Netflow ja IPFIX on mõlemad tehnoloogiad, mida kasutatakse võrguvoolu jälgimiseks ja analüüsimiseks. Need pakuvad ülevaate võrguliikluse mustritest, aidates jõudluse optimeerimisel, tõrkeotsingul ja turvaanalüüsil.
Netflow:
Mis on Netflow?
Netflowon algselt voolu jälgimise lahendus, mille Cisco algselt välja töötas 1990ndate lõpus. On olemas mitu erinevat versiooni, kuid enamik juurutusi põhineb kas Netflow V5 või Netflow V9. Kuigi igal versioonil on erinevad võimalused, jääb põhitoiming samaks:
Esiteks jäädvustab ruuter, lüliti, tulemüür või mõni muu seade, mis hõlmab teavet võrgus „voolab” - põhimõtteliselt pakettide komplekti, millel on ühised omadused, nagu lähte- ja sihtkoha aadress, lähte- ja sihtpordi ning protokolli tüüp. Pärast voolu seismist või eelnevalt määratletud aja möödumist ekspordib seade voo kirjed üksusesse, mida tuntakse „voolukogujana”.
Lõpuks mõistab “Flow Analyzer” neid kirjeid, pakkudes teadmisi visualiseerimiste, statistika ning üksikasjaliku ajaloolise ja reaalajas aruandluse vormis. Praktikas on kollektsionäärid ja analüsaatorid sageli üks üksus, mis on sageli ühendatud suuremaks võrgu jõudluse seirelahenduseks.
Netflow tegutseb riiklikult. Kui kliendi masin jõuab serverisse, alustab Netflow metaandmete jäädvustamist ja koondamist voolust. Pärast seansi lõpetamist ekspordib Netflow kollektsionäärile ühe täieliku kirje.
Ehkki seda kasutatakse endiselt, on Netflow V5 -l mitmeid piiranguid. Eksporditud väljad on fikseeritud, seiret toetatakse ainult sissetungisuunas ja tänapäevaseid tehnoloogiaid nagu IPv6, MPLS ja VXLAN ei toetata. Netflow V9, mida nimetatakse ka kui paindlik Netflow (FNF), käsitleb mõnda neist piirangutest, võimaldades kasutajatel ehitada kohandatud malle ja lisada tuge uuematele tehnoloogiatele.
Paljudel müüjatel on ka Netflowi omanduses olevad rakendused, näiteks JFLOW Huaweist pärit Juniper ja Netstream. Kuigi konfiguratsioon võib mõnevõrra erineda, tekitavad need rakendused sageli voolukirjeid, mis ühilduvad Netflow kollektsionääride ja analüsaatoriga.
Netflow peamised omadused:
~ Vooluandmed: Netflow genereerib voolukirjeid, mis sisaldavad selliseid üksikasju nagu lähte- ja sihtkoha IP -aadressid, pordid, ajatemplid, pakett- ja baitide arv ning protokolli tüübid.
~ Liikluse jälgimine: Netflow pakub võrguliikluse mustrites nähtavust, võimaldades administraatoritel tuvastada tipprakendusi, lõpp -punkte ja liiklusallikaid.
~Anomaalia tuvastamine: Vooluandmete analüüsimisel suudab Netflow tuvastada selliseid kõrvalekaldeid nagu ribalaiuse liigne kasutamine, võrgu ummikute või ebaharilike liiklusharjumused.
~ Turvaanalüüs: Netflow saab kasutada turvaintsidentide, näiteks hajutatud teenuse keelamise (DDOS) rünnakute või volitamata juurdepääsukatsete tuvastamiseks ja uurimiseks.
Netflow versioonid: Netflow on aja jooksul arenenud ja erinevad versioonid on välja antud. Mõned tähelepanuväärsed versioonid hõlmavad Netflow V5, Netflow V9 ja paindlikku Netflow. Iga versioon tutvustab täiustusi ja täiendavaid võimalusi.
IPFIX:
Mis on IPFIX?
IETF -i standard, mis tekkis 2000. aastate alguses, on Interneti -protokolli voogude eksport (IPFIX) äärmiselt sarnane NetFlow -ga. Tegelikult oli IPFIX aluseks Netflow V9. Peamine erinevus nende kahe vahel on see, et IPFIX on avatud standard ja seda toetavad paljud võrgumüüjad peale Cisco. Välja arvatud mõned täiendavad väljad, mis on lisatud IPFIX -is, on vormingud muidu peaaegu identsed. Tegelikult nimetatakse IPFIX mõnikord isegi Netflow V10 -ks.
Osaliselt oma sarnasuste tõttu Netflow'ga naudib IPFIX nii võrguseirelahenduste kui ka võrguseadmete laialdast tuge.
IPFIX (Interneti -protokolli voogude teabe eksport) on avatud standardprotokoll, mille on välja töötanud Interneti -tehnika töörühm (IETF). See põhineb Netflow versiooni 9 spetsifikatsioonil ja pakub standardiseeritud vormingut voolu kirjete eksportimiseks võrguseadmetest.
IPFIX tugineb Netflow kontseptsioonidele ja laiendab neid, et pakkuda suuremat paindlikkust ja koostalitlusvõimet erinevate müüjate ja seadmete vahel. See tutvustab mallide kontseptsiooni, võimaldades voolukirje struktuuri ja sisu dünaamilist määratlust. See võimaldab lisada kohandatud väljade, uute protokollide tuge ja laiendatavust.
IPFIX peamised funktsioonid:
~ Mallipõhine lähenemisviis: IPFIX kasutab malle, et määratleda voogude kirjete struktuur ja sisu, pakkudes paindlikkust erinevate andmeväljade ja protokollipõhise teabe majutamisel.
~ Koostalitlusvõime: IPFIX on avatud standard, tagades erinevate võrgumüüjate ja seadmete järjepidevad voolu jälgimise võimalused.
~ IPv6 tugi: IPFIX toetab loomulikult IPv6, muutes selle sobivaks IPv6 võrkudes liikluse jälgimiseks ja analüüsimiseks.
~Täiustatud turvalisus: IPFIX sisaldab selliseid turvafunktsioone nagu transpordikihi turvalisuse (TLS) krüptimine ja sõnumite terviklikkuse kontroll, et kaitsta vooluandmete konfidentsiaalsust ja terviklikkust edastamise ajal.
IPFIX-i toetavad laialdaselt erinevad võrguseadmete müüjad, muutes selle müüja-neutraalseks ja laialdaselt vastu võetud valiku võrguvoogu jälgimiseks.
Niisiis, mis vahe on Netflow ja IPFIX vahel?
Lihtne vastus on see, et Netflow on Cisco patenteeritud protokoll, mida tutvustati 1996. aasta paiku ja IPFIX on selle standardite keha heaks kiidetud vend.
Mõlemad protokollid täidavad sama eesmärki: võimaldades võrguinseneridel ja administraatoritel koguda ja analüüsida võrgutaseme IP -liiklusvooge. Cisco töötas välja Netflow nii, et selle lülitid ja ruuterid saaksid seda väärtuslikku teavet väljastada. Arvestades Cisco Gear domineerimist, sai Netflow kiiresti võrguliikluse analüüsi defacto standardiks. Tööstusharu konkurendid mõistsid siiski, et oma peamise rivaali juhitud patenteeritud protokolli kasutamine ei olnud hea mõte ja seetõttu viis IETF pingutusi liiklusanalüüsi avatud protokolli standardiseerimiseks, mis on IPFIX.
IPFIX põhineb Netflow versioonil 9 ja seda tutvustati algselt 2005. aasta paiku, kuid tööstuse vastuvõtmise saamiseks kulus mitu aastat. Sel hetkel on need kaks protokolli sisuliselt samad ja kuigi mõiste Netflow on endiselt rohkem levinud, on enamik rakendusi (ehkki mitte kõik) ühilduvad IPFIX standardiga.
Siin on tabel, mis võtab kokku erinevused Netflow ja IPFIX vahel:
| Aspekt | Netflow | IPFIX |
|---|---|---|
| Päritolu | Cisco välja töötatud patenteeritud tehnoloogia | Netflow versioonil 9 põhinev tööstusstandardi protokoll |
| Standardiseerimine | Cisco-spetsiifiline tehnoloogia | Avatud standard, mille määratleb RFC 7011 IETF |
| Paindlikkus | Arenenud versioonid konkreetsete omadustega | Suurem paindlikkus ja koostalitlusvõime müüjate vahel |
| Andmevorming | Fikseeritud suurusega paketid | Mallipõhine lähenemisviis kohandatavate voolukirje vormingute jaoks |
| Malli tugi | Ei toetata | Dünaamilised mallid paindliku välja kaasamiseks |
| Müüjatoetus | Peamiselt Cisco seadmed | Lai tugi võrkude müüjate vahel |
| Pikendus | Piiratud kohandamine | Kohandatud väljade ja rakenduspõhiste andmete kaasamine |
| Protokollide erinevused | Cisco-spetsiifilised variatsioonid | Natiivse IPv6 tugi, täiustatud voolukirje valikud |
| Turvafunktsioonid | Piiratud turvafunktsioonid | Transpordikihi turvalisuse (TLS) krüptimine, sõnumite terviklikkus |
Võrguvoolu jälgimineon antud võrgu- või võrgusegmendi kogumine, analüüs ja jälgimine. Eesmärgid võivad erineda ühenduvuse tõrkeotsingutest ja tulevase ribalaiuse jaotuse kavandamisest. Voolu jälgimine ja pakettide proovivõtmine võivad olla kasulikud isegi turvaprobleemide tuvastamisel ja parandamisel.
Voogede jälgimine annab võrgumeeskondadele hea ettekujutuse võrgu toimimisest, pakkudes ülevaadet üldisest kasutamisest, rakenduste kasutamisest, potentsiaalsetest kitsaskohtadest, kõrvalekaldest, mis võivad märku märku ohtudest ja muust. Võrguvoolu jälgimisel kasutatakse mitmeid erinevaid standardeid ja vorminguid, sealhulgas Netflow, SFLOW ja Interneti -protokolli voogude eksport (IPFIX). Igaüks töötab pisut erineval viisil, kuid kõik eristuvad sadama peegeldamisest ja sügavast pakettkontrollist, kuna need ei jää iga sadama kohal oleva paki sisu ega lüliti kaudu. Voolu jälgimine annab aga rohkem teavet kui SNMP, mis on üldiselt piiratud laia statistikaga, näiteks üldine pakett ja ribalaiuse kasutamine.
Võrguvoolu tööriistad võrrelda
| Funktsioon | Netflow V5 | Netflow v9 | sflow | IPFIX |
| Avatud või patenteeritud | Omanik | Omanik | Avatud | Avatud |
| Valimisse või voolupõhine | Peamiselt voolupõhine; Proovitud režiim on saadaval | Peamiselt voolupõhine; Proovitud režiim on saadaval | Valimisse kuuluv | Peamiselt voolupõhine; Proovitud režiim on saadaval |
| Haaratud teave | Metaandmed ja statistiline teave, sealhulgas ülekantud baitid, liidese loendurid ja nii edasi | Metaandmed ja statistiline teave, sealhulgas ülekantud baitid, liidese loendurid ja nii edasi | Täielikud pakett -päised, osalised pakettide kasulikud koormused | Metaandmed ja statistiline teave, sealhulgas ülekantud baitid, liidese loendurid ja nii edasi |
| Sisenemine/väljumise jälgimine | Ainult sissepääs | Sisenemine ja väljumine | Sisenemine ja väljumine | Sisenemine ja väljumine |
| IPv6/VLAN/MPLS tugi | No | Jah | Jah | Jah |
Postiaeg: 18. märts2024
