NetFlow ja IPFIX ovat molemmat tekniikoita, joita käytetään verkkoliikenteen valvontaan ja analysointiin. Ne tarjoavat tietoa verkkoliikennemalleista, mikä auttaa suorituskyvyn optimoinnissa, vianmäärityksessä ja tietoturva-analyysissä.
NetFlow:
Mikä on NetFlow?
NetFlowon alkuperäinen virtauksenvalvontaratkaisu, jonka Cisco kehitti alun perin 1990-luvun lopulla. Siitä on olemassa useita eri versioita, mutta useimmat käyttöönotot perustuvat joko NetFlow v5- tai NetFlow v9 -versioon. Vaikka kummallakin versiolla on erilaiset ominaisuudet, perustoiminta pysyy samana:
Ensin reititin, kytkin, palomuuri tai muuntyyppinen laite tallentaa tietoja verkon "virroista" – pohjimmiltaan joukon paketteja, joilla on yhteiset ominaisuudet, kuten lähde- ja kohdeosoite, lähde- ja kohdeportti sekä protokollatyyppi. Kun vuo on mennyt lepotilaan tai ennalta määrätty aika on kulunut, laite vie vuotiedot "vuonkerääjäksi" kutsuttuun yksikköön.
Lopuksi, "virtausanalysaattori" ymmärtää näitä tietueita ja tarjoaa tietoa visualisointien, tilastojen sekä yksityiskohtaisen historiallisen ja reaaliaikaisen raportoinnin muodossa. Käytännössä kerääjät ja analysaattorit ovat usein yksi kokonaisuus, joka usein yhdistetään suuremmaksi verkon suorituskyvyn valvontaratkaisuksi.
NetFlow toimii tilapohjaisesti. Kun asiakaskone ottaa yhteyttä palvelimeen, NetFlow alkaa kerätä ja koota metatietoja työnkulusta. Istunnon päätyttyä NetFlow vie yhden kokonaisen tietueen kerääjälle.
Vaikka NetFlow v5:tä käytetään edelleen yleisesti, siinä on useita rajoituksia. Vietävät kentät ovat kiinteitä, valvontaa tuetaan vain sisääntulon suunnassa, eikä moderneja teknologioita, kuten IPv6, MPLS ja VXLAN, tueta. NetFlow v9, joka tunnetaan myös nimellä Flexible NetFlow (FNF), korjaa joitakin näistä rajoituksista, jolloin käyttäjät voivat luoda mukautettuja malleja ja lisää tuen uudemmille teknologioille.
Monilla toimittajilla on myös omat NetFlow-toteutuksensa, kuten Juniperin jFlow ja Huawein NetStream. Vaikka kokoonpano saattaa vaihdella jonkin verran, nämä toteutukset tuottavat usein NetFlow-keräilijöiden ja -analysaattoreiden kanssa yhteensopivia vuotietueita.
NetFlow'n tärkeimmät ominaisuudet:
~ VirtaustiedotNetFlow luo tietovirtoja, jotka sisältävät tietoja, kuten lähteen ja kohteen IP-osoitteet, portit, aikaleimat, paketti- ja tavumäärät sekä protokollatyypit.
~ Liikenteen seurantaNetFlow tarjoaa näkyvyyden verkkoliikennemalleihin, jolloin järjestelmänvalvojat voivat tunnistaa tärkeimmät sovellukset, päätepisteet ja liikenteen lähteet.
~Poikkeamien havaitseminenAnalysoimalla virtausdataa NetFlow voi havaita poikkeavuuksia, kuten liiallista kaistanleveyden käyttöä, verkon ruuhkautumista tai epätavallisia liikennemalleja.
~ Tietoturva-analyysiNetFlow'ta voidaan käyttää tietoturvahäiriöiden, kuten hajautettujen palvelunestohyökkäysten (DDoS) tai luvattomien käyttöyritysten, havaitsemiseen ja tutkimiseen.
NetFlow-versiotNetFlow on kehittynyt ajan myötä, ja siitä on julkaistu useita versioita. Joitakin merkittäviä versioita ovat NetFlow v5, NetFlow v9 ja Flexible NetFlow. Jokainen versio tuo mukanaan parannuksia ja lisäominaisuuksia.
IPFIX:
Mikä on IPFIX?
IETF:n standardina syntynyt Internet Protocol Flow Information Export (IPFIX) on 2000-luvun alussa erittäin samankaltainen kuin NetFlow. Itse asiassa NetFlow v9 toimi IPFIXin perustana. Näiden kahden tärkein ero on se, että IPFIX on avoin standardi, jota monet verkkolaitetoimittajat Ciscon lisäksi tukevat. Muutamaa IPFIXiin lisättyä lisäkenttää lukuun ottamatta formaatit ovat muuten lähes identtisiä. Itse asiassa IPFIXiä kutsutaan joskus jopa nimellä "NetFlow v10".
Osittain NetFlow'n samankaltaisuuksiensa ansiosta IPFIX nauttii laajaa tukea verkonvalvontaratkaisujen ja verkkolaitteiden keskuudessa.
IPFIX (Internet Protocol Flow Information Export) on Internet Engineering Task Forcen (IETF) kehittämä avoimen standardin mukainen protokolla. Se perustuu NetFlow Version 9 -spesifikaatioon ja tarjoaa standardoidun muodon virtaustietojen viemiseen verkkolaitteista.
IPFIX perustuu NetFlow'n konsepteihin ja laajentaa niitä tarjotakseen enemmän joustavuutta ja yhteentoimivuutta eri toimittajien ja laitteiden välillä. Se esittelee mallipohjien käsitteen, joka mahdollistaa virtaustietojen rakenteen ja sisällön dynaamisen määrittelyn. Tämä mahdollistaa mukautettujen kenttien sisällyttämisen, uusien protokollien tuen ja laajennettavuuden.
IPFIXin tärkeimmät ominaisuudet:
~ Mallipohjainen lähestymistapaIPFIX käyttää malleja määrittääkseen vuotietueiden rakenteen ja sisällön, mikä tarjoaa joustavuutta eri tietokenttien ja protokollakohtaisten tietojen hyödyntämisessä.
~ YhteentoimivuusIPFIX on avoin standardi, joka varmistaa yhdenmukaiset virtauksenvalvontaominaisuudet eri verkkotoimittajien ja laitteiden välillä.
~ IPv6-tukiIPFIX tukee natiivisti IPv6:ta, joten se soveltuu IPv6-verkkojen liikenteen valvontaan ja analysointiin.
~Parannettu turvallisuusIPFIX sisältää suojausominaisuuksia, kuten Transport Layer Security (TLS) -salauksen ja viestien eheystarkistukset, jotka suojaavat tiedonsiirtotietojen luottamuksellisuutta ja eheyttä lähetyksen aikana.
Useat verkkolaitetoimittajat tukevat IPFIXiä laajalti, joten se on toimittajaneutraali ja laajalti käytetty valinta verkkovirran valvontaan.
Joten mitä eroa on NetFlow'lla ja IPFIX:llä?
Yksinkertainen vastaus on, että NetFlow on Ciscon oma protokolla, joka esiteltiin noin vuonna 1996, ja IPFIX on sen standardointielimen hyväksymä sisarprotokolla.
Molemmat protokollat palvelevat samaa tarkoitusta: mahdollistavat verkkoinsinöörien ja järjestelmänvalvojien kerätä ja analysoida verkkotason IP-liikennevirtoja. Cisco kehitti NetFlow'n, jotta sen kytkimet ja reitittimet voisivat tuottaa tätä arvokasta tietoa. Ciscon laitteiden hallitsevan aseman vuoksi NetFlow'sta tuli nopeasti tosiasiallinen standardi verkkoliikenteen analysointiin. Alan kilpailijat kuitenkin ymmärsivät, että sen pääkilpailijan hallinnoiman omaan protokollaan perustuvan protokollan käyttö ei ollut hyvä idea, ja siksi IETF johti pyrkimystä standardoida avoin protokolla liikenneanalyysiä varten, joka on IPFIX.
IPFIX perustuu NetFlow-versioon 9, ja se esiteltiin alun perin noin vuonna 2005, mutta sen yleistyminen alan keskuudessa kesti jonkin aikaa. Tässä vaiheessa nämä kaksi protokollaa ovat pohjimmiltaan samat, ja vaikka termi NetFlow on edelleen yleisempi, useimmat toteutukset (vaikkakaan eivät kaikki) ovat yhteensopivia IPFIX-standardin kanssa.
Tässä on taulukko, joka tiivistää NetFlow'n ja IPFIX:n väliset erot:
| Aspect | NetFlow | IPFIX |
|---|---|---|
| Alkuperä | Ciscon kehittämä oma teknologia | NetFlow-versioon 9 perustuva alan standardiprotokolla |
| Standardointi | Cisco-kohtainen teknologia | IETF:n RFC 7011:ssä määrittelemä avoin standardi |
| Joustavuus | Kehittyneet versiot erityisominaisuuksilla | Suurempi joustavuus ja yhteentoimivuus eri toimittajien välillä |
| Tietomuoto | Kiinteän kokoiset paketit | Mallipohjainen lähestymistapa mukautettaviin työnkulkutietueiden muotoihin |
| Mallipohjan tuki | Ei tuettu | Dynaamiset mallit joustavaa kenttien sisällyttämistä varten |
| Toimittajien tuki | Pääasiassa Ciscon laitteita | Laaja tuki eri verkkotoimittajille |
| Laajennettavuus | Rajoitettu mukauttaminen | Mukautettujen kenttien ja sovelluskohtaisten tietojen sisällyttäminen |
| Protokollien erot | Cisco-kohtaiset variaatiot | Natiivi IPv6-tuki, parannetut vuontallennusvaihtoehdot |
| Turvaominaisuudet | Rajoitetut turvaominaisuudet | Transport Layer Security (TLS) -salaus, viestin eheys |
Verkkovirtauksen valvontaon tietyn verkon tai verkkosegmentin läpi kulkevan liikenteen keräämistä, analysointia ja valvontaa. Tavoitteet voivat vaihdella yhteysongelmien vianmäärityksestä tulevan kaistanleveyden allokoinnin suunnitteluun. Virtauksen valvonta ja pakettien näytteenotto voivat olla hyödyllisiä jopa tietoturvaongelmien tunnistamisessa ja korjaamisessa.
Virtauksenvalvonta antaa verkostoitumistiimeille hyvän kuvan verkon toiminnasta, ja se tarjoaa tietoa verkon kokonaiskäytöstä, sovellusten käytöstä, mahdollisista pullonkauloista, poikkeavuuksista, jotka voivat viestiä tietoturvauhkista, ja muusta. Verkkovirranvalvonnassa käytetään useita eri standardeja ja formaatteja, kuten NetFlow, sFlow ja Internet Protocol Flow Information Export (IPFIX). Jokainen toimii hieman eri tavalla, mutta kaikki eroavat porttipeilauksesta ja syvällisestä pakettien tarkastuksesta siinä, että ne eivät tallenna jokaisen portin tai kytkimen läpi kulkevan paketin sisältöä. Virtauksenvalvonta tarjoaa kuitenkin enemmän tietoa kuin SNMP, joka yleensä rajoittuu laajoihin tilastoihin, kuten pakettien kokonaiskäyttöön ja kaistanleveyden käyttöön.
Verkkovirtaustyökalujen vertailu
| Ominaisuus | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Avoin tai omistusoikeudella suojattu | Omistusoikeudellinen | Omistusoikeudellinen | Avata | Avata |
| Näytteenottu tai virtauspohjainen | Ensisijaisesti virtauspohjainen; Näytteenottotila on saatavilla | Ensisijaisesti virtauspohjainen; Näytteenottotila on saatavilla | Näyte | Ensisijaisesti virtauspohjainen; Näytteenottotila on saatavilla |
| Tallennetut tiedot | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen | Täydelliset pakettien otsikot, osittaiset pakettien hyötykuormat | Metadata ja tilastotiedot, mukaan lukien siirretyt tavut, rajapintalaskurit ja niin edelleen |
| Sisään-/uloskäynnin valvonta | Vain sisäänpääsy | Sisään- ja uloskäynti | Sisään- ja uloskäynti | Sisään- ja uloskäynti |
| IPv6/VLAN/MPLS-tuki | No | Kyllä | Kyllä | Kyllä |
Julkaisun aika: 18.3.2024
