NetFlow ja IPFIX on mõlemad tehnoloogiad, mida kasutatakse võrguliikluse jälgimiseks ja analüüsimiseks. Need pakuvad ülevaadet võrguliikluse mustritest, aidates kaasa jõudluse optimeerimisele, tõrkeotsingule ja turvalisuse analüüsile.
NetFlow:
Mis on NetFlow?
NetFlowon algne voolu jälgimise lahendus, mille Cisco algselt 1990. aastate lõpus välja töötas. Sellest on mitu erinevat versiooni, kuid enamik juurutusi põhineb kas NetFlow v5-l või NetFlow v9-l. Kuigi igal versioonil on erinevad võimalused, jääb põhitoiming samaks:
Esiteks jäädvustab ruuter, kommutaator, tulemüür või muud tüüpi seade teavet võrgu „voogude” kohta – põhimõtteliselt pakettide komplekti, millel on ühised omadused, nagu lähte- ja sihtkoha aadress, lähte- ja sihtport ning protokolli tüüp. Pärast voo ooterežiimile minekut või etteantud aja möödumist ekspordib seade vooandmed üksusele, mida nimetatakse „vookogujaks”.
Lõpuks annab „vooanalüsaator“ neile andmetele tähenduse, pakkudes ülevaateid visualiseeringute, statistika ning üksikasjalike ajalooliste ja reaalajas aruannete kujul. Praktikas on kogujad ja analüsaatorid sageli üks tervik, mis on sageli ühendatud suuremaks võrgu jõudluse jälgimise lahenduseks.
NetFlow töötab olekupõhiselt. Kui kliendimasin võtab serveriga ühendust, hakkab NetFlow voost metaandmeid koguma ja koondama. Pärast seansi lõppu ekspordib NetFlow kogujale ühe tervikliku kirje.
Kuigi seda kasutatakse endiselt laialdaselt, on NetFlow v5-l mitmeid piiranguid. Eksporditavad väljad on fikseeritud, jälgimist toetatakse ainult sisenemissuunas ja tänapäevaseid tehnoloogiaid nagu IPv6, MPLS ja VXLAN ei toetata. NetFlow v9, tuntud ka kui Flexible NetFlow (FNF), käsitleb mõningaid neist piirangutest, võimaldades kasutajatel luua kohandatud malle ja lisades tuge uuematele tehnoloogiatele.
Paljudel müüjatel on ka oma NetFlow implementatsioonid, näiteks Juniperi jFlow ja Huawei NetStream. Kuigi konfiguratsioon võib mõnevõrra erineda, loovad need implementatsioonid sageli vookirjeid, mis ühilduvad NetFlow kogujate ja analüsaatoritega.
NetFlowi põhijooned:
~ VooluandmedNetFlow genereerib vookirjeid, mis sisaldavad üksikasju, nagu lähte- ja sihtkoha IP-aadressid, pordid, ajatemplid, pakettide ja baitide arv ning protokollitüübid.
~ Liikluse jälgimineNetFlow pakub nähtavust võrguliikluse mustritesse, võimaldades administraatoritel tuvastada peamised rakendused, lõpp-punktid ja liikluse allikad.
~Anomaaliate tuvastamineVooluandmeid analüüsides suudab NetFlow tuvastada anomaaliaid, nagu liigne ribalaiuse kasutamine, võrgu ummikud või ebatavalised liiklusmustrid.
~ Turvalisuse analüüsNetFlow'i saab kasutada turvaintsidentide, näiteks hajutatud teenusetõkestamise (DDoS) rünnakute või volitamata juurdepääsu katsete tuvastamiseks ja uurimiseks.
NetFlow versioonidNetFlow on aja jooksul arenenud ja välja on antud erinevaid versioone. Mõned tähelepanuväärsemad versioonid on NetFlow v5, NetFlow v9 ja Flexible NetFlow. Iga versioon pakub täiustusi ja lisavõimalusi.
IPFIX:
Mis on IPFIX?
IETF-i standard Internet Protocol Flow Information Export (IPFIX), mis tekkis 2000. aastate alguses, on äärmiselt sarnane NetFlow'ga. Tegelikult oli NetFlow v9 IPFIX-i aluseks. Peamine erinevus nende kahe vahel on see, et IPFIX on avatud standard ja seda toetavad paljud võrgutootjad peale Cisco. Välja arvatud mõned IPFIX-is lisatud lisaväljad, on vormingud muidu peaaegu identsed. Tegelikult nimetatakse IPFIX-i mõnikord isegi „NetFlow v10-ks“.
Osaliselt tänu oma sarnasustele NetFlow'ga on IPFIXil laialdane toetus nii võrgu jälgimislahenduste kui ka võrguseadmete seas.
IPFIX (Internet Protocol Flow Information Export) on avatud standardi protokoll, mille töötas välja Internet Engineering Task Force (IETF). See põhineb NetFlow versiooni 9 spetsifikatsioonil ja pakub standardiseeritud vormingut vooandmete eksportimiseks võrguseadmetest.
IPFIX tugineb NetFlow kontseptsioonidele ja laiendab neid, et pakkuda suuremat paindlikkust ja koostalitlusvõimet erinevate müüjate ja seadmete vahel. See tutvustab mallide kontseptsiooni, mis võimaldab vookirjete struktuuri ja sisu dünaamilist määratlemist. See võimaldab kohandatud väljade lisamist, uute protokollide tuge ja laiendatavust.
IPFIXi põhijooned:
~ Mallipõhine lähenemineIPFIX kasutab vookirjete struktuuri ja sisu määratlemiseks malle, pakkudes paindlikkust erinevate andmeväljade ja protokollispetsiifilise teabe mahutamisel.
~ KoostalitlusvõimeIPFIX on avatud standard, mis tagab erinevate võrgutootjate ja seadmete vahel järjepideva voolu jälgimise.
~ IPv6 tugiIPFIX toetab natiivselt IPv6-d, mistõttu sobib see liikluse jälgimiseks ja analüüsimiseks IPv6-võrkudes.
~Täiustatud turvalisusIPFIX sisaldab turvafunktsioone, nagu transpordikihi turbe (TLS) krüptimine ja sõnumi terviklikkuse kontrollid, et kaitsta vooandmete konfidentsiaalsust ja terviklikkust edastamise ajal.
IPFIX-i toetavad laialdaselt mitmed võrguseadmete müüjad, mistõttu on see võrguvoo jälgimiseks müüjaneutraalne ja laialdaselt omaksvõetud valik.
Mis vahe on NetFlow'l ja IPFIX-il?
Lihtne vastus on see, et NetFlow on Cisco patenteeritud protokoll, mis võeti kasutusele umbes 1996. aastal, ja IPFIX on selle standardiorganisatsiooni poolt heaks kiidetud vend.
Mõlemal protokollil on sama eesmärk: võimaldada võrguinseneridel ja administraatoritel koguda ja analüüsida võrgutasemel IP-liikluse vooge. Cisco arendas NetFlow'i nii, et selle kommutaatorid ja ruuterid saaksid seda väärtuslikku teavet väljastada. Arvestades Cisco seadmete domineerimist, sai NetFlow'st kiiresti võrguliikluse analüüsi de facto standard. Tööstusharu konkurendid mõistsid aga, et peamise rivaali poolt kontrollitava patenteeritud protokolli kasutamine polnud hea mõte ja seetõttu juhtis IETF pingutusi liikluse analüüsi avatud protokolli, IPFIXi, standardiseerimiseks.
IPFIX põhineb NetFlow versioonil 9 ja see võeti algselt kasutusele umbes 2005. aastal, kuid selle omaksvõtt tööstuses võttis mitu aastat. Praeguseks on need kaks protokolli sisuliselt samad ja kuigi termin NetFlow on endiselt levinum, on enamik rakendusi (kuigi mitte kõik) IPFIX-standardiga ühilduvad.
Siin on tabel, mis võtab kokku NetFlowi ja IPFIXi erinevused:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Päritolu | Cisco poolt väljatöötatud patenteeritud tehnoloogia | NetFlow versioonil 9 põhinev tööstusstandardi protokoll |
| Standardimine | Cisco-spetsiifiline tehnoloogia | IETF-i poolt RFC 7011-s määratletud avatud standard |
| Paindlikkus | Täiustatud versioonid spetsiifiliste funktsioonidega | Suurem paindlikkus ja koostalitlusvõime müüjate vahel |
| Andmevorming | Fikseeritud suurusega paketid | Mallipõhine lähenemine kohandatavate vookirjete vormingute jaoks |
| Mallide tugi | Ei ole toetatud | Dünaamilised mallid paindlikuks väljade kaasamiseks |
| Müüjate tugi | Peamiselt Cisco seadmed | Lai tugi erinevatele võrguteenuse pakkujatele |
| Laiendatavus | Piiratud kohandamine | Kohandatud väljade ja rakendusepõhiste andmete kaasamine |
| Protokolli erinevused | Cisco-spetsiifilised variatsioonid | Natiivne IPv6 tugi, täiustatud voo salvestamise valikud |
| Turvafunktsioonid | Piiratud turvafunktsioonid | Transpordikihi turbe (TLS) krüptimine, sõnumi terviklikkus |
Võrguvoo jälgimineon antud võrku või võrgusegmenti läbiva liikluse kogumine, analüüsimine ja jälgimine. Eesmärgid võivad ulatuda ühenduvusprobleemide tõrkeotsingust kuni tulevase ribalaiuse eraldamise planeerimiseni. Voo jälgimine ja pakettide valimvõtmine võivad olla kasulikud isegi turvaprobleemide tuvastamisel ja parandamisel.
Voolu jälgimine annab võrgumeeskondadele hea ülevaate võrgu toimimisest, pakkudes teavet võrgu üldise kasutuse, rakenduste kasutuse, võimalike kitsaskohtade, turvaohtudest viidata võivate anomaaliate ja muu kohta. Võrguvoo jälgimises kasutatakse mitmeid erinevaid standardeid ja vorminguid, sealhulgas NetFlow, sFlow ja Interneti-protokolli vooluteabe eksport (IPFIX). Kõik need töötavad veidi erinevalt, kuid kõik erinevad portide peegeldamisest ja süvapaketikontrollist selle poolest, et need ei jäädvusta iga pordi või lüliti kaudu liikuva paketi sisu. Voo jälgimine annab aga rohkem teavet kui SNMP, mis piirdub üldiselt laiaulatusliku statistikaga, näiteks pakettide ja ribalaiuse üldise kasutusega.
Võrguvoo tööriistade võrdlus
| Funktsioon | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Avatud või patenteeritud | Patenteeritud | Patenteeritud | Avatud | Avatud |
| Proovivõtu või voolupõhine | Peamiselt voolupõhine; saadaval on proovivõturežiim | Peamiselt voolupõhine; saadaval on proovivõturežiim | Proovitud | Peamiselt voolupõhine; saadaval on proovivõturežiim |
| Jäädvustatud teave | Metaandmed ja statistiline teave, sh edastatud baidid, liidese loendurid jne | Metaandmed ja statistiline teave, sh edastatud baidid, liidese loendurid jne | Täielikud pakettide päised, osalised pakettide kasulikud koormused | Metaandmed ja statistiline teave, sh edastatud baidid, liidese loendurid jne |
| Sisse-/väljapääsu jälgimine | Ainult sissepääs | Sisse- ja väljapääs | Sisse- ja väljapääs | Sisse- ja väljapääs |
| IPv6/VLAN/MPLS tugi | No | Jah | Jah | Jah |
Postituse aeg: 18. märts 2024
