A NetFlow és az IPFIX egyaránt a hálózati forgalom monitorozására és elemzésére használt technológiák. Betekintést nyújtanak a hálózati forgalom mintázataiba, segítve a teljesítmény optimalizálását, a hibaelhárítást és a biztonsági elemzést.
NetFlow:
Mi az a NetFlow?
NetFlowaz eredeti áramlásfigyelő megoldás, amelyet eredetileg a Cisco fejlesztett ki az 1990-es évek végén. Több különböző verzió létezik, de a legtöbb telepítés a NetFlow v5-ön vagy a NetFlow v9-en alapul. Bár minden verziónak eltérő képességei vannak, az alapvető működés ugyanaz marad:
Először is, egy router, switch, tűzfal vagy más típusú eszköz információkat rögzít a hálózati „folyamatokról” – alapvetően olyan csomagok halmazáról, amelyek közös jellemzőkkel rendelkeznek, mint például a forrás- és célcím, a forrás- és célport, valamint a protokoll típusa. Miután egy folyamat inaktívvá vált, vagy egy előre meghatározott idő eltelt, az eszköz exportálja a folyamatrekordokat egy „folyamatgyűjtőnek” nevezett entitásnak.
Végül egy „folyamatelemző” értelmezi ezeket a rekordokat, elemzéseket nyújtva vizualizációk, statisztikák, valamint részletes historikus és valós idejű jelentések formájában. A gyakorlatban a gyűjtők és az elemzők gyakran egyetlen entitást alkotnak, amelyeket gyakran egy nagyobb hálózati teljesítményfigyelő megoldásba kombinálnak.
A NetFlow állapotalapú alapon működik. Amikor egy kliensgép kapcsolatba lép egy szerverrel, a NetFlow megkezdi a metaadatok rögzítését és összesítését a folyamatból. A munkamenet befejezése után a NetFlow egyetlen teljes rekordot exportál a gyűjtőbe.
Bár még mindig széles körben használják, a NetFlow v5-nek számos korlátozása van. Az exportált mezők rögzítettek, a monitorozás csak a bejövő irányban támogatott, és a modern technológiák, mint az IPv6, az MPLS és a VXLAN nem támogatottak. A NetFlow v9, más néven Flexible NetFlow (FNF), ezen korlátozások némelyikét kezeli, lehetővé téve a felhasználók számára egyéni sablonok létrehozását, és támogatást nyújtva az újabb technológiákhoz.
Sok gyártó rendelkezik saját, zártkörű NetFlow implementációval, mint például a Juniper jFlow-ja és a Huawei NetStream-je. Bár a konfiguráció némileg eltérhet, ezek az implementációk gyakran olyan folyamatrekordokat hoznak létre, amelyek kompatibilisek a NetFlow gyűjtőivel és analizátoraival.
A NetFlow főbb jellemzői:
~ Áramlási adatokA NetFlow olyan folyamatrekordokat generál, amelyek olyan részleteket tartalmaznak, mint a forrás- és cél IP-címek, portok, időbélyegek, csomag- és bájtszám, valamint protokolltípusok.
~ ForgalomfigyelésA NetFlow láthatóságot biztosít a hálózati forgalmi mintákban, lehetővé téve a rendszergazdák számára a legfontosabb alkalmazások, végpontok és forgalmi források azonosítását.
~AnomáliaészlelésAz áramlási adatok elemzésével a NetFlow képes észlelni az olyan rendellenességeket, mint a túlzott sávszélesség-kihasználtság, a hálózati torlódás vagy a szokatlan forgalmi minták.
~ Biztonsági elemzésA NetFlow segítségével biztonsági incidensek, például elosztott szolgáltatásmegtagadási (DDoS) támadások vagy jogosulatlan hozzáférési kísérletek észlelhetők és kivizsgálhatók.
NetFlow verziókA NetFlow az idők során sokat fejlődött, és különböző verziói jelentek meg. Néhány figyelemre méltó verzió a NetFlow v5, a NetFlow v9 és a Flexible NetFlow. Minden verzió fejlesztéseket és további funkciókat tartalmaz.
IPFIX:
Mi az IPFIX?
Az Internet Protocol Flow Information Export (IPFIX) egy IETF szabvány, amely a 2000-es évek elején jelent meg. Rendkívül hasonlít a NetFlow-hoz. Valójában a NetFlow v9 szolgált az IPFIX alapjául. A kettő közötti fő különbség az, hogy az IPFIX egy nyílt szabvány, és a Cisco-n kívül számos hálózati gyártó támogatja. Az IPFIX-ben hozzáadott néhány további mezőtől eltekintve a formátumok egyébként közel azonosak. Valójában az IPFIX-et néha „NetFlow v10”-ként is emlegetik.
Részben a NetFlow-hoz való hasonlóságai miatt az IPFIX széles körű támogatást élvez a hálózatfelügyeleti megoldások, valamint a hálózati berendezések körében.
Az IPFIX (Internet Protocol Flow Information Export) egy nyílt szabványú protokoll, amelyet az Internet Engineering Task Force (IETF) fejlesztett ki. A NetFlow 9-es verziójú specifikációján alapul, és szabványosított formátumot biztosít a hálózati eszközökről származó adatfolyam-rekordok exportálásához.
Az IPFIX a NetFlow koncepcióira épít, és kibővíti azokat, hogy nagyobb rugalmasságot és interoperabilitást kínáljon a különböző gyártók és eszközök között. Bemutatja a sablonok koncepcióját, amely lehetővé teszi a folyamatrekordok szerkezetének és tartalmának dinamikus meghatározását. Ez lehetővé teszi egyéni mezők beillesztését, új protokollok támogatását és bővíthetőséget.
Az IPFIX főbb jellemzői:
~ Sablonalapú megközelítésAz IPFIX sablonokat használ a folyamatrekordok szerkezetének és tartalmának meghatározásához, rugalmasságot kínálva a különböző adatmezők és a protokollspecifikus információk befogadásában.
~ InteroperabilitásAz IPFIX egy nyílt szabvány, amely biztosítja a különböző hálózati gyártók és eszközök közötti konzisztens adatfolyam-figyelési képességeket.
~ IPv6 támogatásAz IPFIX natívan támogatja az IPv6-ot, így alkalmas az IPv6-os hálózatok forgalmának monitorozására és elemzésére.
~Fokozott biztonságAz IPFIX olyan biztonsági funkciókat tartalmaz, mint a Transport Layer Security (TLS) titkosítás és az üzenetek integritásának ellenőrzése, hogy megvédje az adatfolyam adatainak titkosságát és integritását az átvitel során.
Az IPFIX-et számos hálózati berendezésgyártó széles körben támogatja, így gyártófüggetlen és széles körben elfogadott választás a hálózati áramlás monitorozásához.
Szóval, mi a különbség a NetFlow és az IPFIX között?
Az egyszerű válasz az, hogy a NetFlow egy Cisco saját protokollja, amelyet 1996 körül vezettek be, az IPFIX pedig a szabványügyi testület által jóváhagyott testvére.
Mindkét protokoll ugyanazt a célt szolgálja: lehetővé teszi a hálózati mérnökök és rendszergazdák számára a hálózati szintű IP-forgalom gyűjtését és elemzését. A Cisco fejlesztette ki a NetFlow-t, hogy kapcsolói és útválasztói képesek legyenek ezeket az értékes információkat kiadni. A Cisco eszközök dominanciája miatt a NetFlow gyorsan a hálózati forgalomelemzés de facto szabványává vált. Az iparági versenytársak azonban felismerték, hogy a fő rivális által ellenőrzött saját protokoll használata nem jó ötlet, ezért az IETF erőfeszítéseket tett egy nyílt forgalomelemzési protokoll, az IPFIX szabványosítására.
Az IPFIX a NetFlow 9-es verzióján alapul, és eredetileg 2005 körül vezették be, de eltartott egy ideig, mire az iparág elfogadta. Jelenleg a két protokoll lényegében megegyezik, és bár a NetFlow kifejezés még mindig elterjedtebb, a legtöbb implementáció (bár nem mindegyik) kompatibilis az IPFIX szabvánnyal.
Íme egy táblázat, amely összefoglalja a NetFlow és az IPFIX közötti különbségeket:
| Vonatkozás | NetFlow | IPFIX |
|---|---|---|
| Származás | A Cisco által fejlesztett saját technológia | NetFlow 9-es verzión alapuló iparági szabvány protokoll |
| Szabványosítás | Cisco-specifikus technológia | Az IETF által az RFC 7011-ben meghatározott nyílt szabvány |
| Rugalmasság | Továbbfejlesztett verziók speciális funkciókkal | Nagyobb rugalmasság és interoperabilitás a szállítók között |
| Adatformátum | Fix méretű csomagok | Sablonalapú megközelítés testreszabható folyamatrekord-formátumokhoz |
| Sablon támogatás | Nem támogatott | Dinamikus sablonok a rugalmas mezőbeillesztéshez |
| Beszállítói támogatás | Elsősorban Cisco eszközök | Széleskörű támogatás a hálózati szolgáltatók között |
| Nyújthatóság | Korlátozott testreszabhatóság | Egyéni mezők és alkalmazásspecifikus adatok beillesztése |
| Protokollkülönbségek | Cisco-specifikus variációk | Natív IPv6-támogatás, továbbfejlesztett folyamatrögzítési lehetőségek |
| Biztonsági funkciók | Korlátozott biztonsági funkciók | Transport Layer Security (TLS) titkosítás, üzenetintegritás |
Hálózati áramlásfigyelésA forgalomgyűjtés, elemzés és monitorozás egy adott hálózaton vagy hálózati szegmensen keresztül. A célok a csatlakozási problémák elhárításától a jövőbeli sávszélesség-elosztás megtervezéséig terjedhetnek. Az áramlásmonitorozás és a csomagmintavételezés a biztonsági problémák azonosításában és elhárításában is hasznos lehet.
Az áramlásfigyelés jó képet ad a hálózati csapatoknak a hálózat működéséről, betekintést nyújtva az általános kihasználtságba, az alkalmazáshasználatba, a potenciális szűk keresztmetszetekbe, a biztonsági fenyegetéseket jelző anomáliákba és egyebekbe. A hálózati áramlásfigyelésben számos különböző szabvány és formátum létezik, beleértve a NetFlow-t, az sFlow-t és az Internet Protocol Flow Information Export-ot (IPFIX). Mindegyik kissé eltérő módon működik, de mindegyik különbözik a porttükrözéstől és a mélyreható csomagvizsgálattól, mivel nem rögzítik minden egyes porton vagy kapcsolón áthaladó csomag tartalmát. Az áramlásfigyelés azonban több információt nyújt, mint az SNMP, amely általában olyan általános statisztikákra korlátozódik, mint az általános csomag- és sávszélesség-használat.
Hálózati áramlási eszközök összehasonlítása
| Jellemző | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Nyílt vagy saját tulajdonú | Szabadalmazott | Szabadalmazott | Nyitott | Nyitott |
| Mintavételezett vagy áramlásalapú | Elsősorban áramlásalapú; Mintavételezett mód is elérhető | Elsősorban áramlásalapú; Mintavételezett mód is elérhető | Mintavételezett | Elsősorban áramlásalapú; Mintavételezett mód is elérhető |
| Rögzített információk | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, az interfészszámlálókat és így tovább | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, az interfészszámlálókat és így tovább | Teljes csomagfejlécek, részleges csomag-hasznosadatok | Metaadatok és statisztikai információk, beleértve az átvitt bájtokat, az interfészszámlálókat és így tovább |
| Belépés/kilépés monitorozása | Csak belépő | Belépés és kilépés | Belépés és kilépés | Belépés és kilépés |
| IPv6/VLAN/MPLS támogatás | No | Igen | Igen | Igen |
Közzététel ideje: 2024. márc. 18.
