Brasil +55 21 3211 2223 /  Australia +61 2 8005 8083 / info@telcomanager.com

O que é NetFlow?


Foto com luzes do tráfego de uma rua

"Gerentes de rede e TI na maioria das organizações estão sempre sob pressão para entregar aplicações de missão crítica e conteúdo em toda a organização. A Qualidade de Serviço se tornou crítica e os tipos de serviços oferecidos só aumentaram. Dentro dessas circunstâncias NetFlow se tornou uma ferramenta essencial para garantir o aceite de desempenho de aplicações e governança corporativa."

Gerenciamento de rede com NetFlow - Quebrando paradigmas

Todo administrador de rede necessita compreender o tráfego que passa em sua rede.

Entender como a rede está sendo utilizada é a chave para cumprir as normas de QoS. É essencial saber o que realmente está acontecendo na rede e quem está utilizando o quanto da banda disponível.

Quando o SNMP apareceu em 1988, era a ferramenta de gerenciamento de redes que provia um primeiro nível de visibilidade para os gerentes de rede. Com o passar do tempo o protocolo foi melhorado e suas limitações chave tais quais falta de segurança, por exemplo, foram corrigidas nas versões posteriores. No entanto , comparado às mudanças nas versões do SNMP, houve muito mais mudanças de comportamento e uso da rede nos últimos 20 anos. Uma rede típica hoje suporta mais do que simples pacotes de dados e poucas aplicações. Com o surgimento de aplicações em tempo real como VoIP, video-conferência, streaming multicast e unicast, VPNs, computação em nuvem, e-commerce, spam, trojan e vírus, por exemplo, está cada vez mais claro que uma nova ferramenta para entender o fluxo de dados e gerenciar as redes seria necessária.

Conhecer a utilização do link não é mais suficiente. Os administradores precisam saber a composição do tráfego , e não somente o volume total, para entender e ter certeza se aquele é um tráfego esperado ou inesperado, ou mesmo um uso indesejável da rede.

Esta nova ferramenta é o protocolo NetFlow e suas variações como netstreams low, ipfix, etc.

O NetFlow é uma tecnologia que é parte integral do IOS da Cisco que considera os pacotes como parte de um fluxo, ao invés de simplesmente contá-los. Um fluxo, como significa o nome, tem um princípio, meio e fim. Quando pacotes de dados são agrupados como fluxos, os administradores são capazes de entender as aplicações que estão utilizando a rede de forma mais abrangente. Isto naturalmente permite um melhor gerenciamento e uma melhor qualidade de serviço . Os administradores também são capazes de identificar melhor as áreas de problemas e tomarem uma ação preventiva.

O NetFlow agora foi adotado por vários fabricantes além da CISCO, já se tornando um padrão de-facto. Juniper, Extreme, Vanguard, Huawei e muitos outros fabricantes incorporaram em seus roteadores e switches funcionalidades similares.

Consciência de Rede com NetFlow

O NetFlow olha para os fluxos IP ao invés de contar bytes nas interfaces. Um fluxo é um feixe de pacotes IP contendo pelo menos 7 campos de identificação:

  • Um endereço IP de origem comum;
  • Um endereço IP de destino comum;
  • Uma porta de origem comum;
  • Uma porta de destino comum;
  • Mesmo protocolo de camada 3;
  • Mesmo tipo de serviço (ToS);
  • Mesma interface lógica;

Nota: Um fluxo é unidirecional, e portanto para cada sessão haverá sempre dois fluxos. Por exemplo, semelhante a um web browser acessando uma imagem no servidor web.

Baseado nestes parâmetros, o IOS é capaz de identificar o fluxo. Esta informação é armazenada no cache NetFlow e pode ser transferida a um coletor para ser analisada detalhadamente. As implementações de análise NetFlow normalmente se baseiam em um coletor externo munido de ferramentas estatísticas sofisticadas de modo a fornecer informações úteis aos gestores da rede. Os roteadores por si só não são capazes de exibir os dados contidos em seu cache de fluxos de maneira sofisticada, uma vez que o cache de fluxos são limitadas pela memória do roteador.

Cada fluxo possui uma duração. Se o fluxo deixou de estar ativo, ele expirou depois de 15 segundos de inatividade. No caso de um fluxo ser contínuo, sua informação é armazenada de modo padrão no cache por 30 minutos e é apagada mesmo que o tráfego continue. Para conexões orientadas a fluxo tais como FTP/Telnet, entre outras, o dado é apagado assim que a sessão for finalizada.

Fluxos ativos podem ser analisados mostrando o conteúdo do cache. Isto permite um completo entendimento das atividades na rede mesmo sem exportação deste conteúdo. Se um dispositivo coletor for especificado pelo usuário, os registros de fluxo são exportados através de pacotes UDP. Cada pacote UDP consiste de um cabeçalho e trinta registros de fluxos.

Na estação coletora, um analisador de fluxos é necessário para processar os dados dos fluxos exportados em tempo real. Analisadores de fluxos podem ser sistemas open source ou sistemas de hardware/software comerciais.

Recursos Chave

Administradores criativos podem utilizar o protocolo NetFlow de várias maneiras diferentes para obterem valiosas informações sobre suas redes. Algumas destas maneiras estão listadas abaixo:

  • Monitoramento da banda e análise de tráfego
  • Análise da rede e gerência de segurança
  • Monitoramento de aplicativos
  • Rastreamento da migração de aplicativos
  • Validação de QoS
  • Planejamento de capacidade
  • Identificação de worms e malwares
  • Análise de tráfego de VPN e comportamento do acesso remoto
  • Calculando o custo total da propriedade de aplicativos

Monitoramento da banda e análise de tráfego com NetFlow

Com os dados do NetFlow devidamente analisados, um administrador de rede pode realmente entender o que compõe o seu tráfego. É extremamente fácil descobrir qual aplicativo ou usuário está utilizando grandes volumes de banda, quais os protocolos mais populares e quais são as utilizações de entrada e saída de banda.

É simples filtrar ou agregar dados no coletor de NetFlow e gerar relatórios específicos. Tais operações se baseiam na combinação dos seguintes critérios:

  • Endereços IP de origem ou destino;
  • Interfaces de entrada ou saída;
  • Portas de origem ou destino;
  • Dispositivos que tiveram tráfego passando por eles;
  • Sistemas autônomos de origem ou destino;
  • Protocolo utilizados;
  • Marcadores utilizados durante a comunicação;
  • Tipo de serviço;

A saída do filtro pode ser posteriormente restringida entre datas e horários específicos. Isto permite uma visão extremamente focada da utilização da rede e possui várias aplicações, incluindo o planejamento do uso do aplicativo, análises monitoramento de incidentes e assim por diante.

Análise da rede e gerência de segurança

Segurança de rede é um estado fundamental e compreende políticas de pessoal, detecção de intrusos, firewalls, e comportamento e análise da rede. Destas políticas, as três primeiras são razoavelmente atendidas com a criação de políticas e de uso apropriado da tecnologia. A detecção é muitas vezes esquecida e isto pode tornar a rede vulnerável para certas ameaças que não foram ainda detectadas e classificadas.

Se sua rede é crítica para a companhia, detecção pró-ativa de anomalias é essencial. O NetFlow possui as ferramentas para fazer isto.

Por mais estranho que isso possa parecer, a maioria das redes em operação, mesmo em companhias grandes e organizadas, mostram uma série de aplicações desconhecidas enviando dados e utilizando banda. Algumas delas com importância crucial para o negócio da companhia e com certeza desconhecidas para administradores de redes. Isto é consequência de uma forma cultural de trabalho de uma área de TI que normalmente não se atenta ou não se preocupa com os requerimentos de tráfego de novas aplicações recém implantadas.

Monitoramento de aplicativos

Capacidade de monitoramento de aplicativos é crítica quando a maioria dos serviços é entregue pela rede. O NetFlow permite que administradores vejam o consumo de banda baseados em qualquer combinação de portas, endereços, protocolos, dispositivos, interfaces ou tipos de serviços.

Você também pode agrupar aplicativos e mapeá-los para os usuários, agrupar faixas IP ou quaisquer parâmetros disponíveis para construir diferentes matrizes de tráfego para entender perfeitamente o tráfego real que está passando pela sua rede, incluindo qual a origem e qual o destino deste tráfego.

Tudo isto permite um conhecimento detalhado sobre a utilização dos recursos que estão sendo providos. Bloqueios se tornam claros e aplicações que não mais precisam de suporte são identificadas. O tráfego para localidades específicas pode ser monitorado através das informações de porta, protocolo e endereço IP.

Quando falamos de gerenciamento de aplicativos de missões críticas tais como aplicativos ERP, videoconferências, aplicações web based, mensagem instantânea, SMTP e outros muitos aplicativos, é importante garantir que eles estão conseguindo ter acesso à banda que precisam para funcionar eficientemente. Os usuários por si só poderiam até reclamar que as páginas estão demorando demais para serem abertas, formulários não estão abrindo, ou que os dados que estão importando não estão funcionando. No entanto, o gerenciamento com o NetFlow consegue verificar e identificar este gargalo, se está no banco de dados ou nos servidores web da rede. Também é importante entender que os gargalos podem mudar ou novos gargalos podem surgir, o que significa que gerenciamento de aplicações é um processo contínuo. Em um determinado nível de utilização, em que o servidor de banco de dados poderia ter um nível de utilização considerado adequado, isto se tornaria um gargalo.

Sem esta tecnologia, uma grande quantidade de tentativa e erro, e possivelmente despesas desnecessárias, seria necessário antes de atingir um desempenho satisfatório, com gerentes de rede vivenciando um ambiente de alto risco de incidência de falhas. Enquanto isto ocorre, podem haver perdas mais sérias caso usuários tenham que paralisar seus trabalhos. A pior situação para um gerente de redes seria não conseguir explicar ou justificar claramente os custos de rede para os níveis mais altos da administração da companhia.

Com o NetFlow, estimativas de trabalho baseadas em tentativa e erro são totalmente eliminadas.

Limiares de monitoramento de aplicações ao invés de limiares de links.

Com os coletores de NetFlow, administradores podem determinar os limiares para utilização de banda para cada o tráfego de um único aplicativo, ao invés de determinar o limiar de utilização do link. Isto vai garantir que nenhum aplicativo fique “sedento” por banda e que escassez de banda seja corrigida a tempo. O resultado é um ambiente operacional mais confiável para todas as aplicações.

Rastreio da migração de aplicações

Um uso muito interessante para o NetFlow tem sido as capturas de estatísticas da migração de aplicações. Em uma situação em que a empresa esteja migrando de uma versão de um software para outra versão e ambas versões estejam rodando simultaneamente, o NetFlow pode mostrar instantaneamente e detalhar através de relatórios quantos usuários (e quais) estão ainda utilizando a aplicação antiga, por exemplo. Este tipo de informação é de grande importância nas reuniões de controle desta migração de software e pode tornar a aceitação pelo usuário muito mais fácil.

Validação de QoS

Atingir o nível de QoS é, na maioria dos casos críticos, praticamente uma outra implementação de QoS. Em um cenário dinâmico, um administrador de redes precisa de ferramentas que ajudem a documentar o QoS e auferir se este tem sido atingido, assim como ajudar no processo de solução de problemas. NetFlow é uma ferramenta ideal para fazer isto.

Uma vez que o comportamento do tráfego seja entendido, podemos escrever as declarações de QoS apropriadas. Em um ambiente de home-office ou trabalho remoto, os serviços de voz são mais utilizados durante o dia enquanto mais banda é requerida para backup, espelhar banco de dados e outras atividades são mais realizadas durante a noite. Estes requisitos diferentes podem ser verificados de forma mais clara e entendidos com o NetFlow e similares.

Uma outra ocasião em que o NetFlow é utilizado para monitorar o QoS seriam as redes MPLS, onde não se pode examinar simplesmente as configurações dos roteadores para determinar o QoS. Nesse caso, NetFlow consegue medir o QoS da rede. Com informações conclusivas do NetFlow, a causa correta do gargalo pode ser facilmente determinada.

Utilizando o NetFlow para planejamento de capacidade

Embora muitos dizem que o SNMP pode gerenciar de forma eficiente, é notório dizer que o NetFlow é de longe mais flexível. Ele permite observar quem está utilizando a rede e quanto de banda está sendo utilizado. Mesmo que a utilização de banda esteja dentro dos limiares estabelecidos, sua aplicação crítica pode não estar conseguindo utilizar a banda necessária para que ela funcione corretamente. Neste caso, é possível utilizar o NetFlow para melhorar o gerenciamento da banda disponível. Grandes empresas também utilizam o protocolo para determinar a utilização de banda por departamento, para propósitos de divisão por centros de custos.

Identificando Worms e Malware

Em muitas empresas, os servidores de email e suas contas são instalados em um só servidor. Com NetFlow, é possível identificar o tráfego SMTP e verificar o número de fluxos que está sendo trocado entre os usuários, facilitando o envio de sinais de alerta e ate suspensão de contas indevidas.

Muitos ataques de “Denial of Service” podem ser detectados e analisados por NetFlow, podendo ser bloqueados por firewall e então tratados de outra maneira. Enquanto os firewalls e IDS são a primeira linha de defesa contra tais ataques, NetFlow é uma arma valiosa que pode ser utilizada a posteriori como ferramenta de análise de eventos, uma vez que a informação estará armazenada no banco de dados.

Análise do tráfego VPN e dos usuários remotos

O NetFlow também tem sido muito bem sucedido para descobrir a utilização do tráfego das VPNs. Uma análise cuidadosa torna a utilização da rede mais transparente e permite que as VPNs possam ter mais (ou menos) banda alocada de acordo com as necessidades de uma determinada área da empresa.

Identificar o tráfego dos usuários que estejam trabalhando remotamente ou em home-office se torna fácil com o NetFlow porque todo ele trafega em túneis GRE. Como é fácil diferenciar tipos diferentes de tráfego – voz, SMTP, HTTP e outras aplicações – administradores podem criar regras de QoS mais rígidas. Inclusive algumas dessas regras poderiam dar mais suporte para voz durante o dia e mais banda para backup de dados à noite, por exemplo.

Calculando o Custo Total de propriedade de Aplicação (TCO)

A maioria das empresas calculam o TCO antes que a aplicação seja liberada para um grande número de usuários. Custos de WAN são uma parte importante do TCO. Um método simples é testar a aplicação em ambiente de laboratório e validar o tráfego gerado com o NetFlow. Isto fornece uma medida acurada do tráfego da WAN e ajuda a evitar surpresas desagradáveis depois.

Alguns outros exemplos específicos onde o NetFlow tem sido utilizado para cálculo do TCO estão listados abaixo:

  • Calculando o custo de implantar uma grande quantidade de câmeras de segurança IP para monitorar localidades remotas;
  • A Cisco, por exemplo, tem utilizado NetFlow para calcular o custo benefício de implantar 50.000 telefones IP em seus escritórios espalhados pelo mundo, comparado com o custo de utilização dos serviços das RPTC;
  • Várias empresas têm escolhido hospedar os servidores de sistemas de gerências em locais próximos aos usuários para minimizar o tráfego WAN. Isso foi baseado em um estudo de TCO comparando uma única localidade remota na rede WAN com relação a vários servidores nos segmentos da LAN espalhados em diferentes localidades;
  • Em muitos casos, NetFlow é usado para dividir o custo do acesso à rede entre vários departamentos de uma organização. É uma maneira simples de calcular a relação entre o tráfego de diferentes departamentos e o cálculo dos custos da rede de acesso.

O NetFlow é útil para aqueles usuários que só utilizam LAN?

A resposta desta pergunta é “sim”. Ainda que a maioria do seu trabalho ocorra dentro da LAN, se você estiver lidando com aplicações pesadas e complexas, o desempenho da rede será sempre um problema. Aplicações como VoIP, video-conferência, streaming de mídia, SMTP, acesso a banco de dados, gerenciamento de conteúdo, dentre outras, possuem diferentes características de utilização da rede e requisitos. Identificar estes requisitos ajuda os gerentes de rede a proverem um serviço melhor. Cálculos de TCO só serão possíveis se o tráfego atual for conhecido e vírus e malwares tiverem comportamento igual em qualquer lugar dentro da rede.

Resumo

Gerentes de rede e TI na maioria das organizações estão sempre sob pressão para entregar aplicações de missão crítica e conteúdo em toda a organização. A Qualidade de Serviço se tornou crítica e os tipos de serviços oferecidos só aumentaram. Dentro dessas circunstâncias NetFlow se tornou uma ferramenta essencial para garantir o aceite de desempenho de aplicações e governança corporativa.

Topo ▲

Portuguese, Brazil