Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 31/96)

Cisco NetFlow

Hlavnφ v²hoda NetFlow je mo₧nost sledovßnφ zßt∞₧e sφt∞, a nßslednß definice chovßnφ sm∞rovaΦe na zßklad∞ tohoto sledovßnφ na u₧ivatelskΘ nebo aplikaΦnφ bßzi. P°elo₧eno do srozumiteln∞jÜφ °eΦi - tok paket∙ na sφ¥ovΘ vrstv∞ je zpracovßvßn na zßklad∞ toho, kterß aplikace data vyslala nebo kter² u₧ivatel vy₧aduje p°ipojenφ. To slou₧φ dv∞ma ·Φel∙m. Jednak rychlejÜφmu provozu, ale takΘ v∞tÜφ bezpeΦnosti dat. Obojφ propojenΘ dohromady sluΦuje dv∞ nesluΦitelnΘ varianty konfigurace sφ¥∞: BezpeΦnou a rychlou sφ¥. D∙le₧itost bezpeΦnosti snad nenφ ani pot°eba zd∙raz≥ovat. Mnoho zam∞stnanc∙ p°istupuje k podnikov²m dat∙m nejen uvnit° podnikovΘ sφt∞, ale Φasto i zvn∞jÜku pomocφ vzdßlenΘho p°ipojenφ. Je tedy nutnΘ, aby pracovnφk m∞l neomezen² a rychl² p°φstup k server∙m, ale zßrove≥ je zapot°ebφ zajistit, aby se k dat∙m nedostal nikdo nepovolan².

Rychlß funkce s dostateΦnou bezpeΦnostφ

V klasickΘm sφ¥ovΘm modelu je pro bezpeΦnost dat nutnΘ p°i p°ijmutφ ka₧dΘho paketu prochßzet celou °adou krok∙, kterß rychlost komunikace znaΦn∞ zat∞₧uje. Nejprve se urΦφ, kam bude ze sm∞rovaΦe dßl paket putovat, potom se rozhodne, zda to dovolujφ p°φstupovß prßva a paket se umφstφ podle svΘ priority do fronty. Nakonec je p°ed jeho odchodem jeÜt∞ zapsßna pot°ebnß informace o jeho existenci. Pokud jsou data k≤dovßna, je pr∙b∞h jeÜt∞ o n∞co slo₧it∞jÜφ.

NetFlow sice neodstra≥uje tuto sekvenci zcela, ale pln∞ jφ prochßzφ v₧dy jen prvnφ paket urΦitΘho identifikovatelnΘho toku dat. Pak je tok identifikovßn a zbytek paket∙ proudφ bez nutnosti op∞tovnΘho prochßzenφ t∞chto krok∙. Tok paket∙ je identifikovßn na zßklad∞ IP adresy zdroje a adresßta, a portu, na kter² jsou pakety sm∞rovßny. Nelze p°esn∞ urΦit, nakolik zv²Üφ pou₧itφ NetFlow prßci vaÜφ sφt∞, proto₧e to zßvisφ na typu zßt∞₧e jakou pou₧φvßte.

Zßklad myÜlenky je pou₧itφ slu₧eb dostupn²ch v∞tÜinou jen v prost°edφ spojitΘ komunikace pro nespojit² tok dat. Dφky identifikaci na zßklad∞ vysφlatele a adresßta je pro NetFlow vlast∞ virtußln∞ vytvß°eno jednoznaΦn∞ definovatelnΘ spojenφ. BezpeΦnost lze potom °φdit na zßklad∞ prßv jednotliv²ch u₧ivatel∙ pro r∙znΘ slu₧by. ╪eÜenφ pracuje bez nutnosti cokoliv m∞nit na hardwaru sφ¥ov²ch za°φzenφ nebo v softwaru u u₧ivatele.

K≤dovßnφ

Krom∞ mo₧nosti definovßnφ p°φstupu k nejr∙zn∞jÜφm zdroj∙m lze chrßnit i data, kterß putujφ p°es sm∞rovaΦ. NetFlow m∙₧e, podobn∞ jako p°i definici prßv p°φstupu, prochßzejφcφ pakety Üifrovat na zßklad∞ urΦenφ adresßta, zdroje a typu slu₧by. K≤dovßn nenφ tedy vÜechen provoz, ale jen urΦen² provoz. Sni₧ujφ se nßroky na hardware sm∞rovaΦe, a tφm i celkovß rychlost p°enosu. K≤dovßnφ nabφzφ dv∞ ·rovn∞ zalo₧enΘ na DESu (standardu k≤dovßnφ dat) a je nezßvislΘ na fyzickΘ struktu°e sφt∞.

Kvalita slu₧eb

D∙le₧itou vlastnostφ, p°edevÜφm pro poskytovatele p°φstupu na Internet, je mo₧nost definice kvality poskytovan²ch slu₧eb. Pro n∞kterΘ zßkaznφky je podstatnΘ, aby m∞li stßle k dispozici, co nejÜirÜφ pßsmo, jin²m staΦφ daleko menÜφ p°enosov² prostor za mΘn∞ pen∞z. NetFlow p°inßÜφ Cisco sm∞rovaΦ∙m n∞kolik nov²ch technik pro definici r∙znΘ kvality p°enosovΘho pßsma. Tyto techniky jsou nutnΘ pro spln∞nφ po₧adavk∙ modernφch systΘm∙, kterΘ pou₧φvajφ novΘ definice protokol∙ zajiÜ¥ujφcφch aplikacφm dostateΦnou kvalitu spojenφ.

Jednφm z takov²ch protokol∙ je i RSVP - Resource Reservation Protocol, umo₧≥ujφcφ aplikacφm vy₧ßdat si urΦitou Üφ°ku pßsma, kterß je jim potΘ zaruΦena po celou dobu jejich spojenφ. ZajiÜt∞nφ urΦitΘ Üφ°ky pßsma je podstatnΘ nap°. pro video p°enßÜenΘ po sφti, kdy i jemnΘ zakolφsßnφ m∙₧e mφt pro v²sledn² obraz katastrofßlnφ nßsledky.

Funkce ATM pro IP protokol

ATM p°ineslo do sv∞ta sφtφ nejen ÜirÜφ p°enosovΘ pßsmo, ale takΘ novinky v oblasti kvality a bezpeΦnosti. N∞kterΘ z nich se nynφ p°enßÜejφ do WAN i LAN sφtφ pomocφ podobn²ch rozÜφ°enφ jako je NetFlow. Dφky tomu se snad poda°φ nßval dat proudφcφch po sv∞tov²ch sφtφch zvlßdnout.