آشنایی با اجزای Flexible NetFlow – قسمت دوم (پایانی)

نمونه پیچیده­ای از کاربرد انواع Flow Monitor با رکوردهای سفارشی

وضعیت نرمال برای Cache

وضعیت نرمال به عنوان حالت پیش‌فرض برای Cache در‌نظر گرفته شده است. در این حالت، مهلت ورود داده‌ها به Cache مطابق با تنظیمات زمان Timeout فعال و غیرفعال پایان می‌یابد. با پایان یافتن این مهلت، رکورد از Cache حذف شده و از طریق Exporter‌های پیکربندی‌شده ارسال می‌شود.

مفهوم Flow Exporters

Flow Exporter داده‌های موجود در Flow Monitor Cache را برای آنالیز و ذخیره‌سازی به یک سیستم Remote مانند سرور اجرا‌کننده NetFlow Collector ارسال می‌کند. Flow Exporterها به عنوان موجودیت‌های مجزا در پیکربندی ایجاد می‌شوند. این Exporter‌ها به Flow Monitor‌ها اختصاص می‌یابند تا قابلیت ارسال داده‌ها را برای آن فراهم نمایند. همچنین این امکان نیز وجود دارد که چندین Flow Exporter را ایجاد نموده و آنها را به یک یا چند Flow Monitor اختصاص داد تا چندین مقصد را برای ارسال ارائه نماید.

نسخه جدید NetFlow Data Export Format

Flow Record به عنوان خروجی اصلی NetFlow به شمار می‌رود. با ارتقای NetFlow، چندین فرمت مختلف برای Flow Recordها نیز ارتقا یافته است. آخرین نسخه ارتقا‌ یافته NetFlow Export Format می‌باشد که تحت عنوان Version 9 NetFlow شناخته می‌شود و ویژگی شاخص این نسخه آن است که مبتنی بر Template می‌باشد. Template‌ها به ارائه یک طرح قابل توسعه برای فرمت رکورد می‌پردازند که به کمک این ویژگی می‌توان سرویس‌های NetFlow را بدون نیاز به ایجاد تغییر در فرمت اصلی Flow Record در آینده ارتقا بخشید. استفاده از Template‌ها چندین مزیت مهم را به همراه دارد که عبارتند از:

• شرکت‌های Third-Party که در قالب برنامه‌های کاربردی به ارائه سرویس‌های Collector یا سرویس‌های نمایشگر برای NetFlow می‌پردازند، با هر بار اضافه شدن یک ویژگی جدید به NetFlow نیازی به کامپایل نمودن مجدد برنامه‌های کاربردی نخواهد داشت و صرفا از یک فایل داده خروجی استفاده می‌کنند که فرمت‌های شناخته‌شده Template را با جزییات ارائه می‌کند.
• امکان افزودن سریع ویژگی‌های جدید به NetFlow بدون نیاز به ایجاد تغییرات در پیاده‌سازی‌های فعلی وجود دارد.
• NetFlow در پروتکل‌های جدید و یا در حال توسعه مورد تایید می‌باشد، چراکه فرمت Version 9 برای پشتیبانی از این پروتکل‌ها سازگار شده است.

Export Format Version 9 شامل یک Packet Header می‌باشد که توسط یک یا چند مجموعه­ از Template Flow و Data Flow دنبال می‌شود. مجموعه Flow Template به ارائه توصیفی از فیلد‌های موجود می‌پردازد که در مجموعه‌های آتی از جریان داده‌ها وجود خواهد داشت. این مجموعه‌های Data Flow ممکن است بعدا در همان Export Packet  یا Export Packet دیگری رخ دهند. به علاوه اینکه ممکن است این مجموعه‌ها مطابق شکل زیر در یک Packet واحد ترکیب گردند.

NetFlow Version 9 به صورت دوره ای داده‌های Template را ارسال می‌کند، بنابراین برای NetFlow Collector مشخص می‌شود که چه داده‌هایی باید فرستاده شوند و پس از آن مجموعه­ Data Flow را برای Template ارسال می‌نماید. مزیت اصلی Flexible NetFlow آن است که کاربر می‌تواند یک Flow Record را به نحوی پیکربندی­ نماید که به صورت موثر به Template Version 9 تبدیل و سپس به Collector ارسال می‌شود. در شکل زیر، نمونه‌ای کامل از Export Format NetFlow Version 9 نشان داده شده است که شامل Header، Flow Template و مجموعه‌هایی از­ Data Flow می‌باشد.

کابرد Flow Sampler

Flow Sampler به عنوان یک Component مجزا در پیکربندی روتر ایجاد می‌شود. در واقع Flow Sampler به منظور کاهش Load در تجهیزاتی که Flexible NetFlow بر روی آن‌ها در حال اجرا می‌باشد، به محدود نمودن تعداد Packet‌های انتخاب شده برای آنالیز می‌پردازد.

فرآیند Flow Sampling با تغییر میزان دقت در مانیتورینگ موجب عملکرد بهینه روتر می‌گردد. در نتیجه تعداد Packet‌هایی که باید توسط Flow Monitor آنالیز شوند، کاهش یافته و در نتیجه از سربار مربوط به اجرای Flow Monitor در روتر نیز کاسته می‌شود. لازم به ذکر است که کاهش تعداد Packet‌های آنالیز‌شده توسط Flow Monitor باعث کاهش دقتِ اطلاعات ذخیره شده در Cache مربوط به این Flow Monitor می‌شود.

Sampler در صورتی که با دستور ip Flow Monitor در یک واسط کاربری به کار رود، با Flow Monitor ترکیب می‌شود.