NetFlow та IPFIX – це технології, що використовуються для моніторингу та аналізу мережевого потоку. Вони надають уявлення про закономірності мережевого трафіку, допомагаючи в оптимізації продуктивності, усуненні несправностей та аналізі безпеки.
Мережевий потік:
Що таке NetFlow?
NetFlow– це оригінальне рішення для моніторингу потоків, розроблене Cisco наприкінці 1990-х років. Існує кілька різних версій, але більшість розгортань базуються на NetFlow v5 або NetFlow v9. Хоча кожна версія має різні можливості, основні операції залишаються незмінними:
Спочатку маршрутизатор, комутатор, брандмауер або інший тип пристрою збиратиме інформацію про мережеві «потоки» – по суті, набір пакетів, які мають спільний набір характеристик, таких як адреса джерела та призначення, порт джерела та призначення, а також тип протоколу. Після того, як потік перейде в режим очікування або мине певний проміжок часу, пристрій експортує записи потоків до об’єкта, відомого як «колектор потоків».
Зрештою, «аналізатор потоку» надає сенсу цим записам, надаючи аналітичні дані у вигляді візуалізацій, статистики та детальної історичної звітності в режимі реального часу. На практиці колектори та аналізатори часто є єдиним цілим, часто об'єднаним у більше рішення для моніторингу продуктивності мережі.
NetFlow працює на основі відстеження стану. Коли клієнтська машина звертається до сервера, NetFlow починає збирати та агрегувати метадані з потоку. Після завершення сеансу NetFlow експортує один повний запис до колектора.
Хоча NetFlow v5 все ще широко використовується, він має низку обмежень. Експортовані поля фіксовані, моніторинг підтримується лише у вхідному напрямку, а сучасні технології, такі як IPv6, MPLS та VXLAN, не підтримуються. NetFlow v9, також відомий як Flexible NetFlow (FNF), усуває деякі з цих обмежень, дозволяючи користувачам створювати власні шаблони та додаючи підтримку для новіших технологій.
Багато постачальників також мають власні реалізації NetFlow, такі як jFlow від Juniper та NetStream від Huawei. Хоча конфігурація може дещо відрізнятися, ці реалізації часто створюють записи потоку, сумісні з колекторами та аналізаторами NetFlow.
Ключові характеристики NetFlow:
~ Дані потокуNetFlow генерує записи потоку, які містять такі деталі, як IP-адреси джерела та призначення, порти, позначки часу, кількість пакетів і байтів, а також типи протоколів.
~ Моніторинг дорожнього рухуNetFlow забезпечує видимість моделей мережевого трафіку, дозволяючи адміністраторам визначати найпопулярніші програми, кінцеві точки та джерела трафіку.
~Виявлення аномалійАналізуючи дані потоку, NetFlow може виявляти аномалії, такі як надмірне використання пропускної здатності, перевантаження мережі або незвичайні моделі трафіку.
~ Аналіз безпекиNetFlow можна використовувати для виявлення та розслідування інцидентів безпеки, таких як розподілені атаки типу «відмова в обслуговуванні» (DDoS) або спроби несанкціонованого доступу.
Версії NetFlowNetFlow розвивався з часом, і було випущено різні версії. Деякі помітні версії включають NetFlow v5, NetFlow v9 та Flexible NetFlow. Кожна версія містить покращення та додаткові можливості.
IPFIX:
Що таке IPFIX?
Стандарт IETF, що з'явився на початку 2000-х років, Internet Protocol Flow Information Export (IPFIX), надзвичайно схожий на NetFlow. Фактично, NetFlow v9 послужив основою для IPFIX. Основна відмінність між ними полягає в тому, що IPFIX є відкритим стандартом і підтримується багатьма постачальниками мережевого обладнання, окрім Cisco. За винятком кількох додаткових полів, доданих в IPFIX, формати в іншому майже ідентичні. Фактично, IPFIX іноді навіть називають «NetFlow v10».
Частково завдяки своїй схожості з NetFlow, IPFIX користується широкою підтримкою серед рішень для моніторингу мережі, а також мережевого обладнання.
IPFIX (Internet Protocol Flow Information Export) – це протокол відкритого стандарту, розроблений Internet Engineering Task Force (IETF). Він базується на специфікації NetFlow версії 9 та забезпечує стандартизований формат для експорту записів потоків з мережевих пристроїв.
IPFIX базується на концепціях NetFlow та розширює їх, щоб запропонувати більшу гнучкість та сумісність між різними постачальниками та пристроями. Він вводить концепцію шаблонів, що дозволяє динамічно визначати структуру та вміст записів потоку. Це дозволяє додавати користувацькі поля, підтримувати нові протоколи та розширюватися.
Основні характеристики IPFIX:
~ Підхід на основі шаблонівIPFIX використовує шаблони для визначення структури та вмісту записів потоків, що забезпечує гнучкість у розміщенні різних полів даних та інформації, що стосується протоколу.
~ ВзаємосумісністьIPFIX — це відкритий стандарт, що забезпечує узгоджені можливості моніторингу потоку даних між різними постачальниками мереж та пристроями.
~ Підтримка IPv6IPFIX вбудовано підтримує IPv6, що робить його придатним для моніторингу та аналізу трафіку в мережах IPv6.
~Посилена безпекаIPFIX включає функції безпеки, такі як шифрування Transport Layer Security (TLS) та перевірку цілісності повідомлень, для захисту конфіденційності та цілісності даних потоку під час передачі.
IPFIX широко підтримується різними постачальниками мережевого обладнання, що робить його нейтральним до постачальників та широко застосовуваним вибором для моніторингу мережевого потоку.
Отже, яка різниця між NetFlow та IPFIX?
Проста відповідь полягає в тому, що NetFlow — це власний протокол Cisco, представлений приблизно у 1996 році, а IPFIX — його аналог, затверджений органом зі стандартизації.
Обидва протоколи служать одній і тій самій меті: дозволяють мережевим інженерам та адміністраторам збирати та аналізувати потоки IP-трафіку на мережевому рівні. Cisco розробила NetFlow, щоб її комутатори та маршрутизатори могли виводити цю цінну інформацію. Враховуючи домінування обладнання Cisco, NetFlow швидко став фактичним стандартом для аналізу мережевого трафіку. Однак конкуренти галузі зрозуміли, що використання власного протоколу, контрольованого його головним конкурентом, не є гарною ідеєю, і тому IETF очолила зусилля зі стандартизації відкритого протоколу для аналізу трафіку, яким є IPFIX.
IPFIX базується на NetFlow версії 9 і був вперше представлений приблизно у 2005 році, але знадобилося кілька років, щоб отримати визнання в галузі. На даний момент ці два протоколи по суті однакові, і хоча термін NetFlow все ще є більш поширеним, більшість реалізацій (хоча й не всі) сумісні зі стандартом IPFIX.
Ось таблиця, що підсумовує відмінності між NetFlow та IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Походження | Власна технологія, розроблена Cisco | Стандартний протокол промисловості на основі NetFlow версії 9 |
| Стандартизація | Технологія, специфічна для Cisco | Відкритий стандарт, визначений IETF у RFC 7011 |
| Гнучкість | Вдосконалені версії зі специфічними функціями | Більша гнучкість та сумісність між різними постачальниками |
| Формат даних | Пакети фіксованого розміру | Підхід на основі шаблонів для настроюваних форматів записів потоків |
| Підтримка шаблонів | Не підтримується | Динамічні шаблони для гнучкого включення полів |
| Підтримка постачальників | В основному пристрої Cisco | Широка підтримка серед постачальників мережевих послуг |
| Розширюваність | Обмежена налаштування | Включення користувацьких полів та даних, специфічних для програми |
| Відмінності протоколів | Варіації, специфічні для Cisco | Вбудована підтримка IPv6, розширені параметри запису потоку |
| Функції безпеки | Обмежені функції безпеки | Шифрування Transport Layer Security (TLS), цілісність повідомлень |
Моніторинг мережевого потоку– це збір, аналіз та моніторинг трафіку, що проходить через певну мережу або сегмент мережі. Цілі можуть варіюватися від усунення проблем з підключенням до планування майбутнього розподілу пропускної здатності. Моніторинг потоку та вибірка пакетів можуть бути корисними навіть для виявлення та усунення проблем безпеки.
Моніторинг потоку дає мережевим командам гарне уявлення про те, як працює мережа, надаючи інформацію про загальне використання, використання програм, потенційні вузькі місця, аномалії, які можуть сигналізувати про загрози безпеці тощо. Існує кілька різних стандартів і форматів, що використовуються для моніторингу мережевого потоку, включаючи NetFlow, sFlow та Internet Protocol Flow Information Export (IPFIX). Кожен з них працює дещо по-різному, але всі вони відрізняються від дзеркалювання портів та глибокої перевірки пакетів тим, що вони не фіксують вміст кожного пакета, що проходить через порт або через комутатор. Однак моніторинг потоку надає більше інформації, ніж SNMP, який зазвичай обмежується широкою статистикою, такою як загальне використання пакетів та пропускної здатності.
Порівняння інструментів мережевого потоку
| Функція | NetFlow версії 5 | NetFlow версії 9 | sFlow | IPFIX |
| Відкритий або власний | Власник | Власник | ВІДЧИНЕНО | ВІДЧИНЕНО |
| Вибіркова або потокова | В основному на основі потоку; доступний режим вибірки | В основному на основі потоку; доступний режим вибірки | Зразок | В основному на основі потоку; доступний режим вибірки |
| Зафіксована інформація | Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсів тощо | Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсів тощо | Повні заголовки пакетів, часткові корисні навантаження пакетів | Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсів тощо |
| Моніторинг входу/виходу | Тільки вхід | Вхід та вихід | Вхід та вихід | Вхід та вихід |
| Підтримка IPv6/VLAN/MPLS | No | Так | Так | Так |
Час публікації: 18 березня 2024 р.
