NetFlow Nedir? | Cisco Ağ Analiz Protokolünün Önemi

Hızlı Bakış

NetFlow teknolojisi ağ üzerindeki veri trafiğini ayrıntılı biçimde kaydediyor. Cisco cihazları bu protokol sayesinde her paket hareketini izliyor. Kaynak adres, hedef adres ve kullanılan uygulama türü gibi bilgileri topluyor. Bu sayede yöneticiler ağdaki darboğazları anında tespit ediyor. Üstelik hangi kullanıcının ne kadar bant genişliği tükettiği de netleşiyor. Bu akış verileri daha verimli bir altyapı tasarımına doğrudan katkı sağlıyor.

Son Güncelleme:
Yazar:
Kategori:Cisco
Okuma Süresi:28 dakika

Ağınızın içinde tam olarak neler döndüğünü hiç merak ettiniz mi? Hangi uygulama bant genişliğini sömürüyor, hangi IP adresi dışarıya garip paketler gönderiyor? İşte bu sorulara ışık tutan efsanevi teknolojinin adı NetFlow.

Yıllardır sahadayım, şunu rahatlıkla söyleyebilirim ki ağ telemetrisi alanında devrim yaratmış bir yapıdır. Aslında NetFlow, ağ cihazlarınız üzerinden akan IP trafik bilgisi hakkında size detaylı metadata sunar.

Paketlerin içeriğine bakmaz, merak etmeyin. Bunun yerine kim kiminle konuşmuş, ne kadar süreyle, hangi protokolü kullanmış gibi kritik soruların cevabını verir.

Bu bilgileri üreten cihazlar genelde Cisco ürünleridir. Cisco’nun ağ teknolojilerindeki konumu sektörde tartışılmaz bir gerçek. On yıllardır kurumsal altyapılara yön veriyor. İşin aslı şu ki bu kadar yaygın olması NetFlow’u de gerçek bir standart yapıyor.

NetFlow Protokolü Tanımı ve Özellikleri

NetFlow Protokolü Nedir: Akış Kaydı (Flow Record) ve Temel Bileşenler

NetFlow dünyasının kalbinde akış kaydı yani flow record kavramı yatar. Bir akış, belirli bir zaman aralığında aynı kaynak ve hedef IP, aynı port numarası ve aynı protokol ile iletilen paketlerin oluşturduğu tek yönlü bir trafik akışıdır.

Her akış sona erdiğinde veya belirli bir zaman aşımına uğradığında, cihaz bu bilgileri bir kayıt halinde paketler. Bu kayıtların tamamına ise ağ trafiği metadatası diyebiliriz.

Haliyle NetFlow, sadece ham veriyi değil, anlamlı ve analiz edilebilir bir veri kümesini mühendisin önüne koyar. Açıkçası benim için Deep Packet Inspection gibi ağır işlemler yapmadan ağın röntgenini çekmenin en şık yoludur.

NetFlow Nasıl Çalışır? Adım Adım Akış Toplama ve Dışa Aktarma Süreci

NetFlow veri toplama ve dışa aktarma süreci diyagramı

Süreci adım adım inceleyelim ki kafanızda tam olarak canlansın. NetFlow nasıl çalışır derseniz, öncelikle işin özünde üç temel aşama olduğunu bilmeniz gerekir.

İlk adımda, ağ cihazı üzerinden geçen paketler incelenir. Yönlendirici veya anahtar, gelen her paketi açar ve özel bir algoritma ile daha önce benzer bir paket görüp görmediğine bakar.

Eğer bu özelliklere sahip bir akış önbelleği (flow cache) mevcut ise sayaçları artırır. Yok ise yepyeni bir akış önbelleği oluşturur ve paket saymaya başlar.

İkinci adımda ise akış süresi dolar veya bağlantı sonlanır. Bu durumda flow cache içerisindeki tüm istatistiksel veriler bir akış kaydı formatında derlenir.

Son adımda ise bu kayıt UDP protokolü üzerinden belirlenen bir akış toplayıcıya doğru yola çıkarılır. Kısacası, NetFlow verileri bu noktada artık işlenmeye hazır ham petrol gibidir.

NetFlow Mimarisi: Exporter, Collector ve Analyzer Rolleri

NetFlow trafik akışını takip eder. Ancak cihazların birbirini nasıl bulduğu da önemlidir. Tam burada komşu cihazları keşfeden CDP devreye giriyor. Katman 2 bağlantılarını şeffaflaştırır. Açık konuşmak gerekirse bu iki protokolü birlikte kullanmalısınız.

NetFlow mimarisi: Exporter, Collector ve Analyzer rolleri diyagramı

Şimdi işin mimari kısmına dalalım. NetFlow ekosistemi üç aktörden oluşan bir tiyatro sahnesi gibidir.

Birinci aktörümüz akış dışa aktarıcı yani flow exporter rolündeki cihazdır. Bu genellikle bir yönlendirici ve anahtar olup, üzerindeki trafiği sürekli gözlemler ve UDP paketleri halinde dışarıya ihraç eder.

İkinci aktörümüz ise akış toplayıcıdır. Bu sunucu veya yazılım, onlarca hatta yüzlerce farklı cihazdan gelen UDP akışlarını dinler ve veri kaybı olmadan disk üzerine yazar.

Üçüncü ve en eğlenceli aktör ise analizördür. Bu yazılım ham veriyi alır, anlamlı grafiklere, pasta grafiklerine veya güvenlik alarmlarına dönüştürür. Şahsi tecrübeme göre bu üçlü yapıyı doğru kurgulamak, sağlam bir ağ performans izleme altyapısının temelidir.

Deneyim
Yıllar önce büyük bir veri merkezinde, ağın neden yavaşladığını bulmak için günlerce paket analizi yapıyorduk. NetFlow mimarisini kurduktan sonra sorunu saniyeler içinde tespit etmeye başladık. Gerçekten hayat kurtarır.

NetFlow Ne İşe Yarar? Ağ Yönetiminde Sağladığı 7 Kritik Fayda

NetFlow çalışma mantığı sadece teknik bir merak değil, aynı zamanda iş sürekliliğinin de cevabıdır. Bu teknolojinin sağladığı faydalar saymakla bitmez fakat ben size en can alıcı yedi tanesini sıralayayım.

Birinci fayda, ağ körlüğünü ortadan kaldırmasıdır. Artık hangi departmanın ne kadar bant genişliği tükettiğini tahmin etmez, doğrudan raporlarsınız.

İkincisi, ağ adli bilişimi (network forensics) açısından paha biçilmezdir. Bir güvenlik ihlali olduğunda, olay anındaki tüm bağlantı kayıtları NetFlow sayesinde elinizin altında olur.

Üçüncü olarak maliyet optimizasyonu gelir. Operatörler arası BGP geçişlerinizi NetFlow analizi ile izleyerek transit maliyetlerinizi yüzde yirmilere varan oranlarda düşürebilirsiniz.

Dördüncüsü ise kesintisiz hizmet kalitesi sunmaktır. QoS politikalarınızın gerçekten işe yarayıp yaramadığını yalnızca bu teknoloji ile net bir şekilde görebilirsiniz.

Beşincisi kapasite planlamasıdır. Yöneticiler genelde “hadi yeni switch alalım” der fakat hangi portun dolduğunu bilmezler. NetFlow ile darboğazları öngörmek son derece basitleşir.

Altıncı fayda ise faturalandırma için doğru veri sağlamasıdır. Özellikle servis sağlayıcılar, müşterilerine kullanım bazlı fatura kesmek için bu verilere muhtaçtır.

Yedinci ve en sevdiğim fayda ise anomali tespiti yapabilme yeteneğidir. Bir botnet saldırısı sırasında oluşan anormal bağlantı desenlerini anında fark edersiniz.

NetFlow ile Bant Genişliği Analizi ve Kapasite Planlaması

Ağ izleme araçlarının faydalarını gösteren infografik

Bant genişliği izleme denince akla ilk gelen çözüm genellikle SNMP olur. Simple Network Management Protocol bize arayüzün ne kadar dolu olduğunu söyler. Ancak bu doluluğa kimin sebep olduğunu asla açıklayamaz.

İşte bu noktada NetFlow imdadımıza yetişir. Bu teknoloji sayesinde beş dakikalık aralıklarla hangi uygulamanın, hangi kullanıcının veya hangi protokolün hattı tıkadığını tek bir tıklamayla görebilirsiniz.

Açıkçası yıllardır ağ yönetimi yapan biri olarak şunu rahatlıkla iddia ediyorum. Sağlam bir kapasite planlaması yapmak için ağ trafiği izleme NetFlow olmadan imkansıza yakındır.

Ayrıca, BGP geçiş maliyetlerini düşürmek güzel bir kazanım. Ancak ağ yedekliliği senaryoları da trafik desenini değiştirir. Paketler gidiş dönüşte farklı yollar izler. İşin özüne inecek olursak NetFlow asimetrik rotalamayı hemen gösterir. Bu sayede yedekli yapınızın verimini doğrulamış olursunuz.

Bant genişliğini analiz ederken, NetFlow ile bant genişliği analizi yapmak size sadece anlık durumu göstermez. Trend analizleri ile önümüzdeki üç ay içinde hangi bağlantı noktasının tıkanacağını şimdiden kestirebilirsiniz.

Böylece bütçe toplantılarında elinizde somut verilerle “bu hattı yükseltmeliyiz” deme şansı yakalarsınız. Yoksa tahminlerle yapılan yatırımların sonu hep hüsran olur.

İpucu
Bant genişliği raporlarınızı üst yönetime sunarken mutlaka “Top Talkers” yani en çok konuşanlar listesini ekleyin. Yönetimin işi gücü bırakıp bu listeyi incelemesi, ağınızın önemini anlamaları için en iyi yoldur.

NetFlow Kullanım Alanları: Güvenlik Analizi ve Anomali Tespiti

Bant genişliği kullanımını analiz eden grafikler

NetFlow kullanım alanları arasında güvenlik benim için her zaman bir numarada olmuştur. Geleneksel güvenlik duvarları sadece izin verilen veya reddedilen trafiği kaydederken, NetFlow ağın içindeki yatay hareketleri dahi gözler önüne serer.

Bir makine birden fazla hedefi tarıyorsa alarm verir. Bu durumda port güvenliği ihlalleri de cabası olur. Switch portunu otomatik kapatabilirsiniz. Gerçek şu ki NetFlow size saldırıyı gösterir. Port Security ise saldırıyı doğrudan durdurur. İkisini entegre etmek ağ güvenliğinde fark yaratır.

Güvenlik analizi bağlamında bu teknolojiyi kullanarak aşağıdaki kritik tehditleri kolayca tespit edebilirsiniz.

  • Veri Sızıntısı Tespiti: Aniden yurt dışındaki bilinmeyen bir IP adresine doğru yüzlerce gigabyte veri akışı başlarsa, NetFlow bu anormal trafiği hemen yakalar.
  • DDoS Saldırı Analizi: Saldırı anında milyonlarca sahte kaynak IP adresinden gelen SYN paketlerini, SNMP’den farklı olarak türlerine göre sınıflandırabilirsiniz.
  • İç Tehditler ve Solucan Yayılımı: Ağ içerisinde bir makine birden fazla yüzlerce farklı hedefe aynı porttan (özellikle 445) bağlantı kurmaya çalışıyorsa, bu bir zararlı yazılımın habercisidir.
  • Coğrafi Anomali: Normal şartlarda yalnızca Türkiye’deki sunucularla konuşan bir muhasebe bilgisayarı, bir anda Çin’deki bir IP bloğuna çıkış yapıyorsa alarm zilleri çalar.
  • DNS Tünelleme Tespiti: Ağ trafiği metadatası içinde DNS sorgularının boyutlarındaki dengesiz büyüme, veri hırsızlığı girişimlerinin en belirgin işaretidir.
  • Şifreli Trafik Analizi: Günümüzde trafiğin yüzde doksanı şifreli olsa da NetFlow, JA3 parmak izleri sayesinde şifreli bağlantının arkasında ne tür bir yazılımın olduğunu tahmin edebilir.

Hizmet Kalitesi (QoS) ve Faturalandırma Amaçlı NetFlow Kullanımı

Ağ güvenliği ve anomali tespiti konsepti

Hizmet kalitesi (QoS) politikaları genellikle yanlış yapılandırılır veya hiç kontrol edilmez. NetFlow burada devreye girerek, sınıflandırdığınız trafiğin gerçekten doğru kuyruğa girip girmediğini doğrulamanızı sağlar.

Örneğin ses trafiğine öncelik veren bir kural yazdınız. Ama ya çalışanlar Zoom yerine başka bir uygulama kullanıyorsa? NetFlow analizi ile ses trafiğinin DSCP işaretlemelerini anlık olarak izleyip politikanızın ihlal edilip edilmediğini görebilirsiniz.

Faturalandırma tarafında ise durum daha da kritik bir hal alır. Özellikle büyük ölçekli hizmet sağlayıcılar için NetFlow ve IPFIX verileri, muhasebe departmanının temel dayanağıdır.

Her bir müşteri için aylık toplam trafik hacmini, pik kullanım zamanlarını ve uluslararası çıkış trafiğini kuruşu kuruşuna hesaplamak ancak bu akış kayıtları ile mümkündür. Tahmini fatura kesme devri çoktan kapandı.

Gerçek
2026 yılı itibarıyla Tier-1 operatörlerin neredeyse tamamı, müşterilerine kullanım bazlı faturalandırma yaparken sFlow yerine tam NetFlow veya IPFIX verisini tercih etmektedir. Bunun sebebi, sFlow’un örnekleme yapması nedeniyle yüzde beşe varan sapmaların milyon dolarlık faturalarda büyük sorun yaratmasıdır.

NetFlow Versiyonları: v5, v9 ve IPFIX Arasındaki Kritik Farklar

Gelelim işin en çok kafa karıştıran kısmına: NetFlow versiyonları. Piyasada hala v5 duyanlar var, “v9’a ne gerek var” diyenler var. Oysa aralarındaki fark gece ile gündüz kadar nettir.

Bu bölümde sizi teknik detaylara boğmadan, sahada hangi sürümün ne işe yaradığını ve hangi durumda hangisini seçmeniz gerektiğini masaya yatıracağız.

Unutmayın, yanlış versiyon seçimi yapmak, analizörünüzün verileri yanlış yorumlamasına veya en kritik bilgileri kaçırmanıza sebep olabilir.

NetFlow v5: Sabit Formatın Gücü ve Sınırlamaları

ÖzellikNetFlow v5 Detayı
Yayınlanma Tarihi1990’ların sonu (Efsanevi stabilite)
Format YapısıSabit (Fixed) Format. Her kayıt aynı boyutta.
Desteklenen Alan SayısıSadece 7 temel alan. (Kaynak/Hedef IP, Port, Protokol, ToS, Arayüz vs.)
IPv6 DesteğiYok. IPv6 trafiğini göremez, atlar.
MPLS ve BGP DesteğiDesteklemez. AS numarası bilgisi taşımaz.
Performans EtkisiÇok düşük CPU tüketimi. Eski cihazlarda bile rahat çalışır.
Günümüzde Kullanım DurumuSadece IPv4 ağlarda temel bant genişliği izleme için.

NetFlow v5 tam bir emektardır. Yıllarca bize sadakatle hizmet etti ve hala küçük işletmelerin temel ihtiyaçlarını karşılamaya devam ediyor.

Ancak günümüz modern ağlarında IPv6 ve MPLS gibi teknolojiler standart haline geldi. Dolayısıyla v5’i kullanmaya devam etmek, trafiğinizin neredeyse yarısını görmemek anlamına gelir.

Şayet ağınızda hala NetFlow v5 kullanıyorsanız, size tavsiyem bir an önce bir üst seviyeye geçiş planlaması yapmanızdır.

NetFlow v9: Esnek ve Genişletilebilir Şablon Tabanlı Yaklaşım

NetFlow v9 önceki sürümün tüm sınırlamalarını ortadan kaldırmak için sıfırdan tasarlanmış bir canavardır. Artık veri formatı sabit değil, şablon tabanlıdır.

Bu ne demek? Cihaz, dışa aktaracağı verinin şablonunu önce bir kereye mahsus olarak akış toplayıcıya gönderir. Ardından sadece veriyi taşıyan paketleri yollar.

Bu sayede NetFlow, IPv6 adresleri, MAC adresleri, MPLS etiketleri, BGP AS numaraları ve hatta uygulama ID’leri gibi onlarca farklı parametreyi aynı anda taşıyabilir.

NetFlow versiyonları arasında en yaygın ve güçlü olan budur. Özellikle Cisco NetFlow deneyimi yaşamak istiyorsanız, mutlaka v9’un nimetlerinden faydalanmalısınız.

Konfigürasyon yapmadan önce bir adım geri gidelim. Router başlangıç aşamaları bazen beklenmedik sürprizler sunar. Yazılım yüklenmezse NetFlow da çalışmaz. Şunu da eklemeden geçmeyeyim; POST testi geçmezse akış toplama devre dışı kalır.

Esnekliği sayesinde ağ cihazı izleme işlemlerinde raporlama kaliteniz tavan yapar. Artık sadece kimin konuştuğunu değil, hangi BGP rotası üzerinden konuştuğunu da bilirsiniz.

NetFlow ve IPFIX: IETF Standardına Geçiş

Peki IPFIX nedir ve NetFlow ile bağı nedir? İşte dananın kuyruğunun koptuğu yer tam olarak burasıdır. IPFIX, açılımı IP Flow Information Export olan ve IETF tarafından standartlaştırılmış bir protokoldür.

Aslında IPFIX, NetFlow v9’un şablon mekanizmasını birebir temel alır. Hatta Cisco, v9’u geliştirdikten sonra bunu endüstriye açmış ve IETF de RFC 7011 olarak standarda dönüştürmüştür.

NetFlow ve IPFIX arasındaki temel fark, birinin Cisco’ya özel bir marka, diğerinin ise evrensel bir standart olmasıdır. Günümüzde çoklu satıcılı (Cisco, Juniper, Huawei) ortamlarda IPFIX kullanmak şarttır.

Aksi takdirde Juniper’dan gelen J-Flow ile Cisco’dan gelen NetFlow verilerini aynı toplayıcıda birleştirmekte zorlanabilirsiniz. IPFIX sayesinde tüm cihazlar aynı dili konuşur.

Tavsiye
Yeni bir projeye başlıyorsanız, cihazlarınız destekliyorsa doğrudan IPFIX ile başlayın. Bu, sizi gelecekteki satıcı bağımlılığından kurtarır ve daha zengin bir veri seti sunar.

NetFlow vs sFlow vs J-Flow: Akış Protokollerinin Karşılaştırması

Piyasada o kadar çok kısaltma uçuşuyor ki insanın kafası karışabiliyor. NetFlow vs sFlow karşılaştırması bu anlamda en çok yapılan kritik tercihlerden biridir.

Bunun yanında Juniper J-Flow ve Huawei NetStream gibi rakipler de var. Hadi gelin bu protokollerin inceliklerini birlikte masaya yatıralım.

Hangisinin daha iyi olduğunu söylemek doğru olmaz. Her birinin kullanılması gereken doğru bir senaryo ve ağ tipi mevcuttur.

NetFlow vs sFlow: Örnekleme ve Doğruluk Farkları

NetFlow, sFlow ve J-Flow protokolleri karşılaştırma tablosu

KriterNetFlow (ve IPFIX)sFlow
Veri Toplama YöntemiÖrnekleme veya tam akış (1:1). Genellikle yazılım tabanlı CPU işlemi.Donanım tabanlı rastgele paket örneklemesi. ASIC seviyesinde çalışır.
Doğruluk SeviyesiÇok yüksek. Özellikle bant genişliği raporlamada kusursuza yakın.Yaklaşık değer. Örnekleme oranına bağlı olarak yüzde 2-5 sapma olabilir.
Kaynak TüketimiYüksek ölçekli ağlarda cihaz CPU’sunu etkileyebilir.Son derece düşük. Cihaz performansına neredeyse hiç etkisi yoktur.
Detay SeviyesiUygulama bazlı analiz, QoS işaretlemeleri, BGP AS bilgisi.Genellikle genel arayüz istatistikleri ve temel başlık bilgileri.
Kullanım AlanıKurumsal WAN bağlantıları, güvenlik analizi, faturalandırma.Yüksek hızlı veri merkezi omurgaları (40G/100G/400G).

sFlow’un en büyük avantajı hızdır. 100 Gigabit’lik bir hatta NetFlow çalıştırmak bazen imkansızken, sFlow ASIC üzerinde çalıştığı için hiç terlemez.

Ancak güvenlik analizi veya tam doğru faturalandırma söz konusu olduğunda, sFlow’un sunduğu yaklaşık veriler çoğu zaman yetersiz kalır.

Bana sorarsanız, omurga seviyesinde hız için sFlow, uç noktalarda derinlik için ise NetFlow tercih edilmelidir. Her ikisini birden kullanan hibrit mimariler de oldukça popülerdir.

Cisco NetFlow, Juniper J-Flow ve Huawei NetStream Arasındaki Uyumluluk

Cisco NetFlow piyasanın tartışmasız lideri ve isim babasıdır. Ancak diğer üreticiler de kendi çözümlerini farklı isimlerle sunarlar.

Juniper cihazlarda bu teknolojinin adı J-Flow olarak geçer. Huawei ise NetStream ismini kullanır. Her ne kadar isimleri farklı olsa da temelde hepsi aynı mantıkla çalışır.

Özellikle son yıllarda bu protokollerin neredeyse tamamı IPFIX standardını desteklemeye başlamıştır. Yani bir Juniper cihazından çıkan J-Flow verisini IPFIX formatında dışa aktarabilirsiniz. Sonrasında, Cisco için yazılmış bir NetFlow collector ile sorunsuzca okuyabilirsiniz.

Buna rağmen saha tecrübelerime dayanarak söylüyorum, en sorunsuz ve en zengin veri seti her zaman Cisco NetFlow konfigürasyonuyla alırsınız. Diğer üreticiler bazen belirli alanları eksik gönderebilir.

Bu sebeple çoklu satıcılı ortamlarda toplayıcı seçimi yaparken mutlaka uyumluluk listesini kontrol edin. Yoksa analiz ekranında boş sütunlar görmek can sıkıcı olabilir.

NetFlow Konfigürasyonu: Cisco Cihazlarda Adım Adım Kurulum Rehberi

Lafı fazla uzatmadan işin mutfağına girelim. NetFlow konfigürasyonu sanıldığı kadar zor değildir, birkaç temel komutla ağınızı konuşturmaya başlayabilirsiniz.

Bu rehberde size en yaygın kullanılan Cisco IOS-XE ve klasik IOS komutlarını göstereceğim. Unutmayın, konfigürasyon yapmadan önce cihazın bu özelliği desteklediğinden emin olun.

Uyarı
NetFlow’u aktif etmek, özellikle düşük kapasiteli şube yönlendiricilerinde CPU kullanımını artırabilir. Konfigürasyon sonrası mutlaka süreç izleme yapın.

Temel Cisco NetFlow Konfigürasyonu Komutları

Cisco cihazda NetFlow konfigürasyon komutları

Öncelikle cihazınıza bağlanıp yapılandırma terminaline girin. İşlemleri sırasıyla takip edelim.

Router> enable
Router# configure terminal

İlk adımda hangi arayüz üzerinde NetFlow toplamak istediğimizi belirleyelim. Genellikle bu WAN arayüzü veya VLAN arayüzüdür.

Router(config)# interface GigabitEthernet0/0/1
Router(config-if)# ip flow ingress
Router(config-if)# ip flow egress
Router(config-if)# exit

Bu komutlar ile arayüze giren ve çıkan tüm trafiği kaydetmeye başladık. Şimdi bu verileri nereye göndereceğimizi tanımlayalım.

Router(config)# ip flow-export destination 192.168.1.100 2055
Router(config)# ip flow-export version 9
Router(config)# ip flow-export template refresh-rate 15

Bu komutlar, NetFlow exporter rolünü üstlenen cihazımızın, verileri 192.168.1.100 IP adresindeki akış toplayıcıya 2055 numaralı UDP portundan göndermesini sağlar.

Son olarak örnekleme yapmak isterseniz, özellikle yüksek trafikli arayüzlerde performans için bu şarttır.

Router(config)# interface GigabitEthernet0/0/1
Router(config-if)# flow-sampler-map BENIM_ORNEKLEME
Router(config-if)# exit

NetFlow Doğrulama ve Sorun Giderme Komutları

Cisco arayüzünde IP Flow komutları

Konfigürasyonu yaptıktan sonra her şeyin yolunda gittiğini kontrol etmezseniz, karanlıkta göz kırpmış olursunuz. İşte kullanmanız gereken temel kontroller.

  • show ip flow interface: Hangi arayüzlerde NetFlow’un aktif olduğunu listeler. Bu komutla ingress veya egress toplama işlemini teyit edin.
  • show ip cache flow: Akış önbelleğinin anlık bir dökümünü verir. Burada aktif bağlantıları ve sayaçları görebilirsiniz. Trafiğin anlık olarak işlendiğinin kanıtıdır.
  • show ip flow export: Dışa aktarım istatistiklerini gösterir. Gönderilen toplam paket sayısı ve hedef sunucu bilgisi burada yer alır. Eğer sayaç artmıyorsa, UDP bağlantısında sorun var demektir.
  • debug ip flow export: Sorun gidermenin en detaylı ama tehlikeli yöntemidir. Canlı sistemde dikkatli kullanın. Paketlerin hedefe gidip gitmediğini görmek için birebirdir.
  • show flow exporter statistics: Modern IOS-XE sürümlerinde Flexible NetFlow için kullanılır. Hatalı paket veya şablon sorunlarını buradan yakalayabilirsiniz.

NetFlow Analizi ve İzleme Araçları: Veriyi Anlamlandırmak

Ham veriyi toplamak işin sadece yarısıdır. Asıl marifet bu veriyi okuyup anlamlandırmakta gizlidir. NetFlow analizi için doğru aracı seçmek, projenizin başarısını doğrudan etkiler.

Piyasada ücretsiz açık kaynak çözümlerden, astronomik fiyatlı kurumsal yazılımlara kadar onlarca seçenek mevcut. Gelin size en çok işe yarayanları anlatayım.

En Popüler NetFlow Collector ve Analyzer Yazılımları

İşte sahada en sık karşılaştığım ve gönül rahatlığıyla önerebileceğim ticari ve ücretsiz araçlar.

  • SolarWinds NetFlow Traffic Analyzer (NTA): Piyasanın tartışmasız kralıdır. Özellikle büyük kurumsal yapılar için ağ performans izleme konusunda eşsizdir. NetFlow verilerini PerfStack özelliği ile diğer metriklerle ilişkilendirir.
  • PRTG Network Monitor: Hem SNMP hem de NetFlow toplama yeteneğine sahip esnek bir canavardır. 100 sensöre kadar ücretsiz olması, KOBİ’ler için bulunmaz bir nimettir.
  • ManageEngine NetFlow Analyzer: Bant genişliği izleme ve trafik şekillendirme raporları konusunda son derece başarılıdır. Özellikle Cisco cihazlarla uyumu mükemmeldir.
  • Scrutinizer (Plixer): Güvenlik analizi ve anomali tespiti konusunda uzmanlaşmış bir araçtır. Sadece kimin ne kadar veri indirdiğini değil, bu verinin bir tehdit olup olmadığını da söyler.
  • ntopng: Tamamen açık kaynak kodlu, web tabanlı harika bir arayüze sahip bir çözümdür. Topluluk sürümü bile birçok ticari üründen daha iyi iş çıkarır.
Not
Ticari araçlar lisans maliyeti çıkarırken, açık kaynak çözümler işletme maliyeti (bakım, güncelleme, entegrasyon) çıkarır. Seçim yaparken toplam sahip olma maliyetini hesaba katın.

Açık Kaynak NetFlow İzleme Çözümleri: nfdump ve ELK Stack

SolarWinds ve PRTG network monitor arayüzleri

Bütçesi kısıtlı olanlar veya teknolojiye hakim olup her şeyi kendi kontrol etmek isteyenler için açık kaynak dünyası cennettir. NetFlow izleme için iki efsanevi kombinasyon vardır.

Birincisi nfdump ve NFSen ikilisidir. nfdump, komut satırından çalışan inanılmaz hızlı bir akış toplayıcıdır. Verileri ikili formatlarda saklar ve saniyeler içinde milyonlarca kayıt içinde arama yapmanızı sağlar.

NFSen ise nfdump’ın web arayüzüdür. Grafikleri biraz nostaljik görünse de işlevsellik olarak rakipsizdir. Profesyonel hayatımda birçok kez bu ikilinin hayat kurtardığına şahit oldum.

İkinci ve daha modern seçenek ise ELK Stack (Elasticsearch, Logstash, Kibana) kombinasyonudur. Logstash üzerindeki NetFlow codec bileşeni sayesinde akışları doğrudan Elasticsearch’e yazabilirsiniz.

Ardından Kibana üzerinde harikulade dashboard’lar oluşturabilir, makine öğrenmesi ile geleceğe dönük kapasite planlaması yapabilirsiniz. Bu yöntem, ağ adli bilişimi sırasında petabaytlarca veriyi sorgulamak için idealdir.

Elbette ELK kurmak ve yönetmek biraz emek ister. Ancak karşılığında elde ettiğiniz esneklik ve ölçeklenebilirlik her şeye değer.

İleri Okuma ve Derinlemesine Kaynaklar

Bu rehberde NetFlow ekosistemine dair kapsamlı bir bakış sunduk. Ancak bu teknolojinin derinliği, sürekli güncellenen standartları ve üreticiye özel detaylarıyla daha da büyüleyicidir.

Daha ileri düzeyde bilgi edinmek ve birincil kaynaklara başvurmak isteyen okuyucular için aşağıda sektörün en saygın ve güvenilir dört kaynağını listeledim.

  • Cisco NetFlow v9 Yapılandırma Kılavuzu (IPv6): Konfigürasyon bölümümüzde temellere değindik. Üreticinin kendi belgelerinden daha otoriter bir kaynak olamaz. Özellikle IPv6 ve şablon tabanlı yapılandırmayla ilgili en güncel ve doğru bilgiler için Cisco’nun resmi NetFlow v9 for IPv6 konfigürasyon rehberini incelemenizi şiddetle tavsiye ederim.
  • IPFIX Standardı: IETF RFC 7011: Makalede IPFIX’in evrensel standart olduğundan bahsettik. Bu protokolün anayasası niteliğindeki belge, IETF tarafından yayınlanan RFC 7011’dir. Ağ mühendisliğinde referans alınan en üst düzey kaynaklardan biri olan bu dokümana RFC 7011: Specification of the IP Flow Information Export (IPFIX) Protocol bağlantısından ulaşabilirsiniz.
  • NetFlow v9 Formatının Teknik Spesifikasyonu: RFC 3954: IPFIX’in temelini oluşturan Cisco NetFlow Version 9’un veri aktarım formatı, bir başka önemli RFC olan 3954’te detaylandırılmıştır. Bu bilgilendirici RFC, v9’un şablon tabanlı esnek yapısını derinlemesine anlamak için eşsiz bir kaynaktır. Belgeye RFC 3954: Cisco Systems NetFlow Services Export Version 9 üzerinden göz atabilirsiniz.
  • Açık Kaynak NetFlow Toplayıcı: pmacct Projesi: Analiz araçları bölümünde açık kaynak çözümlerin gücüne vurgu yapmıştık. Sektörde kendini kanıtlamış, son derece esnek ve güçlü bir diğer proje ise pmacct’tir. NetFlow, sFlow ve IPFIX dahil birçok protokolü destekler. Bu çok amaçlı izleme aracını pmacct GitHub deposundan inceleyebilir ve kendi ortamınızda test edebilirsiniz.

Ağ Trafiğinin Röntgeni: NetFlow Hakkında En Can Alıcı 6 Soru

Bu akış teknolojisi paketlerin içeriğini okuyup gizliliğimi ihlal eder mi?

Kesinlikle hayır, işte en çok sevdiğim özellik de tam olarak bu. Bu mekanizma bir kargo takip sistemi gibi çalışır. Kutunun içinde ne olduğunu bilmez. Sadece zarfın üzerindeki adresi, pulu ve gönderim tarihini okur.
Yani sistem IP başlık bilgilerine odaklanır. Kaynak IP, hedef IP, port numaraları ve kullanılan protokol gibi metaverilere bakar. Bir e-postanın gövdesini veya bir web sayfasının içindeki görseli asla kaydetmez.
Açıkçası günümüzde trafiğin yüzde doksanı zaten uçtan uca şifrelidir. Bu durumda içeriğe erişmek teknik olarak imkansızdır. Ama bu analiz yöntemi şifreli trafiğin bile nereden nereye aktığını gösterir.
Böylece güvenlik ekibiniz veri sızıntısını tespit eder. Fakat hiçbir zaman hangi dosyanın çalındığını göremez. Sadece muhasebe sunucusundan bilinmeyen bir ülkeye anormal miktarda bağlantı kurulduğunu fark eder. Gizlilikle performans analizi arasındaki altın oran budur.

Sıradan SNMP izleme ile bu kadar uğraşmak yerine neden ek bir sistem kurayım?

SNMP size sadece borunun ne kadar dolu olduğunu söyleyen bir basınç ölçerdir. Borunun tıkandığını görürsünüz ama bu tıkanıklığa kimin sebep olduğunu bulmak için günlerce uğraşırsınız.
Bahsettiğimiz akış analizi ise size borunun içinde yüzen her bir veri zerresinin pasaportunu uzatır. Hangi uygulama o an sunum yapıyor? Kim gereksiz video indiriyor? Hangi sunucu arıza çıkarmak üzere? Bu soruların cevabını anlık alırsınız.
Üstelik SNMP beş dakikalık ortalama değerlerle çalışır. Anlık patlamaları ve mikrosaniyelik kesintileri tamamen kaçırabilir. Bu teknoloji sayesinde milisaniyelik bağlantı kopmalarını bile kayıt altına alabilirsiniz.
Kapasite planlaması yaparken SNMP ile kör uçuş yaparsınız. Oysa Cisco’nun bu telemetri verileriyle üç ay sonra hangi bağlantı noktasının tıkanacağını kestirebilirsiniz. Sonuçta ağ yönetiminde biri ‘Ne oldu?’ der, diğeri ‘Neden oldu?’ diye açıklar. Siz ikinci gruptan olun.

v5 sürümü hala iş görür mü yoksa v9’a geçmek şart mı?

v5 tam bir emektar, efsanevi stabilitesini kimse inkar edemez. Küçük bir ofiste sadece internetin hızını kimin yediğini merak ediyorsanız v5 işinizi fazlasıyla görür. Kaynak tüketimi neredeyse sıfırdır.
Fakat modern bir ağınız varsa v5 ile karanlıkta yol yürümeye çalışırsınız. Bu sürüm IPv6’yı hiç tanımaz. Trafiğin yarısı gözünüzün önünden kayıp gider. MPLS etiketlerini ve BGP yol bilgilerini de desteklemez.
v9 ise esnek şablon yapısıyla tam bir canavardır. Cihaz önce verinin haritasını gönderir, sonra sadece rakamları akıtır. Bu sayede MAC adresinden tutun da uygulama kimliğine kadar onlarca farklı parametreyi aynı anda taşıyabilirsiniz.
Dolayısıyla güvenlik analizi veya detaylı raporlama hedefliyorsanız v5 sizi yarı yolda bırakır. Servis sağlayıcılar için v5 kullanmak müşteriye eksik fatura kesmekle eşdeğerdir. Günümüz standartlarında geçiş yapmak bir lüks değil zorunluluktur.

100 Gigabit’lik omurgada CPU’yu şişirmeden bu analizi nasıl yapabilirim?

İşte tam da bu noktada işin içine örnekleme tabanlı çözümler girer. Yüksek hızlı omurgalarda her paketi tek tek saymaya kalkmak donanımı çökertir. Cihazın asli görevi paket iletmeyi unutup sadece sayım yapmaya başlar.
Bunun için sFlow gibi donanım seviyesinde çalışan bir yardımcı kullanmak akıllıcadır. sFlow ASIC üzerinde rastgele paket seçimi yapar. Her bin paketten belki bir tanesini örnekler. Bu sayede 400G’lik bir hatta bile CPU kullanımı yüzde biri geçmez.
Fakat örnekleme yapmak detay kaybına yol açar. Faturalandırmada yüzde ikilik bir sapma milyon dolarlık hatalara mal olabilir. Güvenlikte ise küçük bir sızıntı paketi örneklemeye hiç takılmayabilir.
Bana sorarsanız en doğru strateji hibrit mimaridir. Çekirdek omurgada hız için örnekleme mekanizmasını kullanın. Uç noktalarda ve WAN çıkışlarında ise kesin doğruluk için tam akış analizine başvurun. Neticede her ikisi de aynı ağ telemetrisi ailesinin değerli üyeleridir.

Bir güvenlik ihlali anında bu veriler bana tam olarak ne anlatır?

Saldırı anında güvenlik duvarı logları genelde ‘bağlantı kesildi’ der ve susar. Bu veri seti ise size olayın tam bir sinematik kaydını sunar. Saldırgan ağa nereden girdi? Hangi sunuculara yanlamasına hareket etti? Veriyi nereye sızdırmaya çalıştı? Hepsini görürsünüz.
Bir anda muhasebe bilgisayarının yüzlerce farklı iç IP’ye 445 numaralı porttan bağlanmaya çalıştığını fark ettiğinizi düşünün. Bu kesinlikle bir fidye virüsünün yayılma emaresidir. Başka hiçbir sistem size bu yatay hareketi bu netlikte gösteremez.
Keza DNS sorgularının normalin üç katına çıkması da çok şey anlatır. Bu genelde veri hırsızlarının DNS tünelleme yöntemiyle bilgi kaçırdığına işarettir. Aynı şekilde coğrafi anomali de cabasıdır. Türkiye’den başka bir ülkeyle işi olmayan bir makine Çin’deki bir IP’ye veri pompalıyorsa alarm zilleri çalar.
Zira bu teknoloji adli bilişim için paha biçilmez bir zaman makinesidir. Olay gerçekleştikten haftalar sonra bile o ana geri dönüp hangi bağlantıların kurulduğunu inceleyebilirsiniz. Paket içeriğine bakmadan bile tehdit avcılığı yapmanın en şık yoludur.

Cisco cihazım yok, Juniper veya Huawei ile bu yapıyı kurabilir miyim?

Elbette kurabilirsiniz, endüstri artık tek bir satıcının tekelinde değil. Juniper bu teknolojiye J-Flow adını verir. Huawei ise NetStream ismini kullanır. Temelde hepsi aynı kapıya çıkar. Hepsi trafiğin kimlik bilgilerini toplayıp dışa aktarır.
Sorun genelde terminolojide değil, uyumluluktadır. Eskiden her üretici kendi formatında veri ihraç ederdi. Bir Juniper’dan gelen J-Flow kaydını Cisco’nun toplayıcısında açmak tam bir işkenceydi. Alanlar kayar, veriler anlamsızlaşırdı.
Fakat IPFIX standardı bu duvarları tamamen yıktı. Bu standart IETF tarafından onaylanmış evrensel bir dildir. Yeni nesil tüm cihazlar IPFIX formatında dışa aktarım yapabilir. Bu sayede Huawei’den gelen veriyi Cisco için yazılmış bir yazılımla sorunsuz işlersiniz.
Buna karşın saha tecrübelerime dayanarak söylemeliyim ki en zengin veri seti genelde Cisco’nun kendi ekipmanlarından gelir. Diğer üreticiler bazen bazı opsiyonel alanları es geçebilir. Bu yüzden çoklu satıcılı bir ortamda IPFIX’i zorunlu tutarak ilerlemek en akıllıca yatırım olacaktır.

Sonuç: NetFlow ile Ağınızı Görünür Kılın

Gördüğünüz gibi NetFlow, modern ağ yönetiminin vazgeçilmez bir yapı taşıdır. Ağınızda olup biteni anlamanın en şık, en verimli ve en doğru yollarından biridir.

İster basit bir bant genişliği izleme yapın, ister karmaşık bir güvenlik analizi hedefleyin. NetFlow size ihtiyacınız olan derinlemesine görünürlüğü sunacaktır.

Artık ağınızın karanlıkta kalmasına izin vermeyin. Hemen bugün bir akış toplayıcı kurun ve ağınızın gerçek hikayesini dinlemeye başlayın. Emin olun duyacaklarınız sizi çok şaşırtacak.

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

Tolga Bagci

PRO

Bilgisayar Uzmanı Sistem Sanallaştırma

Merhaba, ben Tolga, 20 yıllık tecrübeye sahip bilgisayar uzmanıyım. Donanım, sistemler, ağlar, sanallaştırma, sunucular ve işletim sistemleri gibi bilgisayar sorunlarının giderilmesine yardımcı oluyorum. Yararlı bilgiler için web siteme göz atın ve bana herhangi bir şey sormaya çekinmeyin. En yeni teknolojilerden haberdar olun!

1240 Makale

İlk yorumu sen paylaş