A NetFlow és az IPFIX egyaránt a hálózati áramlás figyelésére és elemzésére használt technológia. Betekintést nyújtanak a hálózati forgalmi mintákba, segítik a teljesítmény optimalizálását, a hibaelhárítást és a biztonsági elemzést.
NetFlow:
Mi az a NetFlow?
NetFlowaz eredeti áramlásfigyelő megoldás, amelyet eredetileg a Cisco fejlesztett ki az 1990-es évek végén. Számos különböző verzió létezik, de a legtöbb telepítés a NetFlow v5 vagy a NetFlow v9 alapú. Bár minden verzió eltérő képességekkel rendelkezik, az alapművelet ugyanaz marad:
Először is, egy útválasztó, kapcsoló, tűzfal vagy más típusú eszköz információkat fog rögzíteni a hálózati „áramlásokról” – alapvetően olyan csomagok halmazáról, amelyek közös jellemzőkkel rendelkeznek, mint például a forrás- és célcím, a forrás és a célport, valamint a protokoll. típus. Miután egy folyam alvóvá vált, vagy egy előre meghatározott idő eltelt, az eszköz exportálja a folyamatrekordokat egy „folyamatgyűjtőként” ismert entitásba.
Végül egy „folyamatelemző” értelmet ad ezeknek a rekordoknak, betekintést nyújtva vizualizációk, statisztikák, valamint részletes történeti és valós idejű jelentések formájában. A gyakorlatban a gyűjtők és az elemzők gyakran egyetlen entitást alkotnak, gyakran egy nagyobb hálózati teljesítmény-felügyeleti megoldásban kombinálva.
A NetFlow állapotalapú alapon működik. Amikor egy kliensgép eléri a szervert, a NetFlow megkezdi a metaadatok rögzítését és összesítését a folyamatból. A munkamenet befejezése után a NetFlow egyetlen teljes rekordot exportál a gyűjtőbe.
Bár még mindig gyakran használják, a NetFlow v5-nek számos korlátozása van. Az exportált mezők rögzítettek, a megfigyelés csak a bemeneti irányban támogatott, és a modern technológiák, például az IPv6, MPLS és VXLAN nem támogatottak. A Flexible NetFlow (FNF) néven is emlegetett NetFlow v9 kiküszöböli ezeket a korlátozásokat, lehetővé téve a felhasználók számára, hogy egyéni sablonokat készítsenek, és támogatást nyújtanak az újabb technológiákhoz.
Sok gyártó saját fejlesztésű NetFlow-megvalósítással is rendelkezik, mint például a Juniper jFlow és a Huawei NetStream. Bár a konfiguráció némileg eltérhet, ezek a megvalósítások gyakran hoznak létre olyan áramlási rekordokat, amelyek kompatibilisek a NetFlow gyűjtőkkel és elemzőkkel.
A NetFlow főbb jellemzői:
~ Flow Data: A NetFlow folyamatrekordokat hoz létre, amelyek olyan részleteket tartalmaznak, mint a forrás és cél IP-címek, portok, időbélyegek, csomag- és bájtszámok és protokolltípusok.
~ Forgalomfigyelés: A NetFlow betekintést nyújt a hálózati forgalmi mintákba, lehetővé téve a rendszergazdák számára a legfontosabb alkalmazások, végpontok és forgalomforrások azonosítását.
~Anomália észlelése: Az áramlási adatok elemzésével a NetFlow olyan rendellenességeket észlelhet, mint a túlzott sávszélesség-kihasználás, a hálózati torlódások vagy a szokatlan forgalmi minták.
~ Biztonsági elemzés: A NetFlow használható biztonsági incidensek, például elosztott szolgáltatásmegtagadási (DDoS) támadások vagy jogosulatlan hozzáférési kísérletek észlelésére és kivizsgálására.
NetFlow verziók: A NetFlow az idők során fejlődött, és különböző verziók jelentek meg. Néhány figyelemre méltó verzió a NetFlow v5, a NetFlow v9 és a Flexible NetFlow. Mindegyik verzió fejlesztéseket és további lehetőségeket tartalmaz.
IPFIX:
Mi az IPFIX?
A 2000-es évek elején megjelent IETF szabvány, az Internet Protocol Flow Information Export (IPFIX) rendkívül hasonló a NetFlow-hoz. Valójában a NetFlow v9 szolgált az IPFIX alapjául. Az elsődleges különbség a kettő között az, hogy az IPFIX egy nyílt szabvány, és a Ciscón kívül számos hálózati gyártó támogatja. Az IPFIX-ben hozzáadott néhány további mező kivételével a formátumok egyébként közel azonosak. Valójában az IPFIX-et néha „NetFlow v10”-nek is nevezik.
Részben a NetFlow-hoz való hasonlóságai miatt az IPFIX széles körű támogatást élvez a hálózatfelügyeleti megoldások és a hálózati berendezések között.
Az IPFIX (Internet Protocol Flow Information Export) egy nyílt szabványú protokoll, amelyet az Internet Engineering Task Force (IETF) fejlesztett ki. A NetFlow 9-es verzió specifikációján alapul, és szabványos formátumot biztosít a folyamatrekordok hálózati eszközökről történő exportálásához.
Az IPFIX a NetFlow koncepcióira épít, és kibővíti azokat, hogy nagyobb rugalmasságot és interoperabilitást kínáljon a különböző gyártók és eszközök között. Bevezeti a sablonok fogalmát, lehetővé téve az áramlási rekord szerkezetének és tartalmának dinamikus meghatározását. Ez lehetővé teszi az egyéni mezők felvételét, az új protokollok támogatását és a bővíthetőséget.
Az IPFIX főbb jellemzői:
~ Sablon alapú megközelítés: Az IPFIX sablonokat használ a folyamatrekordok szerkezetének és tartalmának meghatározásához, rugalmasságot kínálva a különböző adatmezők és protokoll-specifikus információk befogadásához.
~ Interoperabilitás: Az IPFIX egy nyílt szabvány, amely egységes áramlásfigyelési képességeket biztosít a különböző hálózati szállítók és eszközök között.
~ IPv6 támogatás: Az IPFIX natívan támogatja az IPv6-ot, így alkalmas az IPv6-hálózatok forgalmának figyelésére és elemzésére.
~Fokozott biztonság: Az IPFIX olyan biztonsági funkciókat tartalmaz, mint a Transport Layer Security (TLS) titkosítás és az üzenetek sértetlenségének ellenőrzése, hogy megvédje az átvitel során az áramlási adatok bizalmasságát és integritását.
Az IPFIX-et széles körben támogatják a különféle hálózati berendezéseket gyártók, így gyártósemleges és széles körben elfogadott választás a hálózati áramlás figyelésére.
Tehát mi a különbség a NetFlow és az IPFIX között?
Az egyszerű válasz az, hogy a NetFlow a Cisco által 1996 körül bevezetett saját protokoll, az IPFIX pedig a szabványügyi testület által jóváhagyott testvér.
Mindkét protokoll ugyanazt a célt szolgálja: lehetővé teszi a hálózati mérnököknek és a rendszergazdáknak a hálózati szintű IP forgalom összegyűjtését és elemzését. A Cisco úgy fejlesztette ki a NetFlow-t, hogy kapcsolói és útválasztói ki tudják adni ezeket az értékes információkat. A Cisco felszerelés dominanciája miatt a NetFlow gyorsan a hálózati forgalom elemzésének de facto szabványává vált. Az iparági versenytársak azonban rájöttek, hogy a legfőbb riválisa által ellenőrzött szabadalmaztatott protokoll használata nem volt jó ötlet, ezért az IETF erőfeszítéseket tett egy nyílt forgalomelemzési protokoll, az IPFIX szabványosítására.
Az IPFIX a NetFlow 9-es verzióján alapul, és eredetileg 2005 körül vezették be, de néhány évbe telt, amíg az iparágban elterjedt. Ezen a ponton a két protokoll lényegében megegyezik, és bár a NetFlow kifejezés még mindig elterjedtebb, a legtöbb implementáció (bár nem mindegyik) kompatibilis az IPFIX szabvánnyal.
Íme egy táblázat, amely összefoglalja a NetFlow és az IPFIX közötti különbségeket:
Vonatkozás | NetFlow | IPFIX |
---|---|---|
Származás | A Cisco által kifejlesztett szabadalmaztatott technológia | A NetFlow 9-es verzióján alapuló iparági szabvány protokoll |
Szabványosítás | Cisco-specifikus technológia | Az IETF által meghatározott nyílt szabvány az RFC 7011-ben |
Rugalmasság | Fejlesztett változatok speciális funkciókkal | Nagyobb rugalmasság és interoperabilitás a szállítók között |
Adatformátum | Fix méretű csomagok | Sablonalapú megközelítés a testreszabható folyamatrekord-formátumokhoz |
Sablon támogatás | Nem támogatott | Dinamikus sablonok a rugalmas mezőbeillesztéshez |
Szállítói támogatás | Elsősorban Cisco eszközök | Széles körű támogatás a hálózati szállítók között |
Nyújthatóság | Korlátozott testreszabás | Egyéni mezők és alkalmazás-specifikus adatok felvétele |
Protokollkülönbségek | Cisco-specifikus variációk | Natív IPv6 támogatás, továbbfejlesztett áramlási rögzítési lehetőségek |
Biztonsági jellemzők | Korlátozott biztonsági funkciók | Transport Layer Security (TLS) titkosítás, üzenetintegritás |
Hálózati áramlásfigyelésegy adott hálózaton vagy hálózati szegmensen áthaladó forgalom összegyűjtése, elemzése és monitorozása. A célok a csatlakozási problémák hibaelhárításától a jövőbeli sávszélesség-kiosztás tervezéséig változhatnak. Az áramlásfigyelés és a csomagmintavétel még a biztonsági problémák azonosításában és orvoslásában is hasznos lehet.
Az áramlásfigyelés jó képet ad a hálózati csapatoknak a hálózat működéséről, betekintést nyújtva az általános kihasználtságba, az alkalmazások használatába, a lehetséges szűk keresztmetszetekbe, a biztonsági fenyegetéseket jelző anomáliákba stb. Számos különböző szabvány és formátum használatos a hálózati áramlás figyelésére, beleértve a NetFlow-t, az sFlow-t és az Internet Protocol Flow Information Export-ot (IPFIX). Mindegyik kissé eltérő módon működik, de mindegyik különbözik a porttükrözéstől és a mély csomagellenőrzéstől, mivel nem rögzíti a porton vagy egy kapcsolón áthaladó csomagok tartalmát. Az áramlásfigyelés azonban több információt nyújt, mint az SNMP, amely általában olyan széles körű statisztikákra korlátozódik, mint a teljes csomag- és sávszélesség-használat.
Hálózati folyamateszközök összehasonlítása
Funkció | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Nyitott vagy saját | Szabadalmazott | Szabadalmazott | Nyitott | Nyitott |
Mintavétel vagy áramlás alapú | Elsősorban áramlás alapú; A mintavételi mód elérhető | Elsősorban áramlás alapú; A mintavételi mód elérhető | Mintavételezett | Elsősorban áramlás alapú; A mintavételi mód elérhető |
Információ rögzítve | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, interfészszámlálókat és így tovább | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, interfészszámlálókat és így tovább | Teljes csomagfejlécek, részleges csomagok hasznos terhelései | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, interfészszámlálókat és így tovább |
Belépés/kilépés figyelése | Csak belépés | Ingress és Egress | Ingress és Egress | Ingress és Egress |
IPv6/VLAN/MPLS támogatás | No | Igen | Igen | Igen |
Feladás időpontja: 2024. március 18