https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=NetflowNetflow - Versionsgeschichte2026-05-19T18:37:52ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Netflow&diff=512252&oldid=previmported>Matthäus Wander: Einleitung überarbeitet: Verständlichkeit, Definition von Flow, Verweis auf IPFIX2026-04-19T11:41:09Z<p>Einleitung überarbeitet: Verständlichkeit, Definition von Flow, Verweis auf IPFIX</p>
<p><b>Neue Seite</b></p><div>[[Datei:Netflow architecture en.svg|mini|hochkant=1.5|Netflow-Architektur]]<br />
<br />
'''Netflow''' ist eine Technik zur Ausleitung von [[Statistik|statistischen]] Informationen über [[Datenverkehr]] in [[Rechnernetz]]en. Netflow-fähige Geräte, in der Regel [[Router]] oder [[Layer-3-Switch]]es, erfassen [[Metadaten]] über zusammenhängende Kommunikationsströme (''Flows''), die über das [[Internet Protocol]] übertragen werden, und senden diese zur Speicherung und Auswertung an einen Netflow-Kollektor. Die anfallenden Daten werden zur [[Netzwerkverkehrsanalyse|Verkehrsanalyse]], zur [[Dimensionierung]] oder zur [[Quality of Service|QoS]]-Analyse verwendet.<br />
<br />
Netflow wurde ursprünglich von [[Cisco Systems]] entwickelt und später von allen großen Netzwerkherstellern adaptiert. Die Übertragung der Flow-Informationen an den Netflow-Kollektor erfolgt über ein [[Netzwerkprotokoll]], meist basierend auf dem [[User Datagram Protocol]]. Eine Weiterentwicklung des Protokolls ist als [[Internet Protocol Flow Information Export]] (IPFIX) standardisiert.<br />
<br />
== Technik ==<br />
Netflow war ursprünglich eine [[Cisco Systems|Cisco]]-Technik, wird jetzt jedoch von vielen Herstellern unterstützt. Neben Netflow gibt es auch noch ''jFlow'' ([[Juniper Networks|Juniper]]) und ''Netstream'' ([[Huawei]]). Beide sind technisch identisch mit Netflow. Es existieren verschiedene Versionen von Netflow. Netflow Version&nbsp;9 ist als [[offener Standard]] in der <nowiki>RFC&nbsp;3954</nowiki><ref>{{RFC-Internet |RFC=3954 |Titel=Cisco Systems NetFlow Services Export Version 9 |Datum=2004-10}}</ref> beschrieben. Netflow Version&nbsp;5 ist die in der Praxis am häufigsten verwendete Version. [[sFlow]] (<nowiki>RFC&nbsp;3176</nowiki><ref>{{RFC-Internet |RFC=3176 |Titel=InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks |Datum=2001-09}}</ref>) verwendet statistisches [[Abtastung (Signalverarbeitung)|Sampling]] und ist [[Kompatibilität (Technik)|inkompatibel]] zu Netflow. Es existieren jedoch [[Konvertierung (Informatik)|Konverter]]. Der [[Internet Protocol Flow Information Export|IPFIX]] Standard (<nowiki>RFC&nbsp;3917</nowiki><ref>{{RFC-Internet |RFC=3917 |Titel=Requirements for IP Flow Information Export (IPFIX) |Datum=2004-10}}</ref>) wird herstellerunabhängig entwickelt und stellt eine Erweiterung von Netflow Version&nbsp;9 dar.<br />
<br />
Ein Flow enthält typischerweise folgende Informationen:<br />
* Versionsnummer und [[Sequenznummer]]<br />
* [[Zeitstempel]]<br />
* [[Byte]]- und Paketzähler<br />
* [[IP-Adresse]] (Quell- und Zieladresse)<br />
* [[Portnummer]] (Quell- und Zielport)<br />
* [[Netzwerkschnittstelle]], auf der der Verkehr entweder [[Ingress und Egress|eingegangen oder ausgegangen]] ist<br />
* [[Type of Service|Type-of-Service]]-Informationen<br />
* [[AS-Nummer]]n ([[Border Gateway Protocol|BGP 4]])<br />
* [[Transmission Control Protocol|TCP]]-[[Flag (Informatik)|Flags]]<br />
* Protokoll-Typ (z.&nbsp;B. TCP, UDP oder ICMP)<br />
<br />
Je nach Netflow-Version unterscheidet sich der Inhalt der Exportdatagramme leicht. Detaillierte Informationen können auf der Cisco-Seite gefunden werden.<br />
<br />
Netflow ist, wie [[Simple Network Management Protocol|SNMP]], ein passives [[Messverfahren]], d.&nbsp;h. man beobachtet den Verkehr, ohne diesen zu beeinflussen. Wie alle passiven Messverfahren erzeugt auch Netflow Volumen-Informationen, typischerweise [[Datenübertragungsrate|kBit/s]].<br />
<br />
== Kollektor ==<br />
Um die Netflow-Daten analysieren zu können, ist eine Kollektor-Software notwendig. Da die Netflow-Datagramme per UDP übertragen werden, muss der Kollektor schnell genug sein, die [[Daten]] zu empfangen, zu verarbeiten und zu speichern. Verlorene Datagramme können nicht wiederhergestellt werden. Besonders problematisch ist deshalb die Übertragung von Netflow-Daten über [[Wide Area Network|WAN]]-Strecken. Verteilte Systeme haben sich hier besonders gut bewährt. Einige Systeme sind in der Lage, Auswertungen in einem zentralen [[Data-Mart]] vorzuhalten. Das hat den Vorteil, dass Daten nicht wiederholt und mehrfach über WAN Strecken übertragen werden müssen.<br />
<br />
Technisch verwenden die Hersteller meist eine zweistufige Verarbeitung. Zunächst werden die Netflow-Datagramm in Rohform gespeichert. Ein nachfolgender Prozess normalisiert die Daten und speichert das Ergebnis in einer Datenbank, meist einer [[Relationale Datenbank|relationalen Datenbank]], auf die dann das Reporting-Frontend zugreift. Da die Daten hierbei einmal als Rohdaten und dann ein zweites Mal in einer normalisierten Form gespeichert werden, sind die Transferleistungen der Speichersysteme eine der wichtigsten und limitierenden Kenngrößen. Mit einem [[Hardware-RAID]] als Speicher wird eine höhere Transferleistung erreicht als mit einem [[Software-RAID]].<br />
<br />
Im Umfeld von [[Internetdienstanbieter]]n ist die [[Mandantenfähigkeit]] eine wichtige Eigenschaft von Netflow-Systemen. Diese stellt sicher, dass Teilnehmer nur die für sie jeweils relevanten Daten einsehen können. Kunden haben hierbei dann nur Zugriff auf die Flows der eigenen Interfaces und nicht auf alle Interfaces des Flow-Senders.<br />
<br />
== Analyse ==<br />
Es werden in der Regel zwei Arten von Analysen durchgeführt: Top-N-Analyse und Zeitanalyse.<br />
<br />
=== Top-N-Analyse ===<br />
Bei Top-N-Analysen werden in einem frei definierbaren Zeitraum, z.&nbsp;B. 24&nbsp;Stunden, diejenigen Elemente gesucht, die den meisten Verkehr erzeugen. Kriterien können Sender-IP-Adressen (''Top Talker''), TCP-Ports (''Top Applications'') oder andere Einträge aus dem Netflow-Datagramm sein. In einigen Systemen wird diese Top-N-Analyse über [[SQL]]-Abfragen mittels [[Aggregatfunktion]] zur Laufzeit erzeugt, oder es werden separate Analyse-Datenbestände bereitgehalten. Diese speziellen Datenbestände werden durch den Kollektor zur Laufzeit aktuell gehalten. Hierbei hat man den Vorteil, dass das Reporting-Frontend schnell auf fertige Datenbestände zugreifen kann, auf der anderen Seite wächst der Bedarf an Speicherkapazität.<br />
<br />
=== Zeitanalyse ===<br />
Zeitanalysen zeigen das Verkehrsvolumen von Elementen über einer [[Zeitachse]].<br />
<br />
== Implementierungen ==<br />
Als Implementierungen sind sowohl [[freie Software]] als auch kommerzielle [[Software]]-Produkte verbreitet.<br />
<br />
=== Freie Software ===<br />
* flowd NetFlow collector<br />
* [[Nagios]]<br />
* NetWork analysis software<br />
* nfdump, Kollector und Analyse Werkzeuge und nfsen, Webfrontend zu nfdump<br />
* PMACCT Netflow, sFlow Collector. Verwendet libpcap<br />
* [[Pandora FMS]]<br />
<br />
=== Kommerzielle Software ===<br />
{| class="wikitable" <br />
|+ Produkteigenschaften<br />
|-<br />
! Produkt !! Netflow !! cFlow !! jFlow !! Netstream !! sFlow !! IPFIX !! Verteilt !! Mandantenfähig !! Zentraler Data-Mart !! Cluster oder Hierarchy !! weitere-FlowVersionen !! Max-Flow/Minute !! Alarme based on Flows <br />
|-<br />
! AdvaICT NetHound (online service)<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! Caligare Flow Inspector<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! Cisco<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || || || ||<br />
|-<br />
! IBM Aurora<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || || || ||<br />
|-<br />
! Infosim StableNet<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || || || ||<br />
|-<br />
! INVEA-TECH FlowMon<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}}|| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! IsarFlow<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || Hierarchie || || ||<br />
|-<br />
! IS-IT-ON NetFlow Analyzer<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! [[ManageEngine]] NetFlow Analyzer<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
![[Paessler PRTG]]<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Ja-Feld}}|| {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! Progress [[WhatsUp Gold]] (ehem. IPSwitch) <br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || || ||<br />
|-<br />
! Riverbed Network Performance<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} bezogen auf Dashboards || {{Ja-Feld}} || Clusterfähig || NAM, NBAR, NBAR2, Cisco MediaNet, Cisco ASA NSEL, Citrix AppFlow, Packeteer FDR, Palo Alto Networks, and SteelFlow from SteelHead appliances || 10 M deduplizierte Flows/min (Clusterfähig)||{{Ja-Feld}}<br />
|-<br />
! SolarWinds Orion NetFlow Traffic Analyzer<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || || ||<br />
|-<br />
! SevOne Dedicated Netflow Collector (DNC) (auch Bestandteil von PAS)<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || Cluster || SFLow, Cisco-NAM, -NBAR, -Medianet, dFlow, jFlow, NSEL, jedes Flowfeld kann als Key oder Metric registriert werden || 12M Flows/min auf DNC1000HFC, Clusterfähig || {{Ja-Feld}}<br />
|-<br />
! IPHost Monitor Networks Monitoring Software<br />
| {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || Hierarchie || Cisco-NAM/NBAR|| ||<br />
|-<br />
! THB-Netflow<br />
| {{Ja-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Nein-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || {{Ja-Feld}} || Cluster || Cisco-AVC, -NBAR, Medianet, Barracuda, jedes Flowfeld kann dynamisch konfiguriert werden || || via Grafana<br />
|}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]<br />
[[Kategorie:Netzwerkprotokoll von Cisco Systems]]</div>imported>Matthäus Wander