Netflow ja IPFIX ovat molemmat tekniikoita, joita käytetään verkkovirran seurantaan ja analysointiin. Ne tarjoavat tietoa verkkoliikenteen malleista, jotka auttavat suorituskyvyn optimointia, vianetsintä- ja tietoturva -analyysiä.
NetFlow:
Mikä on Netflow?
Nettoon alkuperäinen virtauksen seurantaratkaisu, jonka Cisco alun perin kehitti 1990 -luvun lopulla. Useita erilaisia versioita on olemassa, mutta suurin osa käyttöönotot perustuvat joko NetFlow V5: ään tai NetFlow V9: ään. Vaikka jokaisella versiolla on erilaiset ominaisuudet, perustoiminta pysyy samana:
Ensinnäkin reititin, kytkin, palomuuri tai muun tyyppinen laite kaappaavat verkon ”virtojen” tiedot - pohjimmiltaan joukko paketteja, joilla on yhteinen ominaisuusjoukko, kuten lähde- ja kohdeosoite, lähde- ja kohdeportti sekä protokollatyyppi. Kun virtaus on mennyt lepotilaan tai ennalta määritetty aika on kulunut, laite vie virtaustietueet kokonaisuuteen, joka tunnetaan nimellä ”virtauskeräjä”.
Lopuksi, ”virtausanalysaattori” on järkevää näiden tietueiden suhteen, jotka tarjoavat näkemyksiä visualisointien, tilastojen ja yksityiskohtaisten historiallisten ja reaaliaikaisten raportointien muodossa. Käytännössä keräilijät ja analysaattorit ovat usein yksi kokonaisuus, joka yhdistetään usein suurempaan verkon suorituskyvyn seurantaratkaisuun.
Netflow toimii tilassa. Kun asiakaskone ulottuu palvelimeen, NetFlow alkaa siepata ja yhdistää metatiedot virtauksesta. Kun istunto on lopetettu, Netflow vie yhden täydellisen tietueen keräilijälle.
Vaikka sitä käytetään edelleen yleisesti, Netflow V5: llä on useita rajoituksia. Vietetyt kentät ovat kiinteitä, seurantaa tuetaan vain sisäänpääsyn suuntaan, ja nykyaikaisia tekniikoita, kuten IPv6, MPLS ja VXLAN, ei tueta. Netflow V9, joka on myös nimetty joustavaksi NetFlow (FNF), osoittaa joitain näistä rajoituksista, jolloin käyttäjät voivat rakentaa mukautettuja malleja ja lisätä tukea uudemmille tekniikoille.
Monilla myyjillä on myös omat Netflow -omat toteutukset, kuten JFLOW Juniperista ja Netstream Huaweista. Vaikka kokoonpano voi vaihdella jonkin verran, nämä toteutukset tuottavat usein virtaustietueita, jotka ovat yhteensopivia NetFlow -keräilijöiden ja analysaattoreiden kanssa.
Netflow -tärkeimmät ominaisuudet:
~ Virtaustiedot: NetFlow tuottaa virtaustietueita, jotka sisältävät yksityiskohdat, kuten lähde- ja kohde -IP -osoitteet, portit, aikaleimat, paketti- ja tavumäärät sekä protokollatyypit.
~ Liikenteen seuranta: NetFlow tarjoaa näkyvyyden verkkoliikenteen malleihin, jolloin järjestelmänvalvojat voivat tunnistaa parhaat sovellukset, päätepisteet ja liikennelähteet.
~Poikkeavuuden havaitseminen: Analysoimalla virtaustietoja NetFlow voi havaita poikkeavuuksia, kuten liiallinen kaistanleveyden käyttö, verkon ruuhka tai epätavalliset liikennemallit.
~ Tietoturva -analyysi: NetFlowa voidaan käyttää turvallisuustapahtumien, kuten hajautettujen palvelunestoyritysten (DDoS) hyökkäysten tai luvattomien käyttöyritysten havaitsemiseen ja tutkimiseen.
NetFlow -versiot: Netflow on kehittynyt ajan myötä, ja eri versiot on julkaistu. Joitakin merkittäviä versioita ovat Netflow V5, Netflow V9 ja joustava NetFlow. Jokainen versio esittelee parannuksia ja lisäominaisuuksia.
IPFIX:
Mikä on ipfix?
IETF -standardi, joka syntyi 2000 -luvun alkupuolella, Internet -protokollan virtaustietojen vienti (IPFIX) on erittäin samanlainen kuin NetFlow. Itse asiassa Netflow V9 toimi perustana IPFIX: lle. Ensisijainen ero näiden kahden välillä on se, että IPFIX on avoin standardi, ja sitä tukee monet verkostoitumisen myyjät Ciscon lisäksi. Lukuun ottamatta muutamaa IPFIX: ään lisättyä ylimääräistä kenttää, muodot ovat muuten melkein identtisiä. Itse asiassa IPFIX: ää kutsutaan joskus jopa nimellä “NetFlow V10”.
Osittain NetFlow: n yhtäläisyyksiensä vuoksi IPFIX tarjoaa laajan tukea verkonvalvontaratkaisujen ja verkkolaitteiden keskuudessa.
IPFIX (Internet -protokollan virtaustietojen vienti) on Internet Engineering Task Force (IETF) kehittämä avoin standardiprotokolla. Se perustuu NetFlow -version 9 määritelmään ja tarjoaa standardisoidun muodon verkkolaitteiden virtaustietueiden viemiseksi.
IPFIX perustuu NetFlow -käsitteisiin ja laajentaa niitä tarjoamaan enemmän joustavuutta ja yhteentoimivuutta eri toimittajien ja laitteiden välillä. Se esittelee mallien käsitteen, mikä mahdollistaa virtaustietueen rakenteen ja sisällön dynaamisen määritelmän. Tämä mahdollistaa mukautettujen kenttien sisällyttämisen, uusien protokollien tuen ja laajennettavuuden.
IPFIX: n tärkeimmät ominaisuudet:
~ Mallipohjainen lähestymistapa: IPFIX käyttää malleja virtaustietueiden rakenteen ja sisällön määrittelemiseen, tarjoamalla joustavuutta eri tietokenttien ja protokollikohtaisten tietojen mukauttamisessa.
~ Yhteentoimivuus: IPFIX on avoin standardi, joka varmistaa johdonmukaiset virtausvalvontaominaisuudet eri verkottumistoimittajien ja laitteiden välillä.
~ IPv6 -tuki: IPFIX tukee natiivisesti IPv6: ta, mikä tekee siitä sopivan IPv6 -verkkojen liikenteen seurantaan ja analysointiin.
~Parannettu turvallisuus: IPFIX sisältää turvaominaisuudet, kuten kuljetuskerroksen tietoturva (TLS) -salaus ja viestien eheystarkistukset, jotta virtaustietojen luottamuksellisuus ja eheys suojataan siirron aikana.
IPFIX: ää tukevat laajasti erilaiset verkkolaitteiden toimittajat, mikä tekee siitä myyjän neutraalin ja laajalti hyväksytty valinta verkkovirran seurantaan.
Joten mitä eroa Netflowin ja IPFixin välillä on?
Yksinkertainen vastaus on, että NetFlow on Ciscon omaprotokolla, joka otettiin käyttöön noin vuonna 1996 ja IPFIX on sen standardirunko hyväksytty veli.
Molemmat protokollat palvelevat samaa tarkoitusta: verkkoinsinöörien ja järjestelmänvalvojien avulla keräämään ja analysoimaan verkon tason IP -liikennevirroita. Cisco kehitti NetFlowin, jotta sen kytkimet ja reitittimet voisivat tulostaa tämän arvokkaan tiedon. Cisco Gearin hallitsevuuden vuoksi Netflowista tuli nopeasti tosiasiallinen standardi verkko liikenteen analysoinnille. Teollisuuden kilpailijat kuitenkin huomasivat, että pääkilpailijan hallitseman omistusoikeudenkäynnin käyttäminen ei ollut hyvä idea, joten IETF johti pyrkimyksiä standardisoida avoin protokolla liikenneanalyysiin, joka on IPFIX.
IPFIX perustuu Netflow -versioon 9 ja se otettiin alun perin käyttöön noin vuonna 2005, mutta alan omaksumisen saaminen kesti muutamia vuosia. Tässä vaiheessa nämä kaksi protokollaa ovat olennaisesti samat ja vaikka termi Netflow on silti yleisempi useimmat toteutukset (tosin ei kaikki) ovat yhteensopivia IPFIX -standardin kanssa.
Tässä on taulukko, jossa on yhteenveto NetFlowin ja IPFIX: n välisistä eroista:
| Näkökohta | Netto | Ipfix |
|---|---|---|
| Alkuperä | Ciscon kehittämä oma tekniikka | Netflow-versioon 9 perustuva teollisuusstandardiprotokolla |
| Standardisointi | Cisco-erityinen tekniikka | IETF: n määrittelemä avoin standardi RFC 7011: ssä |
| Joustavuus | Kehittyneitä versioita, joilla on erityiset ominaisuudet | Suurempi joustavuus ja yhteentoimivuus myyjien välillä |
| Tietomuoto | Kiinteän koon paketit | Mallipohjainen lähestymistapa muokattaisiin virtaustietueisiin |
| Mallituki | Ei tuettu | Dynaamiset mallit joustavalle kentän sisällyttämiselle |
| Myyjätuki | Ensisijaisesti Cisco -laitteet | Laaja tuki verkottumismyyjissä |
| Laajennettavuus | Rajoitettu räätälöinti | Mukautettujen kenttien ja sovelluskohtaisten tietojen sisällyttäminen |
| Protokollaerot | Cisco-spesifiset variaatiot | Natiivi IPv6 -tuki, parannetut virtaustietuevaihtoehdot |
| Turvaominaisuudet | Rajoitetut turvaominaisuudet | Kuljetuskerroksen tietoturva (TLS) salaus, viestin eheys |
Verkon virtausvalvontaon tietyn verkon tai verkkosegmentin liikenteen kerääminen, analysointi ja seuranta. Tavoitteet voivat vaihdella liitettävyyskysymysten vianetsinnästä tulevaisuuden kaistanleveyden jakamiseen. Virtauksen valvonta ja pakettien näytteet voivat olla hyödyllisiä jopa turvallisuuskysymysten tunnistamisessa ja korjaamisessa.
Virtavalvonta antaa verkottumistiimille hyvän kuvan verkon toiminnasta, joka tarjoaa tietoa yleisen hyödyntämisestä, sovellusten käytöstä, potentiaalisista pullonkauloista, poikkeavuuksista, jotka voivat merkitä tietoturvauhkia ja paljon muuta. Verkkovirran seurannassa käytetään useita erilaisia standardeja ja muotoja, mukaan lukien NetFlow, SFLOW ja Internet Protocol Flow Information Export (IPFIX). Jokainen toimii hiukan eri tavalla, mutta kaikki eroavat portin peilista ja syvän pakettitarkastuksesta siinä mielessä, että ne eivät kaappaa jokaisen portin yli kulkevan paketin sisältöä tai kytkimen läpi. Virtausvalvonta tarjoaa kuitenkin enemmän tietoa kuin SNMP, joka rajoittuu yleensä laajoihin tilastoihin, kuten kokonaispaketin ja kaistanleveyden käyttö.
Verkkovirtatyökaluja verrattiin
| Ominaisuus | NetFlow V5 | NetFlow V9 | sflow | Ipfix |
| Avoin tai omistusoikeus | Omistus- | Omistus- | Avata | Avata |
| Näytteenotto tai virtauspohjainen | Ensisijaisesti virtauspohjainen; Näytteenottotila on käytettävissä | Ensisijaisesti virtauspohjainen; Näytteenottotila on käytettävissä | Otoksinen | Ensisijaisesti virtauspohjainen; Näytteenottotila on käytettävissä |
| Tietoa | Metatiedot ja tilastotiedot, mukaan lukien siirretty tavu, rajapintalaskurit ja niin edelleen | Metatiedot ja tilastotiedot, mukaan lukien siirretty tavu, rajapintalaskurit ja niin edelleen | Täydelliset paketti -otsikot, osittaiset pakettien hyötykuormat | Metatiedot ja tilastotiedot, mukaan lukien siirretty tavu, rajapintalaskurit ja niin edelleen |
| Sisäänpääsy/ulostulon seuranta | Vain sisäänpääsy | Pääsy | Pääsy | Pääsy |
| IPv6/VLAN/MPLS -tuki | No | Kyllä | Kyllä | Kyllä |
Viestin aika: Maaliskuu 18-2024
