Startseite > Datacenter & Verkabelung > NetFlow und Paketdaten im Vergleich

Netzwerkmonitoring

NetFlow und Paketdaten im Vergleich

9. Dezember 2019, 13:58 Uhr | Autor: David Eser / Redaktion: Sabine Narloch

Netzwerkingenieure stehen ständig vor der Herausforderung, die Anwendungsleistung aufrechtzuerhalten, Sicherheitsverletzungen immer einen Schritt voraus zu sein und komplexe Probleme in ihrem Verantwortungsbereich zu lösen.

Um effektiv zu sein, benötigen Netzwerkingenieure Zugriff auf visualisierte Daten, die helfen, Entscheidungen zu treffen. NetFlow (IPFIX) und Paketdaten gehören zu den leistungsstärksten Datenquellen auf dem heutigen Markt. Sie helfen den Technikern seit Jahren, aussagekräftige Einblicke in ihr Netzwerk zu gewinnen.

Eine Untersuchung der Stärken und Schwächen dieser datenfluss- beziehungsweise paketbasierten Verfahren macht deutlich, dass jede Technologie auf ihrem Gebiet eindeutige Vorteile bietet. In vielen Fällen nutzen die Ingenieure bereits Tools, die eine der beiden Technologien einsetzen. Was aber fehlt, wenn nur Paketdaten zur Verfügung stehen? Welche Transparenzlücken sind zu beachten, wenn man mit einer reinen NetFlow-Lösung arbeitet? Welches Verfahren eignet sich am besten für die Sicherheitsanalyse und welches für die Leistungskontrolle?

NetFlow
NetFlow wurde ursprünglich von Cisco Systems entwickelt und in deren Layer-3-Switches und Routern implementiert. Im Laufe der Zeit begannen andere Anbieter, ähnliche Methoden zur Netzwerküberwachung einzuführen, sodass ein universell verwendbarer Standard benötigt wurde. Dieser Standard wurde 2008 von der IETF veröffentlicht und definiert den Internet Protocol Flow Information Export (IPFIX).

Verschiedene Anbieter nutzen vergleichbare Ausführungen, wie jFlow-, sFlow- und AWS VPC Flow-Protokolle. Der Einfachheit halber werden alle datenflussbasierten Protokolle in diesem Artikel jedoch zusammenfassend als NetFlow bezeichnet.

Erhebung von Verkehrsdaten
NetFlow ist eine Methode zum Erfassen von Informationen zu dem Netzwerkverkehr, der durch Infrastrukturgeräte hindurch übertragen wird. Anstatt in der IT-Umgebung also mehrere Probes verteilt zu installieren, um das Verkehrsverhalten zu erfassen, analysieren sowie Berichte erstellen zu können, senden NetFlow-fähige Geräte statistische Daten an einen Kollektor, der das Protokoll in aussagekräftige (und lesbare) Diagramme und Grafiken umwandelt.

Wichtige Router und Switches im Netzwerkkern sind ideal geeignet, um Daten zum Netzwerkverkehr zu sammeln, da sie sich bereits inline befinden und die Pakete bei der Übertragung auf dem Pfad verarbeiten. Wenn ein Paket eine NetFlow-fähige Router-Schnittstelle erreicht, ermittelt der NetFlow-Prozess, ob es zu einem bereits bekannten Datenfluss gehört oder ob es Teil eines neuen Datenstroms ist. Wenn das Paket bereits bekannt ist, inkrementiert NetFlow die Anzahl der erkannten Pakete und Bytes und sendet das Paket zum nächsten Prozess weiter. Sollte es sich jedoch um das erste Paket eines neuen Datenflusses handeln, wird im NetFlow-Cache ein NetFlow-Datensatz erstellt. Alle folgenden Pakete des gleichen Datenflusses werden in diesem Datensatz gezählt, bis er dann an den Kollektor exportiert wird.