A NetFlow és az IPFIX egyaránt olyan technológiák, amelyeket a hálózati áramlás megfigyeléséhez és elemzéséhez használnak. Betekintést nyújtanak a hálózati forgalmi mintákba, elősegítik a teljesítmény optimalizálását, a hibaelhárítást és a biztonsági elemzést.
Netflow:
Mi az a NetFlow?
Hálóvirágaz eredeti áramlási megfigyelő megoldás, amelyet eredetileg a Cisco fejlesztett ki az 1990 -es évek végén. Számos különféle verzió létezik, de a legtöbb telepítés a NetFlow V5 vagy a NetFlow V9 -en alapul. Noha minden verzió eltérő képességekkel rendelkezik, az alapvető művelet változatlan marad:
Először egy útválasztó, kapcsoló, tűzfal vagy más típusú eszközt készítsen információkat a hálózati „áramlásokról” - alapvetően olyan csomagkészlet, amely olyan közös tulajdonságokkal rendelkezik, mint a forrás és a célcím, a forrás és a célport, valamint a protokoll típusa. Miután az áramlás nem működött, vagy előre meghatározott idő telt el, az eszköz exportálja az áramlási nyilvántartást egy „áramlási gyűjtő” néven ismert entitásba.
Végül, a „Flow Analyzer” értelmezi ezeket a nyilvántartásokat, betekintést nyújtva vizualizációk, statisztikák, valamint részletes történelmi és valós idejű jelentések formájában. A gyakorlatban a gyűjtők és az analizátorok gyakran egyetlen entitás, gyakran egy nagyobb hálózati teljesítmény -megfigyelő megoldásba kombinálva.
A NetFlow állapotos alapon működik. Amikor egy ügyfélgép eléri a szerverhez, a NetFlow megkezdi a metaadatok rögzítését és aggregálását az áramlásból. A munkamenet befejezése után a NetFlow egyetlen teljes rekordot exportál a gyűjtőbe.
Noha ezt még mindig használják, a NetFlow V5 számos korlátozással rendelkezik. Az exportált mezők rögzítettek, a megfigyelés csak a behatolás irányában van támogatva, és a modern technológiák, például az IPv6, az MPLS és a VXLAN nem támogatottak. A NetFlow V9, amely szintén rugalmas NetFlow (FNF) márkanévvel rendelkezik, ezen korlátozások némelyikével foglalkozik, lehetővé téve a felhasználók számára, hogy egyedi sablonokat készítsenek és támogatást nyújtsanak az újabb technológiákhoz.
Számos eladónak megvannak a NetFlow saját védett megvalósítása, például a Juniper Jflow és a Huawei Netstream. Noha a konfiguráció kissé eltérhet, ezek a megvalósítások gyakran olyan áramlási rekordokat hoznak létre, amelyek kompatibilisek a NetFlow gyűjtőkkel és az elemzőkkel.
A NetFlow legfontosabb jellemzői:
~ Áramlási adatok: A NetFlow olyan folyamatok nyilvántartásait generálja, amelyek olyan részleteket tartalmaznak, mint a forrás és a cél IP -címek, a portok, az időbélyeg, a csomag- és bájtszámok, valamint a protokoll típusok.
~ Forgalomfigyelés: A NetFlow láthatóságot biztosít a hálózati forgalmi mintákban, lehetővé téve az adminisztrátorok számára, hogy azonosítsák a felső alkalmazásokat, a végpontokat és a forgalmi forrásokat.
~Rendellenességi detektálás.
~ Biztonsági elemzés: A NetFlow felhasználható a biztonsági események, például az elosztott szolgáltatás megtagadási (DDOS) támadások vagy az illetéktelen hozzáférési kísérletek felismerésére és kivizsgálására.
Netflow verziók: A NetFlow az idő múlásával fejlődött, és különböző verziókra került sor. Néhány figyelemre méltó verzió a NetFlow V5, a NetFlow V9 és a Rugalmas NetFlow. Minden verzió bevezetést és kiegészítő képességeket vezet be.
IPFIX:
Mi az IPFIX?
Az IETF szabvány, amely a 2000 -es évek elején jelent meg, az Internet Protocol Flow Information Export (IPFIX) rendkívül hasonló a NetFlow -hoz. Valójában a NetFlow V9 az IPFIX alapjául szolgált. Az elsődleges különbség a kettő között az, hogy az IPFIX nyitott szabvány, és a Cisco -n kívül számos hálózati gyártó támogatja. Az IPFIX -ben hozzáadott néhány további mező kivételével a formátumok egyébként csaknem azonosak. Valójában az IPFIX -et néha „Netflow V10” -nek is nevezik.
A NetFlow -hoz való hasonlóságának köszönhetően az IPFIX széles körű támogatást élvez a hálózati megfigyelési megoldások és a hálózati berendezések között.
Az IPFIX (Internet Protocol Flow Information Export) egy nyitott standard protokoll, amelyet az Internet Engineering munkacsoport (IETF) fejlesztett ki. Ez a NetFlow 9. verziójának specifikációján alapul, és szabványosított formátumot biztosít a hálózati eszközökből származó áramlási rekordok exportálására.
Az IPFIX a NetFlow fogalmaira épül, és kibővíti őket, hogy nagyobb rugalmasságot és interoperabilitást kínáljanak a különböző gyártók és eszközök között. Bemutatja a sablonok fogalmát, lehetővé téve az áramlásrekord -struktúra és a tartalom dinamikus meghatározását. Ez lehetővé teszi az egyedi mezők beépítését, az új protokollok támogatását és a kiterjeszthetőséget.
Az IPFIX legfontosabb jellemzői:
~ Sablon-alapú megközelítés: Az IPFIX sablonok segítségével határozza meg az áramlási rekordok szerkezetét és tartalmát, rugalmasságot kínálva a különböző adatmezők és a protokoll-specifikus információk befogadására.
~ Interoperabilitás: Az IPFIX egy nyitott szabvány, amely biztosítja a folyamatos áramlás -megfigyelési képességeket a különböző hálózati gyártók és eszközök között.
~ IPv6 támogatás: Az IPFIX natív módon támogatja az IPv6 -ot, így alkalmassá teszi az IPv6 hálózatok forgalmának megfigyelésére és elemzésére.
~Fokozott biztonság: Az IPFIX olyan biztonsági funkciókat tartalmaz, mint például a szállítási rétegek biztonsága (TLS) titkosítás és az üzenet integritásának ellenőrzése az áramlási adatok titkosságának és integritásának védelme érdekében az átvitel során.
Az IPFIX-et széles körben támogatják a különféle hálózati berendezések gyártói, így az eladó-semleges és széles körben elfogadott választás a hálózati áramlás megfigyelésére.
Szóval, mi a különbség a NetFlow és az IPFIX között?
Az egyszerű válasz az, hogy a NetFlow egy Cisco szabadalmaztatott protokoll, amelyet 1996 körül vezettek be, és az IPFIX a szabványos testület jóváhagyott testvére.
Mindkét protokoll ugyanazt a célt szolgálja: lehetővé téve a hálózati mérnököknek és az adminisztrátoroknak a hálózati szintű IP forgalmi áramlások gyűjtését és elemzését. A Cisco kifejlesztette a NetFlow -t úgy, hogy kapcsolói és útválasztói ki tudják adni ezt az értékes információt. Tekintettel a Cisco Gear dominanciájára, a NetFlow gyorsan a hálózati forgalom elemzésének DE-FACTO szabványává vált. Az iparági versenytársak azonban rájöttek, hogy a fő rivális által irányított védett protokoll használata nem volt jó ötlet, ezért az IETF erőfeszítéseket vezette a nyílt protokoll szabványosítására a forgalmi elemzéshez, amely az IPFIX.
Az IPFIX a NetFlow 9. verzióján alapul, és eredetileg 2005 körül vezette be, de az iparág elfogadásának megszerzése bizonyos évekig tartott. Ezen a ponton a két protokoll lényegében megegyezik, és bár a NetFlow kifejezés még mindig elterjedtebb a legtöbb megvalósítás (bár nem minden) kompatibilis az IPFIX szabványtal.
Íme egy táblázat, amely összefoglalja a NetFlow és az IPFIX közötti különbségeket:
| Vonatkozás | Hálóvirág | IPFIX |
|---|---|---|
| Származás | A Cisco által kifejlesztett szabadalmaztatott technológia | Ipari szabványos protokoll a NetFlow 9. verziója alapján |
| Szabványosítás | Cisco-specifikus technológia | Az IETF által az RFC 7011 -ben meghatározott nyitott szabvány |
| Rugalmasság | Fejlett verziók konkrét funkciókkal | Nagyobb rugalmasság és interoperabilitás a szállítók között |
| Adatformátum | Fix méretű csomagok | Sablon-alapú megközelítés testreszabható áramlási rekord formátumokhoz |
| Sablon -támogatás | Nem támogatott | Dinamikus sablonok a rugalmas mező beépítéséhez |
| Eladó támogatás | Elsősorban a Cisco eszközök | Széles körű támogatás a hálózati gyártók között |
| Nyújthatóság | Korlátozott testreszabás | Az egyedi mezők és az alkalmazás-specifikus adatok beillesztése |
| Protokoll különbségek | Cisco-specifikus variációk | Natív IPv6 támogatás, továbbfejlesztett áramlási rekord opciók |
| Biztonsági szolgáltatások | Korlátozott biztonsági funkciók | Szállítási réteg biztonsága (TLS) titkosítás, üzenet integritása |
Hálózati áramlásfigyelésaz adott hálózat vagy hálózati szegmens áthaladó forgalom gyűjtése, elemzése és megfigyelése. A célkitűzések változhatnak a kapcsolódási kérdések hibaelhárításától a jövőbeli sávszélesség -elosztás megtervezéséig. Az áramlásfigyelés és a csomag mintavétele akár hasznos lehet a biztonsági problémák azonosításában és orvoslásában.
Az áramlásfigyelés jó képet ad a hálózatépítő csapatoknak arról, hogy a hálózat hogyan működik, betekintést nyújt az általános felhasználásba, az alkalmazáshasználatba, a potenciális szűk keresztmetszetekbe, a biztonsági fenyegetések jelzésére szolgáló rendellenességekbe és még sok másba. Számos különféle szabványt és formátumot használnak a hálózati áramlás megfigyelésében, beleértve a NetFlow, az Sflow és az Internet Protocol Flow Information Export (IPFIX). Mindegyik kissé eltérő módon működik, de mindegyikük különbözik a port tükrözés és a mély csomagok ellenőrzésétől, mivel nem rögzítik a porton áthaladó minden csomag tartalmát vagy egy kapcsolón keresztül. Az áramlásfigyelés azonban több információt szolgáltat, mint az SNMP, ami általában olyan széles statisztikákra korlátozódik, mint a teljes csomag és a sávszélesség.
A hálózati áramlási eszközök összehasonlították
| Jellemző | Netflow v5 | Netflow v9 | lobogás | IPFIX |
| Nyitott vagy védett | Szabadalmazott | Szabadalmazott | Nyitott | Nyitott |
| Mintába vett vagy áramlás alapú | Elsősorban áramlás alapú; Mintavételezett mód áll rendelkezésre | Elsősorban áramlás alapú; Mintavételezett mód áll rendelkezésre | Mintázott | Elsősorban áramlás alapú; Mintavételezett mód áll rendelkezésre |
| Rögzített információk | Metaadatok és statisztikai információk, beleértve az átadott bájtokat, az interfészszámlálókat és így tovább | Metaadatok és statisztikai információk, beleértve az átadott bájtokat, az interfészszámlálókat és így tovább | Teljes csomagfejlécek, részleges csomag hasznos teher | Metaadatok és statisztikai információk, beleértve az átadott bájtokat, az interfészszámlálókat és így tovább |
| Behatolás/kilépési megfigyelés | Csak behatolás | Behatolás és kilépés | Behatolás és kilépés | Behatolás és kilépés |
| IPv6/VLAN/MPLS támogatás | No | Igen | Igen | Igen |
A postai idő: március-18-2024
