![\"flow_header-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/07\/flow_header-min.png\")
\ncenter
\nFlow adatok k\u00e9pz\u00e9se a csomagok fejl\u00e9c\u00e9b\u0151l
\nrn-kep-kepala<\/p>\n
Az IPFIX (IP Flow Information Export) protokollt 2013-ban az IETF (Internet Engineering Task Force) szervezete szabv\u00e1nyos\u00edtotta. Eredetileg a NetFlow protokoll v9-es v\u00e1ltozat\u00e1b\u00f3l alakult ki \u00e9s val\u00f3j\u00e1ban a NetFlow v10 szabv\u00e1nyos\u00edtott verzi\u00f3ja. A szabv\u00e1ny meghat\u00e1rozza, hogy az IPFIX eszk\u00f6z\u00f6k a k\u00fcl\u00f6nb\u00f6z\u0151 gy\u00e1rt\u00f3kt\u00f3l sz\u00e1rmaz\u00f3 h\u00e1l\u00f3zati eszk\u00f6z\u00f6kr\u0151l (switchek, routerek, t\u0171zfalak) hogyan export\u00e1lj\u00e1k, form\u00e1zz\u00e1k \u00e9s tov\u00e1bb\u00edtj\u00e1k a forgalmi (flow) inform\u00e1ci\u00f3kat a gy\u0171jt\u0151rendszerekhez tov\u00e1bbi elemz\u00e9s \u00e9s napl\u00f3z\u00e1s c\u00e9lj\u00e1b\u00f3l.<\/p>\n
A IPFIX egy sz\u00e9les k\u00f6rben haszn\u00e1lt szabv\u00e1ny a h\u00e1l\u00f3zati forgalom figyel\u00e9s\u00e9re, amely r\u00e9szletes ismereteket ny\u00fajt az informatikai k\u00f6rnyezetekr\u0151l. Val\u00f3j\u00e1ban egy metaadat-alap\u00fa eszk\u00f6z a h\u00e1l\u00f3zati viselked\u00e9s gyors megjelen\u00edt\u00e9s\u00e9re \u00e9s a probl\u00e9m\u00e1k kivizsg\u00e1l\u00e1s\u00e1ra. Alkalmas arra, hogy a h\u00e1l\u00f3zati probl\u00e9m\u00e1kat konkr\u00e9t alkalmaz\u00e1sokkal vagy egy adott forr\u00e1ssal hozzuk \u00f6sszef\u00fcgg\u00e9sbe. A metaadatok gener\u00e1l\u00e1s\u00e1val pontos betekint\u00e9st kaphatunk a h\u00e1l\u00f3zati esem\u00e9nyekr\u0151l, az eszk\u00f6z\u00f6k k\u00f6z\u00f6tti kapcsolatokr\u00f3l an\u00e9lk\u00fcl, hogy a forgalom t\u00e9nyleges tartalm\u00e1t megismern\u00e9nk. Az eszk\u00f6z\u00f6k, amelyek a flow adatok ki\u00e9rt\u00e9kel\u00e9s\u00e9t, elemz\u00e9s\u00e9t v\u00e9gzik a NetFlow Analyzer-ek. A flow adatok \u00e9rtelmez\u00e9s\u00e9re a leggyakrabban emlegetett anal\u00f3gia a telefonh\u00edv\u00e1sok list\u00e1ja, amelyb\u0151l l\u00e1tjuk, hogy ki, kivel, mikor, mennyi ideig besz\u00e9lt, de nem ismerj\u00fck a besz\u00e9lget\u00e9s t\u00e1rgy\u00e1t vagy tartalm\u00e1t. Azonban erre nincs is sz\u00fcks\u00e9g, mert az \u00f6sszegy\u0171jt\u00f6tt adatok \u00edgy is sok \u00e9rt\u00e9kes inform\u00e1ci\u00f3val szolg\u00e1lnak.<\/p>\n
Az IPFIX protokoll alapvet\u0151en az OSI-modell Layer 2, Layer 3 \u00e9s Layer 4 r\u00e9tegeib\u0151l gy\u0171jti az inform\u00e1ci\u00f3kat: IP-c\u00edmeket, portokat, protokollokat, id\u0151b\u00e9lyegeket, az \u00e1tvitt b\u00e1jtok \u00e9s csomagokat statisztik\u00e1it, flag \u00e9rt\u00e9keket \u00e9s sz\u00e1mos egy\u00e9b technikai adatot.
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
\ncenter
\nFlow adatok k\u00e9pz\u00e9se a csomagok fejl\u00e9c\u00e9b\u0151l
\nrn-kep-kepala<\/p>\n
NetFlow v5 \u2013 A k\u00fcl\u00f6nf\u00e9le routereken \u00e9s akt\u00edv h\u00e1l\u00f3zati komponenseken el\u00e9rhet\u0151 leggyakoribb verzi\u00f3. Azonban ez verzi\u00f3 nem felel meg a jelenlegi ig\u00e9nyeknek. A NetFlow v5 nem t\u00e1mogatja az IPv6-forgalmat, a MAC-c\u00edmeket, a VLAN-okat vagy m\u00e1s mez\u0151ket a csomag fejl\u00e9c\u00e9ben.<\/p>\n
NetFlow v9 \u2013 Az RFC 3954-ben le\u00edrt sablon alap\u00fa szabv\u00e1ny. T\u00e1mogatja az IPv6-ot, valamint a NetFlow v5-ben nem t\u00e1mogatott mez\u0151ket.<\/p>\n
NetFlow v10 \u2013 T\u00e1mogatja a v\u00e1ltoz\u00f3 hossz\u00fas\u00e1g\u00fa mez\u0151ket, amelyek lehet\u0151v\u00e9 teszik a webhelyenk\u00e9nt elt\u00e9r\u0151 URL-ek ment\u00e9s\u00e9t. Tov\u00e1bb\u00e1 t\u00e1mogatja az \u00fczenetek \u00e9s HTTP-hostok ment\u00e9s\u00e9t.<\/p>\n
A flow olyan IP adatcsomag alap\u00fa h\u00e1l\u00f3zati kommunik\u00e1ci\u00f3, amely azonos forr\u00e1s IP-c\u00edmmel, forr\u00e1s porttal, L4 protokollal, c\u00e9l IP-c\u00edmmel \u00e9s c\u00e9lporttal t\u00f6rt\u00e9nik.
\njustify
\nno-repeat;left top;;
\nauto<\/p>\n
![\"packet_header-min\"](\"https:\/\/relnet.hu\/wp-content\/uploads\/2022\/07\/packet_header-min.png\")
\ncenter
\nrn-kep-kepala<\/p>\n
Amikor egy kliens k\u00e9r\u00e9st k\u00fcld a kiszolg\u00e1l\u00f3nak, egy akt\u00edv eszk\u00f6z, amely NetFlow export\u00e1l\u00e1si k\u00e9pess\u00e9ggel (flow exporter) rendelkezik, megvizsg\u00e1lja a h\u00e1l\u00f3zati csomag fejl\u00e9c\u00e9t, \u00e9s az adatokb\u00f3l l\u00e9trehoz egy flow record-ot. Ez a bejegyz\u00e9s inform\u00e1ci\u00f3kat tartalmaz a forr\u00e1s \u00e9s c\u00e9l IP-c\u00edmeir\u0151l \u00e9s portjair\u00f3l, a protokolljair\u00f3l, az \u00e1tvitt b\u00e1jtok \u00e9s csomagok sz\u00e1m\u00e1r\u00f3l, valamint tov\u00e1bbi speci\u00e1lis inform\u00e1ci\u00f3kat a 3. \u00e9s 4. layerekb\u0151l. A kommunik\u00e1ci\u00f3 v\u00e9gezt\u00e9vel a flow recordok eljutnak egy gy\u0171jt\u0151be (flow collector), ahol az adatok t\u00e1rol\u00e1sa \u00e9s elemz\u00e9se t\u00f6rt\u00e9nik.<\/p>\n
A NetFlow egyir\u00e1ny\u00fa forgalmi technol\u00f3gia, azaz, ha a szerver v\u00e1laszol a kliens IP-c\u00edmeire, \u00e9s a csomagfejl\u00e9cben l\u00e9v\u0151 adatok, IP c\u00edm, portok megv\u00e1ltoznak, akkor egy m\u00e1sik flow record j\u00f6n l\u00e9tre.<\/p>\n
A IPFIX haszn\u00e1lat\u00e1val r\u00e9szletes inform\u00e1ci\u00f3kat kapunk a h\u00e1l\u00f3zatr\u00f3l \u00e9s k\u00e9pesek vagyunk val\u00f3s id\u0151ben nyomon k\u00f6vetni a h\u00e1l\u00f3zati esem\u00e9nyeket. Ezzel er\u0151s\u00edtj\u00fck a h\u00e1l\u00f3zat v\u00e9delm\u00e9t a bels\u0151 \u00e9s k\u00fcls\u0151 fenyeget\u00e9sekkel szemben. Nyomon k\u00f6vethetj\u00fck az el\u0151zm\u00e9nyeket, ak\u00e1r egy adott h\u00e1l\u00f3zati kommunik\u00e1ci\u00f3r\u00f3l, ak\u00e1r k\u00fcl\u00f6nb\u00f6z\u0151 alkalmaz\u00e1sokr\u00f3l vagy hostokr\u00f3l van sz\u00f3.<\/p>\n
A h\u00e1l\u00f3zat aktu\u00e1lis \u00e1llapot\u00e1nak ismerete \u00e9rt\u00e9kes inform\u00e1ci\u00f3val szolg\u00e1l a j\u00f6v\u0151beli forgalomtervez\u00e9s \u00e9s kapacit\u00e1stervez\u00e9s sz\u00e1m\u00e1ra, seg\u00edti a h\u00e1l\u00f3zati hib\u00e1k gyors elh\u00e1r\u00edt\u00e1s\u00e1t, t\u00e1mogatja a QoS h\u00e1zirendek betartat\u00e1s\u00e1t vagy az SLA megfelel\u0151s\u00e9gi ellen\u0151rz\u00e9seket. Az \u00f6sszegy\u0171jt\u00f6tt adatok t\u00e1rol\u00e1sa \u00e9s meg\u0151rz\u00e9se a t\u00f6rv\u00e9nyi el\u0151\u00edr\u00e1soknak is eleget tesz. Az IPFIX alkalmaz\u00e1s\u00e1val k\u00e9pesek vagyunk kisz\u0171rni azon h\u00e1l\u00f3zati eszk\u00f6z\u00f6ket \u00e9s felhaszn\u00e1l\u00f3kat, amelyek indokolatlanul vagy gyan\u00fas m\u00e9rt\u00e9kben haszn\u00e1lj\u00e1k a h\u00e1l\u00f3zati er\u0151forr\u00e1sokat.<\/p>\n
Az IPFIX szabv\u00e1ny kialakul\u00e1s\u00e1val t\u00f6bb h\u00e1l\u00f3zati gy\u00e1rt\u00f3nk is alkalmazni kezdte eszk\u00f6zein a protokollt. Az egyik ilyen a Progress \/ Flowmon h\u00e1l\u00f3zati teljes\u00edtm\u00e9nyfigyel\u0151 \u00e9s anom\u00e1lia\u00e9szlel\u0151 megold\u00e1sa, \u00e9s az ehhez kapcsol\u00f3d\u00f3 Flowmon Probe \/ Flowmon Collector.<\/p>\n
A Flowmon mellett a Garland Technology PacketMax term\u00e9kcsal\u00e1dba tartoz\u00f3 packet brokere is rendelkezik ezzel a k\u00e9pess\u00e9ggel.<\/p>\n