NetFlow ja IPFIX ovat molemmat tekniikoita, joita käytetään verkkovirran seurantaan ja analysointiin. Ne tarjoavat tietoa verkkoliikennemalleista, auttaen suorituskyvyn optimoinnissa, vianmäärityksessä ja tietoturva-analyysissä.
NetFlow:
Mikä on NetFlow?
NetFlowon alkuperäinen virtauksen valvontaratkaisu, jonka Cisco kehitti alun perin 1990-luvun lopulla. On olemassa useita eri versioita, mutta useimmat käyttöönotot perustuvat joko NetFlow v5:een tai NetFlow v9:ään. Vaikka jokaisella versiolla on erilaiset ominaisuudet, perustoiminto pysyy samana:
Ensinnäkin reititin, kytkin, palomuuri tai muun tyyppinen laite kaappaa tiedot verkon "virroista" – pohjimmiltaan paketeista, joilla on yhteiset ominaisuudet, kuten lähde- ja kohdeosoite, lähde- ja kohdeportti ja protokolla. tyyppi. Kun virta on mennyt lepotilaan tai ennalta määritetty aika on kulunut, laite vie vuotietueet entiteetille, joka tunnetaan nimellä "virtauksen kerääjä".
Lopuksi "virtausanalysaattori" tekee näistä tietueista järkeä, ja se tarjoaa oivalluksia visualisoinnit, tilastot ja yksityiskohtaiset historialliset ja reaaliaikaiset raportit. Käytännössä keräilijät ja analysaattorit ovat usein yksi kokonaisuus, joka usein yhdistetään suuremmaksi verkon suorituskyvyn seurantaratkaisuksi.
NetFlow toimii tilaperusteisesti. Kun asiakaskone ottaa yhteyden palvelimeen, NetFlow alkaa kaapata ja koota metatietoja kulusta. Kun istunto on päätetty, NetFlow vie yhden täydellisen tietueen keräilijälle.
Vaikka NetFlow v5 on edelleen yleisesti käytössä, sillä on useita rajoituksia. Viedyt kentät ovat kiinteitä, valvontaa tuetaan vain sisääntulosuunnassa, eikä nykyaikaisia teknologioita, kuten IPv6, MPLS ja VXLAN, tueta. NetFlow v9, joka tunnetaan myös nimellä Flexible NetFlow (FNF), korjaa joitain näistä rajoituksista, jolloin käyttäjät voivat rakentaa mukautettuja malleja ja lisätä tukea uudemmille teknologioille.
Monilla toimittajilla on myös omat NetFlow-toteutukset, kuten Juniperin jFlow ja Huawein NetStream. Vaikka kokoonpano voi vaihdella jonkin verran, nämä toteutukset tuottavat usein vuotietueita, jotka ovat yhteensopivia NetFlow-keräinten ja -analysaattoreiden kanssa.
NetFlown tärkeimmät ominaisuudet:
~ Flow Data: NetFlow luo vuotietueita, jotka sisältävät tietoja, kuten lähde- ja kohde-IP-osoitteet, portit, aikaleimat, paketti- ja tavumäärät sekä protokollatyypit.
~ Liikenteen valvonta: NetFlow tarjoaa näkyvyyttä verkkoliikennemalleihin, jolloin järjestelmänvalvojat voivat tunnistaa suosituimmat sovellukset, päätepisteet ja liikenteen lähteet.
~Anomalian havaitseminen: Analysoimalla virtaustietoja NetFlow voi havaita poikkeavuuksia, kuten liiallisen kaistanleveyden käytön, verkon ruuhkautumisen tai epätavallisia liikennemalleja.
~ Turvallisuusanalyysi: NetFlow'ta voidaan käyttää tietoturvahäiriöiden, kuten hajautetun palvelunestohyökkäyksen (DDoS) tai luvattoman pääsyn yritysten havaitsemiseen ja tutkimiseen.
NetFlow-versiot: NetFlow on kehittynyt ajan myötä, ja eri versioita on julkaistu. Joitakin merkittäviä versioita ovat NetFlow v5, NetFlow v9 ja Flexible NetFlow. Jokainen versio sisältää parannuksia ja lisäominaisuuksia.
IPFIX:
Mikä on IPFIX?
IETF-standardi, joka syntyi 2000-luvun alussa, Internet Protocol Flow Information Export (IPFIX) on erittäin samanlainen kuin NetFlow. Itse asiassa NetFlow v9 toimi IPFIXin perustana. Ensisijainen ero näiden kahden välillä on se, että IPFIX on avoin standardi, ja sitä tukevat monet verkkotoimittajat Ciscon lisäksi. Muutamaa IPFIX:ään lisättyä kenttää lukuun ottamatta muodot ovat muuten lähes identtiset. Itse asiassa IPFIX:ää kutsutaan joskus jopa nimellä "NetFlow v10".
Osittain samankaltaisuuksiensa vuoksi NetFlow'n kanssa IPFIX:llä on laaja tuki verkonvalvontaratkaisujen ja verkkolaitteiden joukossa.
IPFIX (Internet Protocol Flow Information Export) on Internet Engineering Task Forcen (IETF) kehittämä avoin standardiprotokolla. Se perustuu NetFlow Version 9 -spesifikaatioon ja tarjoaa standardoidun muodon vuotietueiden viemiseen verkkolaitteista.
IPFIX perustuu NetFlow-konsepteihin ja laajentaa niitä tarjotakseen enemmän joustavuutta ja yhteentoimivuutta eri toimittajien ja laitteiden välillä. Se esittelee mallien käsitteen, mikä mahdollistaa vuotietueen rakenteen ja sisällön dynaamisen määrittelyn. Tämä mahdollistaa mukautettujen kenttien sisällyttämisen, tuen uusille protokollille ja laajennettavuuden.
IPFIXin tärkeimmät ominaisuudet:
~ Mallipohjainen lähestymistapa: IPFIX käyttää malleja vuotietueiden rakenteen ja sisällön määrittelemiseen, mikä tarjoaa joustavuutta eri tietokenttien ja protokollakohtaisten tietojen mukauttamiseen.
~ Yhteentoimivuus: IPFIX on avoin standardi, joka varmistaa johdonmukaiset virtauksen seurantaominaisuudet eri verkkotoimittajille ja laitteille.
~ IPv6-tuki: IPFIX tukee alkuperäisesti IPv6:ta, joten se sopii IPv6-verkkojen liikenteen seurantaan ja analysointiin.
~Parannettu suojaus: IPFIX sisältää suojausominaisuuksia, kuten TLS (Transport Layer Security) -salauksen ja viestien eheyden tarkistukset, jotka suojaavat virtaustietojen luottamuksellisuutta ja eheyttä lähetyksen aikana.
Eri verkkolaitteiden toimittajat tukevat laajasti IPFIX:ää, joten se on toimittajaneutraali ja laajalti hyväksytty valinta verkkovirran valvontaan.
Joten, mitä eroa on NetFlown ja IPFIX:n välillä?
Yksinkertainen vastaus on, että NetFlow on Ciscon oma protokolla, joka esiteltiin noin vuonna 1996, ja IPFIX on sen standardointielimen hyväksymä veli.
Molemmat protokollat palvelevat samaa tarkoitusta: mahdollistavat verkkoinsinöörien ja järjestelmänvalvojien kerätä ja analysoida verkkotason IP-liikennevirtoja. Cisco kehitti NetFlow'n, jotta sen kytkimet ja reitittimet voisivat tulostaa nämä arvokkaat tiedot. Cisco-laitteiden hallitsevan aseman vuoksi NetFlowsta tuli nopeasti verkkoliikenteen analysoinnin tosiasiallinen standardi. Alan kilpailijat kuitenkin ymmärsivät, että sen pääkilpailijan hallitseman patentoidun protokollan käyttäminen ei ollut hyvä idea, ja siksi IETF johti yritystä standardoida avoin protokolla liikenneanalyysille, joka on IPFIX.
IPFIX perustuu NetFlow-versioon 9, ja se esiteltiin alun perin vuoden 2005 tienoilla, mutta kesti useita vuosia, ennen kuin se otettiin käyttöön alalla. Tässä vaiheessa nämä kaksi protokollaa ovat olennaisesti samat, ja vaikka termi NetFlow on edelleen yleisempi, useimmat toteutukset (joskaan eivät kaikki) ovat yhteensopivia IPFIX-standardin kanssa.
Tässä on taulukko, jossa on yhteenveto NetFlown ja IPFIXin eroista:
Aspekti | NetFlow | IPFIX |
---|---|---|
Alkuperä | Ciscon kehittämä patentoitu tekniikka | Alan standardiprotokolla, joka perustuu NetFlow-versioon 9 |
Standardointi | Cisco-spesifinen tekniikka | IETF:n määrittelemä avoin standardi RFC 7011:ssä |
Joustavuus | Kehittyneet versiot erityisominaisuuksilla | Parempi joustavuus ja yhteentoimivuus toimittajien välillä |
Tietojen muoto | Kiinteän kokoiset paketit | Mallipohjainen lähestymistapa mukautettaviin vuotietuemuotoihin |
Mallin tuki | Ei tuettu | Dynaamiset mallit joustavaan kenttien sisällyttämiseen |
Myyjän tuki | Ensisijaisesti Cisco-laitteet | Laaja tuki verkkotoimittajille |
Laajennettavuus | Rajoitettu räätälöinti | Mukautettujen kenttien ja sovelluskohtaisten tietojen sisällyttäminen |
Protokollaerot | Cisco-kohtaisia muunnelmia | Alkuperäinen IPv6-tuki, parannetut virtauksen tallennusvaihtoehdot |
Suojausominaisuudet | Rajoitetut turvaominaisuudet | Transport Layer Security (TLS) -salaus, viestien eheys |
Verkkovirran valvontaon tietyn verkon tai verkkosegmentin läpi kulkevan liikenteen kerääminen, analysointi ja seuranta. Tavoitteet voivat vaihdella yhteysongelmien vianmäärityksestä tulevan kaistanleveyden varaamisen suunnitteluun. Vuon seuranta ja pakettien näytteenotto voivat jopa olla hyödyllisiä tietoturvaongelmien tunnistamisessa ja korjaamisessa.
Flow-seuranta antaa verkkotiimeille hyvän käsityksen verkon toiminnasta ja antaa tietoa yleisestä käytöstä, sovellusten käytöstä, mahdollisista pullonkauloista, poikkeavuuksista, jotka voivat viestiä tietoturvauhkista, ja paljon muuta. Verkkovirran valvonnassa käytetään useita erilaisia standardeja ja formaatteja, mukaan lukien NetFlow, sFlow ja Internet Protocol Flow Information Export (IPFIX). Jokainen toimii hieman eri tavalla, mutta kaikki eroavat portin peilauksesta ja syvästä pakettien tarkastuksesta, koska ne eivät kaappaa jokaisen portin tai kytkimen kautta kulkevan paketin sisältöä. Virran valvonta tarjoaa kuitenkin enemmän tietoa kuin SNMP, joka yleensä rajoittuu laajoihin tilastoihin, kuten kokonaispakettien ja kaistanleveyden käyttöön.
Verkkovirtaustyökaluja verrattu
Ominaisuus | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Avoin tai omistettu | Omistusoikeus | Omistusoikeus | Avata | Avata |
Näytteenotto tai virtausperusteinen | Pääasiassa virtauspohjainen; Sampled Mode on käytettävissä | Pääasiassa virtauspohjainen; Sampled Mode on käytettävissä | Otettu näyte | Pääasiassa virtauspohjainen; Sampled Mode on käytettävissä |
Tiedot tallennettu | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen | Täydelliset pakettiotsikot, osittaiset pakettien hyötykuormat | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen |
Sisään/ulostulon valvonta | Vain sisääntulo | Sisääntulo ja ulostulo | Sisääntulo ja ulostulo | Sisääntulo ja ulostulo |
IPv6/VLAN/MPLS-tuki | No | Kyllä | Kyllä | Kyllä |
Postitusaika: 18.3.2024