14.1.13 Netflow mérő szerverek

A Netflow mérő szerver nem aktív és nem discovery-re képes PVSR modul. A PVSR Netflow 1-es, 5-ös, 9-es verziót támogat, illetve IPFIX-et („Netflow 10”). A rendszer közvetlenül a Netflow forrásból (pl Cisco router, Linux szerver) várja a csomagokat, tehát nincsen szüksége semmilyen egyéb Netflow feldolgozó alkalamzásra.

Külön lehet szabályozni azt, hogy a mérések kiértékelését (jelen alfejezet) illetve a Netflow analízist (14.1.13.1) párhuzamosan hány process dolgozza fel. Az előbbit a NETFLOW_PARALLEL_PROCESSING_COLLECTOR, az utóbbit a NETFLOW_PARALLEL_PROCESSING_WEB paraméter szabályozza a CONFIG_INI.pm-ben. Mindkét paraméterben egy-egy egész számot lehet megadni. Alapesetben a méréseket csak egy processz dolgozza fel, míg a Netflow analízist kettő (analízisenként). Maximum annyi értéket érdemes megadni, amennyi CPU core található a PVSR adatgyűjtő szerverben, de fontos azt is megjegyezni, hogy minél nagyobb értéket adunk meg, annál több memóriára is szüksége lesz a rendszernek. Hasonlóan a NETFLOW_PARALLEL_PROCESSING_TOP_TALKERS paraméter használható a legtöbbet forgalmazott host-ok számításánák párhuzamos feldolgozás beállítására.

Az adatgyűjtőnek tetszőleges Honnan és Hova IP cím/port/interfész tartományok adhatóak meg kiegészítve a használt protokollal (pl TCP), amely ezek alapján összegzi a kritériumnak megfelelő forgalmakat.

Az eszközöknek az alap attribútumaikon kívül az alábbi paraméterei vannak (zárójelben megadva az adott paraméter név kódját, lásd 7.5.6 Nem SNMP adatgyűjtők paraméterei):

• IP cím (NETFLOW EQ 1 IP): Egysoros szöveg mező, amely a nem adminisztrátor felhasználók számára nem látható. A mező a Netflow forrás eszköz IP címe, kötelező paraméter
• Hibás csomagok kezelése (NETFLOW EQ 2 MODE): Legördülő mező, amely a nem adminisztrátor felhasználók számára nem látható. A mező azt határozza meg, hogy mi történjen a hibásnak tekintett adatfolyam esetében, kötelező paraméter:
• Mindenképpen feldolgozza a kapott információt
• Ha kimaradt egy Netflow csomag, akkor nem dolgozza fel az adott intervallumra vonatkozó adatokat
• Ha eldobásra került egy Netflow csomag, akkor nem dolgozza fel az adott intervallumra vonatkozó adatokat
• Ha kimaradt vagy eldobásra került egy Netflow csomag, akkor nem dolgozza fel az adott intervallumra vonatkozó adatokat

Amennyiben 1-es verziójú Netflow csomagok érkeznek a forrástól, akkor nem szabad olyan beállítást alkalmazni, ahol a kimaradt csomagok esetében nem kerül feldolgozásra az adott intervallum, mivel az ilyen verziójú Netflow esetében nincsenek számozva a csomagok.

• Érkezik helyes output interfész információ (NETFLOW EQ 4 OUTPUT IF): Checkbox mező, amely a nem adminisztrátor felhasználók számára nem látható. A Netflow csomagban helyes működés esetében a 0-s output interfész azt jelenti, hogy a csomag el lett dobva. A PVSR az ilyen adatokat nem dolgozza fel, csak hogyha a 0-s interfész direkte specifiálva volt a mérés Honnan vagy Hova változójában. Vannak azonban olyan Netflow források, amelyek hibásan mindig 0-ás output interfészt jelölnek meg. Ilyen esetben ajánlott kikapcsolni ezt a paramétert, és így minden csomag feldolgozásra kerül
• Hány napig őrződjenek meg az analízis adatok (NETFLOW EQ 5 KEEP ANALYSIS): hány napig őrizze meg a PVSR azokat az adatokat, amelyek a Netflow analízishez szükségesek
• Legtöbbet forgalmazók adatok (NETFLOW EQ 6 TOP TALKERS): számoljon-e a PVSR eszköz szinten legtöbbet forgalmazó host adatokat

A Netflow mérő szerver típusok esetén három eszköz szintű és két tartomány szintű mérési változó áll rendelkezésre (zárójelben megadva a mérés definícióban használt változó nevet):

• Eszköz szintű változók: ezek a Hibás csomagok kezelése paraméternél utalt esetek gyakoriságát jelenítik meg
• Sikeres mérõ csomag (NETFLOW_PACKET_SUCCESS): hány sikeres csomag érkezett a forrástól
• Eldobott mérõ csomag (NETFLOW_PACKET_DROPED): hány csomag került eldobásra
• Kimaradt mérõ csomag (NETFLOW_PACKET_MISSED): hány csomag maradt ki
• Tartomány szintű változók: ezek a mérés paraméterekkel meghatározott IP cím/port/interfész/protokoll tartományokra vonatkoznak:
• Forgalom (a változó mértékegysége bps, a NETFLOW_SRC_DEST_BYTES és NETFLOW_DEST_SRC_BYTES-é pedig bytes)
• Csomagok (a változó mértékegysége darab per másodperc, a NETFLOW_SRC_DEST_PACKETS és NETFLOW_DEST_SRC_PACKETS-é pedig darab)

A rendszerben négy mérés szintű paraméter található. Ezek egyike sem látható a nem adminisztrátorok számára, illetve egyik sem kötelező, amennyiben valamelyik nincsen megadva, úgy az alapján nem történik szűrés:

• Honnan (NETFLOW M 1 SRC) és Hova (NETFLOW M 2 DEST): Az IP cím/port/interfész szűrés adható meg itt az alábbi formában:

<!><tos_szűrő:><ifnumber:><ASszám:><ip></subnet><:port1><-port2>

Az ilyen feltételekből mind a Honnan mind a Hova esetben több is megadható külön sorokban. Amennyiben a feltétel felkiáltó jellel kezdődik, úgy az negálást jelent, azaz nem számolódik hozzá a méréshez egy session forgalma, ha igaz rá az így megfogalmazott feltétel. A rendszer először ezeket a negáló feltételeket értékeli ki, és ha akármelyik illeszkedik a session-re, akkor a feldolgozás nem is folytatódik tovább. A maradék, nem negáló feltételek VAGY kapcsolatban állnak egymással. Az elemek egyike sem kötelező, a határoló karaktereket akkor kell csak használni ha az adott elem is használatra kerül (pl : (kettőspont) karakter az ifnumber megadása esetében. Az egyes elemek jelentése:

• !: negáló feltétel
• tos_szűrő: a ToS byte alapú szűrés. A lehetséges értékek:
• „TOS” és nyolc darab 1, 0 vagy x. Ha a karakter 1 vagy 0, akkor az adott ToS bitnek a megadott értékkel kell rendelkezni, x esetében bármi lehet. Például: „TOS 101xxxxx”
• DSCP és egy szám, például „DSCP 9”
• Egy DSCP név, például „af41” vagy „cs3”
• Precedence (precedencia) és egy szám, például „Precedence 3”
• Precedence (precedencia) név, például „Flash Override”
• ifnumber: output interfész sorszám
• ASszám: Autonomous System szám
• ip: IP cím
• subnet: IP subnet
• port1: port
• port2: ilyenkor a port1-port2 tartományba eső port-okra illeszkedik a kifejezés

Példa esetek:

• Protokoll (NETFLOW M 3 PROT): Legördülő lista az egyes protokoll mezőkkel
• Legtöbbet forgalmazók adatok (NETFLOW M 6 TOP TALKERS): számoljon-e a PVSR erre a mérésre legtöbbet forgalmazó host adatokat

A mérő szerver installáláskor grafikon template-et is:

• Netflow forgalom Src->Dest: összesítve jeleníti meg több tartomány Src -> Dest forgalmát
• Netflow forgalom Dest->Src: összesítve jeleníti meg több tartomány Dest -> Src forgalmát
• Netflow csomagok Src->Dest: összesítve jeleníti meg több tartomány Src -> Dest csomag számát
• Netflow csomagok Dest->Src: összesítve jeleníti meg több tartomány Dest -> Src csomag számát

14.1.13.1 Netflow analízis

A PVSR a Netflow-t nyújtó eszközök esetében nem csak a méréseket végzi el, hanem 5 perces felbontással egy ideig megőrzi az egyes kommunikációkra vonatkozó byte és packet adatokat (ez eszközönként állítható). Ezekből az adatokból az adminisztrátorok és a korlátozott adminisztrátorok on-demand riportokat készíthetnek, amelyek többféle csoportosítással és szűréssel táblázatos vagy grafikonos formában ábrázolják a látott forrás-cél kapcsolatokat. A korlátozott adminisztrátorok azonban csak akkor használhatják ezt a funkciót ha módosítási joggal is rendelkeznek az eszközön.

A Netflow analízis a Mérések menüpont alatt a Műveletek között érhető el, amennyiben Netflow típusú eszközt vagy Netflow méréseket tartalmazó grafikont tekintünk éppen meg, vagy egy olyan virtuális eszközt amelyik tartalmaz Netflow grafikonokat. Ha grafikont vagy virtuális eszközt tekintünk meg, akkor a PVSR csak azokat a kapcsolatokat veszi a riport készítés során figyelembe, amelyek megfelelnek legalább az egyik mérésnél definiált szűrő feltételeknek. Ezek az implicit feltételek mindig megjelennek az oldal tetején. A felhasználó tovább szűrheti a találatokat az ugyancsak a Böngésző területen lévő szűrési paraméterekkel, ezek használata megegyezik a mérés konfigurációnál leírtakkal. Ugyancsak lehetőség van arra is, hogy a táblázatban lévő IP címek helyett az alkalmazás host neveket jelenítsen meg (ez az alap beállítás), fontos azonban megjegyezni, hogy e miatt a riportok generálása tovább tarthat, illetve hogy a DNS feloldást a WEB szervert futtató PVSR végzi.

Az adminisztrátorok a riportok segítségével könnyen fel is vehetnek új Netflow méréseket az eredmény táblázatban található [add new] linkre történő klikkeléssel. A rendszer megpróbál felvenni egy új mérést pontosan olyan szűrésekkel, ami megfelel a táblázat adott sorának, azonban ez nem mindig pontosan megállapítható illetve megvalósítható. Ilyen esetben a PVSR egy figyelmeztető üzenetet ír ki, hogy a szűrés paraméterek nem biztos, hogy 100%-osan megfelelnek az adott sornak.

Ha a kapcsolat adatok több forrásból is származnak, akkor dönthetünk úgy is, hogy ezeket összegezzük arra való tekintet nélkül, hogy melyik forrásból származnak, de úgy is, hogy a különböző forrásból származó kapcsolatokat külön kezeljük. Például ha van két router-ünk és a forgalom vagy az egyik vagy a másik eszközön halad keresztül, akkor általában logikusabb összegezni a kapcsolatokat és nem törődni azzal, hogy honnan érkezett az információ. Azonban ha a forgalom mindkét eszközön keresztül halad, akkor logikusabb figyelembe venni a forrást is, hiszen különben csak „megdupláznánk” az adott csoportosítás forgalom értékeit.

Ha plusz szűréseket is használunk, akkor azokat használhatjuk egyirányú és kétirányú módon is. Az egyirányú esetében ha egy feltételt a Honnan paraméterben fogalmazunk meg, akkor egy kapcsolatot csak akkor vesz figyelembe rendszer, hogyha a forrás cím megfelel a szűrésnek, míg a kétirányú értelmezés esetében akkor is beszámítja, hogyha csak a cél cím felel meg a szűrésnek. A kétirányú értelmezés jobban használható ha például egy hoszt felé vagy tőle jövő forgalomra vagyunk kíváncsiak, azaz ha a megválaszolandó kérdés az, hogy „Milyen egyéb hosztokkal beszélt a keresett hoszt?” Az egyirányú értelmezés azonban akkor lehet hasznosabb, ha például arra vagyunk kíváncsiak, hogy melyik hosztok használják ki legjobban egy xDSL vonal letöltési sávszélességét. Ilyen esetben a lokális hálózat tartományát mint Hova szűrési feltételt adjuk meg és az egyirányú módot alkalmazzuk.

Többféle táblázatos riport áll rendelkezésre, ezek közül a Böngésző területen lévő Riport paraméterrel választhatunk. Mindegyik riport valamilyen féle aggregációt jelent, a különbség abban van, hogy melyik paraméterek alapján csoportosítja a rendszer a flow-kat.

1         Host: a csoportosítás gép cím alapján történik, a riport megmutatja az egyes host-ok felé irányuló és a tőlük kiinduló forgalmi adatokat

2         Host és típus: a csoportosítás gép cím és használt port (lásd később) alapján történik, a riport megmutatja az egyes host-ok felé irányuló és a tőlük kiinduló különböző protokollú forgalmi adatokat

3         Típus: a csoportosítás használt port (lásd később) alapján történik, a riport megmutatja a protokollok teljes forgalmát (itt nincsen irányultság)

4         Host-host: a csoportosítás a kommunikáció forrás és cél címe alapján történik, a riport megmutatja az egyes host párok közötti forgalmi adatokat

5         Host-host és típus: a csoportosítás a kommunikáció forrás és cél címe illetve a használt port (lásd később) alapján történik, a riport megmutatja az egyes host párok közötti különböző protokollú forgalmi adatokat

6         Interfész-interfész: a csoportosítás input és output interfész címe illetve a használt port (lásd később) alapján történik

7         Interfész-interfész és típus: a csoportosítás input és output interfész alapján történik

8         AS: Autonomous System alapján

9         AS és típus: Autonomous System és a használt port (lásd később) alapján

10      AS-AS: Autonomous System forrás és cél alapján

11      AS-AS és típus: Autonomous System forrás és cél és a használt port (lásd később) alapján

12      Host és ToS: a csoportosítás gép cím és ToS byte alapján történik, a riport megmutatja az egyes host-ok felé irányuló és a tőlük kiinduló forgalmi adatokat

13      Host és típus és ToS: a csoportosítás gép cím, használt port (lásd később) és ToS byte alapján történik, a riport megmutatja az egyes host-ok felé irányuló és a tőlük kiinduló különböző protokollú forgalmi adatokat

14      Típus és ToS: a csoportosítás használt port (lásd később) és ToS byte alapján történik, a riport megmutatja a protokollok teljes forgalmát (itt nincsen irányultság)

15      ToS: a csoportosítás ToS byte alapján történik, a riport megmutatja a szolgáltatás típusok teljes forgalmát (itt nincsen irányultság)

16      Host-host és ToS: a csoportosítás a kommunikáció forrás és cél címe és ToS byte alapján történik, a riport megmutatja az egyes host párok közötti forgalmi adatokat

17      Host-host és típus és ToS: a csoportosítás a kommunikáció forrás és cél címe illetve a használt port (lásd később) és ToS byte alapján történik, a riport megmutatja az egyes host párok közötti különböző protokollú forgalmi adatokat

18      Interfész-interfész és ToS: a csoportosítás input és output interfész alapján illetve a ToS byte alapján történik

Ha a csoportosítás ToS byte alapján is történik, akkor a felhasználónak azt is meg kell adnia, hogy hogyan értelmezze a PVSR a ToS byte-ot:

·       DSCP: a ToS byte DSCP-t tartalmaz, csak az első hat bit szignifikáns

·       Precedencia: a ToS byte-ból csak a precedencia érdekes, csak az első három bit szignifikáns

·       ToS: a ToS byte-ból csak a Type of Service rész érdekes, csak a 4-1 bitek szignifikánsak

·       Precedencia + ToS: a ToS byte-ból a precedencia és a Type of Service részek érdekesek, az első hét bit szignifikáns

A PVSR nyilvántart egy listát az ismert portok neveiről, ez a lista szerkeszthető is, amennyiben a Beállítások -> Site és eszköz konfiguráció alatt egy Netflow típusú eszközt tekintünk éppen meg. A beállítási oldalt a Műveletek között szereplő „Netflow ismert portok szerkesztése” ponttal lehet elérni, de a beállítást korlátozott adminisztrátor nem végezheti el. Az elvégzett beállítás globális, nem csak arra az eszközre vonatkozik, amely alól a beállítást elvégeztük.

A riportok készítése során amennyiben a riportban csoportosítási paraméterként szerepel a típus is, úgy a PVSR minden látott kommunikációra megállapítja, hogy a forrás és/vagy a cél portot tekinti-e ismertnek, és ez alapján a kérdéses kommunikáció forgalmi adatait egy vagy két riport sorban is szemlélteti:

1         Ha az egyik port 1024 alatti, a másik port pedig 1024 feletti, akkor az utóbbit semmiképpen nem tekinti ismertnek

2         Ha a két port közül csak az egyik ismert, akkor csak annak a statisztikájába számít bele

3         Ha mindkettő ismert vagy egyik sem ismert, úgy

3.1         Host-host és típus riport esetében: a riportban a típus mezőben mindkét port szerepelni fog

3.2         Host és típus illetve Típus riport esetében: mindkét találat statisztikájába beleszámításra kerül

Példa: legyen két kommunikációról adatunk

A host X port -> B host Y port

A host Z port -> B host Y port

Amennyiben mindegyik port 1024 feletti és X és Y ismert, x és y néven, míg Z nem ismert, úgy:

1         Típus riport:

1.1         x: az első kommunikáció adata fog szerepelni

1.2         y: mindkét kommunikáció adata fog szerepelni

2         Host és típus riport:

2.1         A, x: az első kommunikáció adata fog szerepelni mint output

2.2         A, y: a második kommunikáció adata fog szerepelni mint output

2.3         B, y: mindkét kommunikáció adata fog szerepelni mint input

3         Host-host és típus riport:

3.1         A, B, x-y: az első kommunikáció adata fog szerepelni mint honnan -> hova

3.2         A, B, y: a második kommunikáció adata fog szerepelni mint honnan -> hova

Amennyiben mindegyik port 1024 feletti és X x néven, Y y néven, Z pedig szintén x néven ismert, úgy:

1         Típus riport:

1.1         x: mindkét kommunikáció adata fog szerepelni

1.2         y: mindkét kommunikáció adata fog szerepelni

2         Host és típus riport:

2.1         A, x: mindkét kommunikáció adata fog szerepelni mint output

2.2         B, y: mindkét kommunikáció adata fog szerepelni mint input

3         Host-host és típus riport:

3.1         A, B, x-y: mindkét kommunikáció adata fog szerepelni mint honnan-hova

A táblázatos riportok mindig TopN riportok, a rendezés elvét a táblázat fejlécében szereplő ikonokra klikkelve lehet megváltoztatni. Az analízis oldal tartalmaz egy kördiagramot is, amelyik a táblázatban szereplő adatokat jeleníti meg. Egyszerre csak egy oszlop adatai jelennek meg a kördiagramon (alapesetben a rendezésre használt oszlop), ez a diagram mellett lévő oszlop névre történő klikkeléssel változtatható meg.

A megjelenítés során a byte illetve packet cellákban található linkekere klikkelve a kérdéses sornak a és időszaknak megfelelő grafikont kapunk, amely mutatja a látott forgalom időbeli alakulását.

14.1.13.2 Netflow legtöbbet forgalmazók

A Netflow legtöbbet forgalmazók oldal nagyon hasonló a Netflow Host típusú analízis oldalhoz egy pár eltéréssel:

·       PVSR folyamatosan számítja ezt az oldalt egy mozó időablakkal. Ez azt jelenti, hogy cask az elmúlt X percre elérhető a riport. Az oldalon ennek megfelelően van egy legördülő lista is, ahol kiválasztható ez az intervallum

·       Mivel az adatokat a rendszer folyamatosan számolja, a riport sokkal gyorsabban megjelenik, mint az analízis oldal

·       Mivel előre számított, ezért nincsen lehetőség további szűrésre

·       A PVSR csak azokra az eszközökre és mérésekre számítja ezt a riportot, amelyikre megadtuk, és csak akkor tekinthető meg, ha a felhasználó éppen egy ilyen objektumot néz meg

Amikor a felhasználó egy host névre vagy IP címre klikkel, akkor a rendszer átviszi őt egy olyan Netflow analízis oldalra, ahol az időszak megfelelően be van állítva és a host ki van választva.