Этот сетевой протокол был разработан компанией Cisco специально для реализации учета трафика на сетевых устройствах. Его название — сетевой поток — говорит само за себя. Из-за его эффективности и открытого кода он поддерживается не только оборудованием правообладателя, но и некоторыми другими производителями. Благодаря открытому коду существуют реализации для семейства UNIX систем, в т.ч. NetFlow FreeBSD, на которой работает ИКС.
Под эффективностью при учете трафика следует понимать полноту сбора информации, ее хранение и представление в удобном виде. Работа NetFlow делится на эти три этапа:
Для разностороннего анализа трафика традиционно применяются несколько основных технологий — классический сетевой анализ, SNMP и NetFlow. Все они демонстрируют разный подход к вопросу учета трафика, используют принципиально разные способы получения информации. В итоге разные результаты, отличающиеся полнотой и характером информации.
Классический сетевой анализ для развертывания на сети требует некоторых затрат, аппаратных и экономических, и оправдан бывает не всегда. Особенно это касается корпоративных сетей (даже относительно крупных), целесообразнее применять такой анализ в сетях масштаба оператора связи, провайдера и т.п..Поскольку он способен дать исчерпывающую информацию о потоках информации не только от пользователей, но и магистральных. Для сетей корпоративных такая информация окажется избыточной, и потребуется хороший специалист для ее анализа. Поэтому в крупных сетях обычно применяют протокол SNMP –простой протокол управления сетями.
Принцип его работы состоит в отправке коротких запросов на интерфейсы сетевых устройств, и на основании «ответов» получать информацию о сети. Среди прочего, SNMP дает информацию о загрузке процессора и памяти, т.е. широкую информацию о системе и сети, и не является узко ориентированным на анализ именно трафика.
NetFlow в свою очередь идеально подходит для сбора всей возможной информации именно о трафике, в разрезе пользователей, подсетей, потоков от конкретных приложений и т.д. Сенсор аппаратно встроен в оборудование маршрутизации, и ему доступны все процессы обработки. Информации для анализа сенсор NetFlow выдает в значительном объеме, в ней содержится буквально все — от адресации источника и получателя до используемых протоколов и интерфейсов, метки времени и т.д. Поэтому NetFlow наиболее эффективен для учета трафика, в том числе поиска узких мест в сети, выявления основных потребителей и т.д.
Для полноценного анализа не обойтись без покупки VPN-сервера. В программе Интернет Контроль Сервер настройка подсчета трафика NetFlow несложна и понятна любому сетевому администратору. На нем определяется TCP-порт для подключения и все. Далее ИКС выступает в роли коллектора и анализатора, и выводит информацию в читаемом виде.