Chương 2 ĐỊNH HƯỚNG LUỒNG VÀ CÁC MƠ HÌNH LUỒNG PHỔ BIẾN
4.1. Công nghệ thu thập luồng lưu lượng
4.1.1.2. Cisco NetFlow linh hoạt
NetFlow linh hoạt cung cấp khả năng tối ưu hóa nâng cao của cơ sở hạ tầng mạng, giảm chi phí và cải thiện việc lập kế hoạch năng lực và phát hiện bảo mật ngồi các cơng nghệ dựa trên luồng khác hiện có. NetFlow linh hoạt hỗ trợ IPv6 và nhận dạng ứng dụng dựa trên mạng (NBAR) 2 cho IPv6 bắt đầu từ phiên bản Cisco IOS 15.2 (1) T. Nó cũng hỗ trợ các kỹ thuật chuyển tiếp IPv6 (IPv6 bên trong IPv4). NetFlow linh hoạt có thể phát hiện các cơng nghệ đường hầm sau đây cung cấp kết nối IPv6 đầy đủ cho các máy chủ hỗ trợ IPv6 trên Internet IPv4 nhưng khơng có kết nối gốc trực tiếp với mạng IPv6:
• Teredo
• Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
• 6to4
• 6rd
Phân loại NetFlow linh hoạt bên trong Teredo, ISATAP, 6to4 và 6rd đã được giới thiệu trong Phần mềm Cisco IOS 15.2 (2) T. Xuất qua IPv6 đã được giới thiệu trong phiên bản Cisco IOS 15.2 (2) T, Cisco IOS XE 3.7.0S và phiên bản Cisco Nexus 4.2.1.
NetFlow linh hoạt theo dõi các ứng dụng khác nhau đồng thời. Ví dụ: giám sát bảo mật, phân tích lưu lượng và thanh tốn có thể được theo dõi riêng biệt và thông tin được tùy chỉnh cho mỗi ứng dụng.
NetFlow linh hoạt cho phép quản trị viên mạng hoặc chuyên gia bảo mật tạo nhiều lưu trữ luồng hoặc cơ sở dữ liệu thông tin để theo dõi. Thông thường, NetFlow có một bộ nhớ cache duy nhất và tất cả các ứng dụng đều sử dụng cùng một thông tin bộ nhớ cache. NetFlow linh hoạt hỗ trợ việc thu thập thông tin bảo mật cụ thể trong một bộ đệm lưu lượng và phân tích lưu lượng trong một bộ nhớ cache khác. Sau đó, mỗi bộ đệm NetFlow phục vụ một mục đích khác nhau. Ví dụ: thơng tin đa hướng và thơng tin bảo mật có thể được theo dõi riêng biệt và kết quả được gửi đến hai bộ thu thập khác nhau. Hình 4.2 cho thấy mơ hình NetFlow linh hoạt và cách sử dụng ba giao diện khác nhau. Monitor 1 xuất dữ liệu NetFlow linh hoạt sang Exporter 1. Monitor 2 xuất dữ liệu NetFlow linh hoạt sang Exporter 2 và Monitor 3 xuất dữ liệu NetFlow linh hoạt sang Exporter 1 và Exporter 3.
Hình 4.2 Mơ hình NetFlow linh hoạt
Sau đây là các thành phần NetFlow linh hoạt:
• Bản ghi
• Flow Monitors
• Flow Exporters
Trong NetFlow linh hoạt, quản trị viên có thể chỉ định những gì cần theo dõi, dẫn đến ít luồng hơn. Điều này giúp mở rộng quy mô trong các mạng bận rộn và sử dụng ít tài nguyên hơn đã bị sử dụng bởi các tính năng và dịch vụ khác.
Flow Monitors
Trong NetFlow linh hoạt, các giám sát luồng được áp dụng cho các giao diện thiết bị mạng để thực hiện giám sát lưu lượng mạng. Dữ liệu luồng được thu thập từ lưu lượng mạng và được thêm vào bộ đệm ẩn giám sát luồng trong quá trình giám sát dựa trên các trường khóa và khơng khóa trong bản ghi luồng.
Flow Exporters
Các thực thể xuất dữ liệu trong bộ đệm ẩn giám sát luồng tới một hệ thống từ xa được gọi là trình xuất luồng. Các trình xuất luồng được định cấu hình thành các thực thể riêng biệt và được gán cho các trình giám sát luồng. Quản trị viên có thể tạo một số trình xuất luồng và gán chúng cho một hoặc nhiều trình giám sát luồng. Trình xuất luồng bao gồm địa chỉ đích của máy chủ báo cáo, loại truyền tải (UDP hoặc SCTP) và định dạng xuất tương ứng của phiên bản NetFlow hoặc IPFIX.
Flow Samplers
Bộ lấy mẫu luồng được tạo dưới dạng các thành phần riêng biệt trong cấu hình của bộ định tuyến. Bộ lấy mẫu luồng được sử dụng để giảm tải trên thiết bị đang chạy NetFlow linh hoạt bằng cách giới hạn số lượng gói được chọn để phân tích.
Lấy mẫu luồng trao đổi độ chính xác giám sát đối với hiệu suất của bộ định tuyến. Khi chúng ta áp dụng bộ lấy mẫu cho bộ giám sát luồng, tải trên bộ định tuyến do chạy bộ theo dõi luồng sẽ giảm vì số lượng gói mà bộ giám sát luồng phải phân tích giảm. Việc giảm số lượng gói được phân tích bởi trình giám sát luồng gây ra sự giảm tương ứng về độ chính xác của thơng tin được lưu trữ trong bộ nhớ cache của trình giám sát luồng.
Cách cấu hình Netflow sẽ được trình bày trong phần sau.