی فعالیت‌های غیرعادی مانند اسکن شبکه، حملات brute-force یا آلودگی به بدافزار، به بهبود امنیت شبکه کمک می‌کند. مدیران می‌توانند با تحلیل داده‌های نت‌فلو، اقدامات پیشگیرانه‌ای مانند مسدودکردن آدرس‌های IP مشکوک یا قرنطینه کردن میزبان‌های آلوده انجام دهند.

عیب‌یابی و بهینه‌سازی عملکرد شبکه

 داده‌های NetFlow به شناسایی و رفع مشکلات شبکه مانند زمان پاسخگویی ضعیف یا قطعی‌های اتصال کمک می‌کند. با تحلیل الگوهای ترافیک، مدیران می‌توانند منابع را به‌گونه‌ای تخصیص دهند که عملکرد شبکه بهبود یابد.

استفاده هماهنگ با سایر ابزارهای مدیریت شبکه

داده‌های این فناوری با ابزارهای مختلف مدیریت شبکه مانند سیستم‌های تشخیص نفوذ (IDS) و پلتفرم‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM) سازگار است. این یکپارچگی به مدیران امکان می‌دهد تا دید جامعی از رفتار شبکه داشته باشند.

نتیجه‌گیری

پروتکل NetFlow با ارائه دید عمیق به ترافیک شبکه، به مدیران این را امکان می‌دهد تا الگوهای ترافیکی را تحلیل کنند، مشکلات را به ‌سرعت شناسایی کنند، و تهدیدات امنیتی را خنثی سازند. از برنامه‌ریزی ظرفیت شبکه گرفته تا تشخیص حملات DDoS، NetFlow  به سازمان‌ها کمک می‌کند تا شبکه‌های خود را بهینه، امن، و پایدار نگه دارند. نظر شما در رابطه با ویژگی‌ها و نحوه عملکرد این پروتکل چیست؟ لطفا نظرات و تجربیات خود را با ما به اشتراک بگذارید.

سوالات متداول

NetFlow ابزاری برای نظارت، تحلیل و مدیریت ترافیک شبکه است که توسط سیسکو توسعه یافته و در بهبود عملکرد و امنیت شبکه کاربرد دارد.

با جمع‌آوری اطلاعات جریان‌های شبکه (Flow) مانند IP، پورت، پروتکل و حجم داده، آن‌ها را تحلیل و به‌صورت گزارش ارائه می‌دهد.

صادرکننده (Exporter)، جمع‌آورنده (Collector)، تحلیل‌گر (Analyzer)، کش، CLI و جریان IP.

مصرف منابع بالا، اطلاعات ناقص درباره لایه‌های پایین، نیاز به ابزارهای تحلیل، و مشکلات مقیاس‌پذیری.

SolarWinds NTA، ManageEngine NetFlow Analyzer، NfDump، و ابزارهای CLI مانند show ip cache flow.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مقالات مرتبط

تیم پشیبانی شبکه

آشنایی کامل با پشتیبانی شبکه و نکات مهمی که باید بدانید

پشتیبانی شبکه، روی نگهداری و نظارت بر تمامی اجزا و قسمت‌های موجود در نتورک کسب‌وکارها تمرکز دارد.

نرم‌افزار مانیتوینگ Nagios

Nagios چیست؟ بررسی کامل نرم‌افزار مانیتوینگ Nagios

هرگونه اختلال در عملکرد زیرساخت‌های فناوری اطلاعات می‌تواند منجر به هزینه‌های سنگین و آسیب جدی به اعتبار سازمان‌های امروزی منجر...

نرم افزار Zabbix

Zabbix چیست؟ بررسی کامل مانیتورینگ Zabbix

Zabbix یک ابزار هوشمند مانیتورینگ است که به سازمان‌ها اجازه می‌دهد شبکه، سرورها و برنامه‌هایشان را به صورت بلادرنگ زیر...