NetFlow es una función que se introdujo en los enrutadores Cisco alrededor de 1996 que brinda la capacidad de recopilar el tráfico de red IP cuando ingresa o sale de una interfaz. Al analizar los datos proporcionados por NetFlow, un administrador de red puede determinar cosas como el origen y el destino del tráfico, la clase de servicio y las causas de la congestión. Una configuración típica de monitoreo de flujo (usando NetFlow) consta de tres componentes principales: [1]
- Exportador de flujo : agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo.
- Colector de flujo : responsable de la recepción, almacenamiento y preprocesamiento de los datos de flujo recibidos de un exportador de flujo.
- Aplicación de análisis: analiza los datos de flujo recibidos en el contexto de la detección de intrusos o la creación de perfiles de tráfico, por ejemplo.
Descripción del protocolo
Los enrutadores y conmutadores que admiten NetFlow pueden recopilar estadísticas de tráfico IP en todas las interfaces donde NetFlow está habilitado y luego exportar esas estadísticas como registros de NetFlow hacia al menos un recopilador de NetFlow, generalmente un servidor que realiza el análisis de tráfico real.
Flujos de red
La versión 5 de NetFlow estándar de Cisco define un flujo como una secuencia unidireccional de paquetes que comparten siete valores que definen una clave única para el flujo: [2]
- Interfaz de ingreso ( SNMP ifIndex)
- Fuente dirección IP
- Dirección IP de destino
- Protocolo IP
- Puerto de origen para UDP o TCP , 0 para otros protocolos
- Puerto de destino para UDP o TCP , tipo y código para ICMP o 0 para otros protocolos
- Tipo de servicio de IP
Tenga en cuenta que la interfaz de salida, IP Nexthop o BGP Nexthops no son parte de la clave y pueden no ser precisas si la ruta cambia antes de la expiración del flujo, o si el balanceo de carga se realiza por paquete.
Esta definición de flujos también se usa para IPv6, y una definición similar se usa para MPLS y flujos Ethernet .
Las implementaciones avanzadas de NetFlow o IPFIX como Cisco Flexible NetFlow permiten claves de flujo definidas por el usuario.
Una salida típica de una herramienta de línea de comandos de NetFlow ( nfdump
en este caso) al imprimir los flujos almacenados puede tener el siguiente aspecto:
Fecha de inicio del flujo Duración Proto Src IP Addr: Port Dst IP Addr: Port Packets Bytes Flows 2010-09-01 00: 00: 00.459 0.000 UDP 127.0.0.1:24920 -> 192.168.0.1:22126 1 46 1 2010-09-01 00: 00: 00.363 0.000 UDP 192.168.0.1:22126 -> 127.0.0.1:24920 1 80 1
Exportación de registros
El enrutador generará un registro de flujo cuando determine que el flujo ha finalizado. Lo hace mediante el envejecimiento del flujo: cuando el enrutador ve tráfico nuevo para un flujo existente, restablece el contador de envejecimiento. Además, la terminación de la sesión TCP en un flujo TCP hace que el enrutador expire el flujo. Los enrutadores también se pueden configurar para generar un registro de flujo en un intervalo fijo, incluso si el flujo aún está en curso.
Protocolo de transporte de paquetes
Los registros de NetFlow se exportan tradicionalmente mediante el Protocolo de datagramas de usuario ( UDP ) y se recopilan mediante un recopilador de NetFlow. La dirección IP del recopilador de NetFlow y el puerto UDP de destino deben configurarse en el enrutador de envío. Un valor común es el puerto UDP 2055, pero también se pueden usar otros valores como 9555 o 9995, 9025, 9026, etc.
Por razones de eficiencia, el enrutador tradicionalmente no realiza un seguimiento de los registros de flujo ya exportados, por lo que si un paquete NetFlow se descarta debido a la congestión de la red o la corrupción del paquete, todos los registros contenidos se pierden para siempre. El protocolo UDP no informa al enrutador de la pérdida para que pueda enviar los paquetes nuevamente. Esto puede ser un problema real, especialmente con NetFlow v8 o v9 que pueden agregar muchos paquetes o flujos en un solo registro. La pérdida de un solo paquete UDP puede tener un gran impacto en las estadísticas de algunos flujos.
Es por eso que algunas implementaciones modernas de NetFlow utilizan el Protocolo de transmisión de control de flujo ( SCTP ) para exportar paquetes a fin de brindar cierta protección contra la pérdida de paquetes y asegurarse de que las plantillas de NetFlow v9 se reciban antes de exportar cualquier registro relacionado. Tenga en cuenta que TCP no sería adecuado para NetFlow porque un orden estricto de paquetes provocaría retrasos y un almacenamiento en búfer excesivo.
El problema con SCTP es que requiere la interacción entre cada colector de NetFlow y cada enrutador que exporta NetFlow. Puede haber limitaciones de rendimiento si un enrutador tiene que lidiar con muchos colectores de NetFlow, y un colector de NetFlow tiene que lidiar con muchos enrutadores, especialmente cuando algunos de ellos no están disponibles debido a fallas o mantenimiento.
Es posible que SCTP no sea eficiente si NetFlow debe exportarse a varios recopiladores independientes, algunos de los cuales pueden ser servidores de prueba que pueden dejar de funcionar en cualquier momento. UDP permite la replicación simple de paquetes NetFlow usando taps de red o duplicación L2 o L3. Los equipos simples sin estado también pueden filtrar o cambiar la dirección de destino de los paquetes NetFlow UDP si es necesario. Dado que la exportación de NetFlow casi solo utiliza enlaces troncales de red, la pérdida de paquetes a menudo será insignificante. Si sucede, será principalmente en el enlace entre la red y los colectores NetFlow.
Encabezados de paquetes
Todos los paquetes de NetFlow comienzan con un encabezado dependiente de la versión, que contiene al menos estos campos:
- Número de versión (v1, v5, v7, v8, v9)
- Número de secuencia para detectar pérdidas y duplicaciones
- Marcas de tiempo en el momento de la exportación, como tiempo de actividad del sistema o tiempo absoluto.
- Número de registros (v5 o v8) o lista de plantillas y registros (v9)
Registros
Un registro de NetFlow puede contener una amplia variedad de información sobre el tráfico en un flujo determinado.
La versión 5 de NetFlow (una de las versiones más utilizadas, seguida de la versión 9) contiene lo siguiente:
- Índice de interfaz de entrada utilizado por SNMP (ifIndex en IF-MIB).
- Índice de interfaz de salida o cero si se descarta el paquete.
- Marcas de tiempo para la hora de inicio y finalización del flujo, en milisegundos desde el último inicio.
- Número de bytes y paquetes observados en el flujo
- Encabezados de capa 3 :
- Direcciones IP de origen y destino
- Tipo y código ICMP .
- Protocolo IP
- Valor del tipo de servicio (ToS)
- Números de puerto de origen y destino para TCP, UDP, SCTP
- Para los flujos de TCP, la unión de todos los indicadores de TCP observados durante la vida del flujo.
- Información de enrutamiento de capa 3 :
- Dirección IP del siguiente salto inmediato (no del próximo salto BGP) a lo largo de la ruta hacia el destino
- Máscaras de IP de origen y destino (longitudes de prefijo en la notación CIDR )
Para los flujos ICMP , el puerto de origen es cero y el número de puerto de destino codifica el tipo y código de mensaje ICMP (puerto = tipo ICMP * 256 + código ICMP).
Los campos numéricos del Sistema Autónomo (AS) de origen y destino pueden informar el AS de destino (último AS de AS-Path) o el AS vecino inmediato (primer AS de AS-Path) dependiendo de la configuración del enrutador. Pero el número de AS será cero si la función no es compatible, la ruta es desconocida o no anunciada por BGP, o el AS es el AS local. No hay una forma explícita de distinguir entre estos casos.
La versión 9 de NetFlow puede incluir todos estos campos y, opcionalmente, puede incluir información adicional como etiquetas de conmutación de etiquetas multiprotocolo (MPLS) y direcciones y puertos IPv6 ,
Al analizar los datos de flujo, se puede crear una imagen del flujo de tráfico y el volumen de tráfico en una red. El formato de registro de NetFlow ha evolucionado con el tiempo, de ahí la inclusión de números de versión. Cisco mantiene detalles de los diferentes números de versión y el diseño de los paquetes para cada versión.
Interfaces
NetFlow generalmente se habilita por interfaz para limitar la carga en los componentes del enrutador involucrados en NetFlow, o para limitar la cantidad de registros de NetFlow exportados.
NetFlow normalmente captura todos los paquetes recibidos por una interfaz IP de entrada, pero algunas implementaciones de NetFlow utilizan filtros IP para decidir si NetFlow puede observar un paquete.
Algunas implementaciones de NetFlow también permiten la observación de paquetes en la interfaz IP de salida, pero esto debe usarse con cuidado: todos los flujos desde cualquier interfaz de entrada con NetFlow habilitado a cualquier interfaz con NetFlow habilitado podrían contarse dos veces.
NetFlow muestreado
NetFlow estándar fue diseñado para procesar todos los paquetes IP en una interfaz. Pero en algunos entornos, por ejemplo, en redes troncales de Internet, eso era demasiado costoso debido al procesamiento adicional requerido para cada paquete y al gran número de flujos simultáneos.
Así que Cisco introdujo NetFlow de muestra en Cisco 12000 , y ahora se utiliza en todos los enrutadores de gama alta que implementan NetFlow.
Solo se procesa un paquete de n , donde n , la frecuencia de muestreo, está determinada por la configuración del enrutador.
El proceso de selección exacto depende de la implementación:
- Un paquete cada n paquetes, en Deterministic NetFlow, como se usa en Cisco 12000 .
- Un paquete seleccionado al azar en un intervalo de n paquetes, en NetFlow de muestreo aleatorio, utilizado en los enrutadores Cisco modernos.
Algunas implementaciones tienen métodos más complejos para muestrear paquetes, como el muestreo por flujo en Cisco Martinez Catalysts.
La frecuencia de muestreo es a menudo la misma para todas las interfaces, pero se puede ajustar por interfaz para algunos enrutadores. Cuando se utiliza Sampled NetFlow, los registros de NetFlow deben ajustarse para el efecto del muestreo; los volúmenes de tráfico, en particular, ahora son una estimación en lugar del volumen de flujo medido real.
La frecuencia de muestreo se indica en un campo de encabezado de NetFlow versión 5 (la misma frecuencia de muestreo para todas las interfaces) o en los registros de opciones de NetFlow versión 9 (frecuencia de muestreo por interfaz)
Versiones
Versión | Comentario |
---|---|
v1 | Primera implementación, ahora obsoleta y restringida a IPv4 (sin máscara IP y números AS ). |
v2 | Versión interna de Cisco, nunca lanzada. |
v3 | Versión interna de Cisco, nunca lanzada. |
v4 | Versión interna de Cisco, nunca lanzada. |
v5 | Versión más común, disponible (a partir de 2009) en muchos enrutadores de diferentes marcas, pero restringida a flujos IPv4 . |
v6 | Ya no es compatible con Cisco. Información de encapsulación (?). |
v7 | Como la versión 5 con un campo de enrutador de origen. Usado (¿solo?) En los switches Cisco Catalyst. |
v8 | Varios formularios de agregación, pero solo para la información que ya está presente en los registros de la versión 5 |
v9 | Basado en plantillas, disponible (a partir de 2009) en algunos enrutadores recientes. Se utiliza principalmente para informar flujos como IPv6 , MPLS o incluso IPv4 simple con nexthop de BGP. |
v10 | Se utiliza para identificar IPFIX . Aunque IPFIX se basa en gran medida en NetFlow, v10 no tiene nada que ver con NetFlow. |
NetFlow e IPFIX
NetFlow fue implementado inicialmente por Cisco y se describe en un documento "informativo" que no estaba en la pista de estándares: RFC 3954 - Cisco Systems NetFlow Services Export Version 9. El protocolo NetFlow en sí ha sido reemplazado por Internet Protocol Flow Information eXport ( IPFIX ) . Basado en la implementación de NetFlow Versión 9, IPFIX está en el camino de los estándares IETF con RFC 5101 (obsoleto por RFC 7011), RFC 5102 (obsoleto por RFC 7012), etc., que fueron publicados en 2008.
Equivalentes
Muchos proveedores, además de Cisco, ofrecen una tecnología de supervisión de flujo de red similar. NetFlow puede ser un nombre predominante en el área de monitoreo de flujo, debido a la participación de mercado dominante de Cisco en la industria de redes. Se cree que NetFlow es una marca comercial de Cisco (aunque en marzo de 2012 no figura en las marcas comerciales de Cisco [3] ):
- Argus - Sistema de generación y utilización de registros de auditoría
- Jflow o cflowd para Juniper Networks
- NetStream para 3Com / HP
- NetStream para tecnologías Huawei
- Cflowd para Nokia
- Rflow para Ericsson
- AppFlow Citrix
- Los proveedores de sFlow incluyen: Alaxala , Alcatel Lucent , Allied Telesis , Arista Networks , Brocade , Cisco , Dell , D-Link , Enterasys , Extreme , F5 BIG-IP , Fortinet , Hewlett-Packard , Hitachi , Huawei , IBM , Juniper , LG- Ericsson , Mellanox , MRV , NEC , Netgear , Proxim Wireless , Quanta Computer , Vyatta , Telesoft , ZTE y ZyXEL [4]
Además, la colección de software de herramientas de flujo [5] permite procesar y administrar las exportaciones de NetFlow desde los enrutadores Cisco y Juniper. [6]
Apoyo
Proveedor y tipo | Modelos | Versión de NetFlow | Implementación | Comentarios |
---|---|---|---|---|
Enrutadores Cisco IOS-XR | CRS , ASR9000 antiguo 12000 | v5, v8, v9 | Software que se ejecuta en la CPU de la tarjeta de línea | Soporte integral para IPv6 y MPLS |
Enrutadores Cisco IOS | 10000, 7200, antiguo 7500 | v5, v8, v9 | Software que se ejecuta en Route Processor | el soporte para IPv6 o MPLS requiere un modelo reciente e IOS |
Conmutadores Cisco Catalyst | 7600, 6500, 4500 | v5, v8, v9 | TCAM de hardware dedicado, también utilizado para ACL. | Soporte para IPv6 en modelos de gama alta RSP720 y Sup720, pero como máximo 128K o 256K flujos por tarjeta PCF. [7] |
Switches Cisco Nexus | 5600, 7000, 7700 | v5, v9 | TCAM de hardware dedicado, también utilizado para ACL. Hasta 512K flujos. Soporta IPv4 / IPv6 / L2. | MPLS no es compatible |
Enrutadores antiguos de Juniper | M-serie , la serie T , MX-series con DPC | v5, v8 | Software que se ejecuta en Routing Engine, llamado software jflow | No se admiten IPv6 y MPLS |
Enrutadores antiguos de Juniper | M-serie , la serie T , MX-series con DPC | v5, v8, v9 | Software que se ejecuta en el PIC de servicio, llamado hardware jflow o muestreado | IPv6 o MPLS compatible con MS-DPC, MultiService-PIC, AS-PIC2 |
Juniper routers | Serie MX con MPC-3D, FPC5 para T4000 | v5, IPFIX | Hardware (conjunto de chips trío), llamado jflow en línea | IPv6 requiere JUNOS 11.4R2 (destino de puerto posterior), compatibilidad con MPLS desconocida, MPC3E excluido hasta 12.3, campo de hora de inicio incorrecto que provoca un resultado de rendimiento de datos incorrecto [8] |
Enrutadores Nokia | 7750SR | v5, v8, v9, v10 IPFIX | Software que se ejecuta en el módulo del procesador central | IPv6 o MPLS con tarjetas de línea IOM3 o mejores |
Huawei routers | NE5000E NE40E / X NE80E | v5, v9 | Software que se ejecuta en tarjetas de servicio | Se desconoce la compatibilidad con IPv6 o MPLS |
Interruptores Enterasys | Serie S [9] y Serie N [10] | v5, v9 | Hardware dedicado | Se desconoce la compatibilidad con IPv6 |
Sondas Flowmon | Sonda Flowmon 1000, 2000, 4000, 6000, 10000, 20000, 40000, 80000, 100000 | v5, v9, IPFIX | Acelerado por software o hardware | Soporte integral para IPv6 y MPLS, velocidad de cable |
Interruptores de Nortel | Conmutador de enrutamiento Ethernet serie 5500 (ERS5510, 5520 y 5530) y 8600 (basado en chasis) | v5, v9, IPFIX | Software que se ejecuta en la CPU de la tarjeta de línea | Soporte integral para IPv6 |
PC y servidores | Linux FreeBSD NetBSD OpenBSD | v5, v9, IPFIX | Software como fprobe, [11] ipt-netflow, [12] pflow, [13] flowd, [14] Netgraph ng_netflow [15] o softflowd | La compatibilidad con IPv6 depende del software utilizado |
Servidores VMware | vSphere 5.x [16] | v5, IPFIX (> 5.1) [17] | Software | Se desconoce la compatibilidad con IPv6 |
Mikrotik RouterOS | RouterOS 3.x, 4.x, 5.x, 6.x [18] | v1, v5, v9, IPFIX (> 6.36RC3) | Software y hardware de la placa de enrutador | IPv6 es compatible con v9. Actualmente, RouterOS no incluye números BGP AS. |
Variantes
Registro de eventos de seguridad NetFlow de Cisco
Introducido con el lanzamiento de los productos Cisco ASA 5580, NetFlow Security Event Logging utiliza campos y plantillas NetFlow v9 para brindar telemetría de seguridad de manera eficiente en entornos de alto rendimiento. NetFlow Security Event Logging se escala mejor que syslog al tiempo que ofrece el mismo nivel de detalle y granularidad en los eventos registrados. [ cita requerida ]
Monitoreo basado en sondas independientes
La recopilación de NetFlow mediante sondas NetFlow independientes es una alternativa a la recopilación de flujo de enrutadores y conmutadores. Este enfoque puede superar algunas limitaciones del monitoreo NetFlow basado en enrutadores. Las sondas se conectan de forma transparente al enlace supervisado como un dispositivo pasivo mediante el puerto TAP o SPAN del dispositivo.
Históricamente, la supervisión de NetFlow es más fácil de implementar en una sonda dedicada que en un enrutador. Sin embargo, este enfoque también tiene algunos inconvenientes:
- las sondas deben implementarse en todos los enlaces que deben observarse, lo que genera costos adicionales de hardware, configuración y mantenimiento.
- las sondas no reportarán información separada de la interfaz de entrada y salida como lo haría un reporte de un enrutador.
- Las sondas pueden tener problemas para informar de manera confiable los campos de NetFlow relacionados con el enrutamiento, como números AS o máscaras IP , porque difícilmente se puede esperar que utilicen exactamente la misma información de enrutamiento que un enrutador.
La forma más fácil de abordar los inconvenientes anteriores es utilizar un dispositivo de captura de paquetes en línea frente al enrutador y capturar toda la salida de NetFlow del enrutador. Este método permite el almacenamiento de una gran cantidad de datos de NetFlow (por lo general, muchos años de datos) y no requiere la reconfiguración de la red.
La recopilación de NetFlow a partir de sondas dedicadas es adecuada para la observación de enlaces críticos, mientras que NetFlow en enrutadores proporciona una vista de toda la red del tráfico que se puede utilizar para la planificación de la capacidad, la contabilidad, la supervisión del rendimiento y la seguridad.
Historia
NetFlow fue originalmente una tecnología de conmutación de paquetes de Cisco para enrutadores Cisco, implementada en IOS 11.x alrededor de 1996. Originalmente era una implementación de software para Cisco 7000, 7200 y 7500, [19] donde se pensaba como una mejora con respecto a la actual Conmutación rápida de Cisco. Netflow fue inventado por Darren Kerr y Barry Bruin [20] de Cisco (patente de EE.UU. nº 6.243.667).
La idea era que el primer paquete de un flujo creara un registro de conmutación de NetFlow. Este registro luego se usaría para todos los paquetes posteriores del mismo flujo, hasta la expiración del flujo. Solo el primer paquete de un flujo requeriría una investigación de la tabla de rutas para encontrar la ruta coincidente más específica. Esta es una operación costosa en implementaciones de software, especialmente las antiguas sin base de información de Reenvío . El registro de conmutación de NetFlow era en realidad una especie de registro de caché de ruta, y las versiones antiguas de IOS todavía se refieren a la caché de NetFlow como ip route-cache .
Esta tecnología resultó ventajosa para las redes locales. Esto era especialmente cierto si una ACL tenía que filtrar parte del tráfico, ya que la ACL sólo tenía que evaluar el primer paquete de un flujo. [21]
La conmutación de NetFlow pronto resultó ser inadecuada para enrutadores grandes, especialmente enrutadores de red troncal de Internet, donde la cantidad de flujos simultáneos era mucho más importante que la de las redes locales, y donde parte del tráfico causa muchos flujos de corta duración, como solicitudes del Sistema de nombres de dominio ( cuyo puerto de origen es aleatorio por razones de seguridad).
Como tecnología de conmutación, NetFlow fue reemplazada alrededor de 1995 por Cisco Express Forwarding . Esto apareció por primera vez en los enrutadores Cisco 12000 y luego reemplazó la conmutación NetFlow en el IOS avanzado para Cisco 7200 y Cisco 7500.
A partir de 2012, las tecnologías similares a la conmutación NetFlow todavía se utilizan en la mayoría de los firewalls y enrutadores IP basados en software. Por ejemplo, la función conntrack del marco Netfilter utilizado por Linux .
Ver también
- Flujo de tráfico (redes informáticas)
- Exportación de información de flujo IP (IPFIX): protocolo de exportación de flujo de seguimiento de estándares IETF , basado en NetFlow versión 9
- sFlow : alternativa a NetFlow (muestreo obligatorio, sin caché de flujo, sin plantillas [22] )
Referencias
- ^ Hofstede, Rick; Čeleda, Pavel; Trammell, Brian; Drago, Idilio; Sadre, Ramin; Sperotto, Anna; Pras, Aiko (2014). "Explicación de la supervisión de flujo: de la captura de paquetes al análisis de datos con NetFlow e IPFIX" . Encuestas y tutoriales de comunicaciones de IEEE . 16 (4): 2037-2064. doi : 10.1109 / COMST.2014.2321898 .
- ^ https://pliki.ip-sa.pl/wiki/Wiki.jsp?page=NetFlow
- ^ "Marcas comerciales de Cisco" .
- ^ "Productos sFlow: Equipos de red" . sFlow.org.
- ^ https://github.com/adsr/flow-tools
- ^ https://github.com/adsr/flow-tools/blob/master/README
- ^ "Características de Cisco RSP720 Sup720 NetFlow" . cisco.com. Julio de 2010 . Consultado el 8 de marzo de 2012 .
- ^ "pps y bps incorrectos en Juniper j-flow" . Agosto de 2012 . Consultado el 17 de marzo de 2016 .
- ^ "NetFlow en Enterasys S-Serie" (PDF) . enterasys.com. Febrero de 2012 . Consultado el 4 de marzo de 2012 .
- ^ "NetFlow en Enterasys N-Serie" (PDF) . enterasys.com. Febrero de 2012 . Consultado el 4 de marzo de 2012 .
- ^ "fprobe" .
- ^ "ipt-netflow" .
- ^ Henning Brauer; Joerg Goltermann (29 de marzo de 2014). "pflow - interfaz del kernel para la exportación de datos pflow" . Referencia cruzada BSD . OpenBSD . Consultado el 9 de agosto de 2019 . Lay resumen .
- ^ "flowd-0.9.1.20140828 - Colector NetFlow" . Puertos OpenBSD . 2019-07-17 . Consultado el 9 de agosto de 2019 .
- ^ Gleb Smirnoff (2005). "ng_netflow - implementación de NetFlow de Cisco" . Referencia cruzada BSD . FreeBSD . Consultado el 9 de agosto de 2019 . Lay resumen .
- ^ http://blogs.vmware.com/networking/2011/08/vsphere-5-new-networking-features-netflow.html
- ^ http://www.vmware.com/files/pdf/techpaper/Whats-New-VMware-vSphere-51-Network-Technical-Whitepaper.pdf
- ^ http://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow
- ^ http://www.cisco.com/en/US/docs/ios/11_2/feature/guide/netflow.html
- ^ https://www.cisco.com/c/dam/en/us/products/collateral/security/ios-network-foundation-protection-nfp/prod_presentation0900aecd80311f49.pdf
- ^ NetFlow, sFlow y extensibilidad de flujo, parte 1
- ^ Phaal, Peter; Lavine, Marc (julio de 2004). "sFlow Versión 5" . sFlow.org . Consultado el 23 de octubre de 2010 .
enlaces externos
- NetFlow / FloMA: punteros y software proporcionados por SWITCH. - Una de las listas más completas que incluye todos los trabajos de investigación y de código abierto.
- FloCon : la conferencia anual organizada por CERT / CC que se ocupa de los datos y el análisis del flujo de la red.
- Información básica de NetFlow en el sitio de Cisco
- RFC3334 - Contabilidad basada en políticas
- RFC 3917 - Requisitos para la exportación de información de flujo de IP (IPFIX)
- RFC3954 - NetFlow Versión 9
- RFC 3955 - Evaluación de protocolos candidatos para la exportación de información de flujo de IP (IPFIX)
- RFC3917 - Requisitos para la exportación de información de flujo de IP (IPFIX)
- RFC3955 - Protocolos candidatos para la exportación de información de flujo de IP (IPFIX)
- RFC 5101 - Especificación del protocolo de exportación de información de flujo de IP (IPFIX) para el intercambio de información de flujo de tráfico de IP
- RFC 5102 - Modelo de información para la exportación de información de flujo de IP
- RFC 5103 - Exportación de flujo bidireccional mediante la exportación de información de flujo de IP (IPFIX)
- RFC 5153 - Directrices de implementación de exportación de información de flujo de IP (IPFIX)
- RFC 5470 - Arquitectura para la exportación de información de flujo de IP
- RFC 5471 - Directrices para las pruebas de exportación de información de flujo de IP (IPFIX)
- RFC 5472 - Aplicabilidad de la exportación de información de flujo de IP (IPFIX)
- RFC 5473 - Reducción de la redundancia en los informes de exportación de información de flujo de IP (IPFIX) y muestreo de paquetes (PSAMP)
- RFC 5476 - Especificaciones del protocolo de muestreo de paquetes (PSAMP)
- RFC 5477 - Modelo de información para exportaciones de muestreo de paquetes
- RFC 5610 - Exportación de información de tipo para elementos de información de exportación de información de flujo de IP (IPFIX)
- RFC 5655 - Especificación del formato de archivo de exportación de información de flujo de IP (IPFIX)
- RFC 5815 - Definiciones de objetos administrados para la exportación de información de flujo de IP
- RFC 5982 - Mediación de exportación de información de flujo de IP (IPFIX): declaración del problema
- RFC 6183 - Mediación de exportación de información de flujo de IP (IPFIX): marco
- RFC 6235 - Soporte de anonimización de flujo de IP
- RFC 6313 - Exportación de datos estructurados en Exportación de información de flujo de IP (IPFIX)
- RFC 6526 - Exportación de información de flujo de IP (IPFIX) por flujo de protocolo de transmisión de control de flujo (SCTP)
- RFC 6615 - Definiciones de objetos administrados para la exportación de información de flujo de IP
- RFC 6645 - Contabilidad de información de flujo de IP y metodología de evaluación comparativa de exportaciones
- RFC 6727 - Definiciones de objetos administrados para muestreo de paquetes
- RFC 6728 - Modelo de datos de configuración para los protocolos de exportación de información de flujo de IP (IPFIX) y muestreo de paquetes (PSAMP)
- RFC 6759 - Exportación de información de aplicación de Cisco Systems en Exportación de información de flujo de IP (IPFIX)
- RFC 7011 - Especificación del protocolo de exportación de información de flujo IP (IPFIX) para el intercambio de información de flujo
- RFC 7012 - Modelo de información para la exportación de información de flujo de IP (IPFIX)
- RFC 7013 - Directrices para autores y revisores de elementos de información de exportación de información de flujo de IP (IPFIX)
- RFC 7015 - Agregación de flujo para el protocolo de exportación de información de flujo de IP (IPFIX)
- RFC 7119 - Funcionamiento del protocolo de exportación de información de flujo de IP (IPFIX) en mediadores de IPFIX
- RFC 7125 - Revisión del elemento de información tcpControlBits IP Flow Information Export (IPFIX)
- RFC 7133 - Elementos de información para la medición del tráfico de la capa de enlace de datos
- RFC 7270 - Elementos de información específicos de Cisco reutilizados en la exportación de información de flujo de IP (IPFIX)
- RFC 7373 - Representación textual de tipos de datos abstractos de exportación de información de flujo de IP (IPFIX)
- RFC 8038 - Exportación de variables MIB mediante el protocolo de exportación de información de flujo de IP (IPFIX)
- RFC 8158 - Elementos de información de exportación de información de flujo de IP (IPFIX) para registrar eventos NAT
- RFC 8272 - TinyIPFIX para medidores inteligentes en redes restringidas
- RFC 8549 - Exportación de información de la comunidad BGP en Exportación de información de flujo de IP (IPFIX)
- Explicación de Paessler IT - NetFlow
- Uso de Netflow para almacenar flujos entrantes y salientes agregados
- Las especificaciones y los estándares de AppFlow siguen la discusión
- Comprensión de la animación del principio de NetFlow
- Conceptos básicos de NetFlow y Flow Cache
- Lista de analizadores y recopiladores de Netflow