NetFlow та IPFIX - це як технології, що використовуються для моніторингу та аналізу мережевого потоку. Вони дають уявлення про мережеві схеми трафіку, сприяючи оптимізації продуктивності, усуненню несправностей та аналізу безпеки.
NetFlow:
Що таке NetFlow?
Мережевий- оригінальне рішення для моніторингу потоку, спочатку розроблене Cisco наприкінці 1990 -х. Існує кілька різних версій, але більшість розгортання базуються на NetFlow V5, або на NetFlow V9. Хоча кожна версія має різні можливості, основна операція залишається однаковою:
По -перше, маршрутизатор, перемикач, брандмауер чи інший тип пристрою зафіксують інформацію в мережі "потоки" - в основному набір пакетів, які поділяють загальний набір характеристик, таких як адреса джерела та призначення, джерело та порт призначення та тип протоколу. Після того, як потік закінчився спокою, або заздалегідь визначена кількість часу пройшла, пристрій експортуватиме записи потоку до суб'єкта, відомого як "колектор потоку".
Нарешті, «аналізатор потоку» має сенс у цих записах, що забезпечує уявлення у вигляді візуалізацій, статистики та детальної історичної та реальної звітності в режимі реального часу. На практиці колекціонери та аналізатори часто є єдиною сутністю, часто поєднуючись у більш широке рішення щодо моніторингу продуктивності мережі.
NetFlow працює на державній основі. Коли клієнтська машина виходить на сервер, NetFlow почне захоплювати та агрегуючи метадані з потоку. Після припинення сеансу NetFlow експортує єдиний повний запис до колектора.
Хоча він все ще зазвичай використовується, NetFlow V5 має ряд обмежень. Експортовані поля фіксуються, моніторинг підтримується лише в напрямку входу, а сучасні технології, такі як IPv6, MPLS та VXLAN, не підтримуються. NetFlow V9, також вважається гнучким NetFlow (FNF), вирішує деякі з цих обмежень, що дозволяє користувачам створювати власні шаблони та додавати підтримку нових технологій.
Багато постачальників також мають власні фірмові реалізації NetFlow, такі як Jflow від Juniper та NetStream з Huawei. Хоча конфігурація може дещо відрізнятися, ці реалізації часто створюють записи потоку, сумісні з колекціонерами та аналізаторами NetFlow.
Основні особливості NetFlow:
~ Дані потоку: NetFlow генерує записи потоку, які включають такі деталі, як джерело та IP -адреси призначення, порти, часові позначки, кількість пакетів та байтів та типи протоколів.
~ Моніторинг трафіку: NetFlow забезпечує видимість мережевих моделей трафіку, що дозволяє адміністраторам визначати найкращі програми, кінцеві точки та джерела трафіку.
~Виявлення аномалії: Аналізуючи дані потоку, NetFlow може виявити аномалії, такі як надмірне використання пропускної здатності, перевантаження мережі або незвичайні схеми трафіку.
~ Аналіз безпеки: NetFlow може бути використаний для виявлення та дослідження випадків безпеки, таких як атаки розподіленої відмови від служби (DDOS) або несанкціоновані спроби доступу.
Версії NetFlow: NetFlow розвивався з часом, і випущені різні версії. Деякі помітні версії включають NetFlow V5, NetFlow V9 та гнучкий NetFlow. Кожна версія вводить вдосконалення та додаткові можливості.
Ipfix:
Що таке IPFIX?
Стандарт IETF, що з’явився на початку 2000 -х, експорт інформації протоколу Інтернету (IPFIX) надзвичайно схожий на NetFlow. Насправді, NetFlow V9 послужив основою для IPFIX. Основна відмінність між ними полягає в тому, що IPFIX є відкритим стандартом і підтримується багатьма постачальниками мереж, крім Cisco. За винятком кількох додаткових полів, доданих до IPFIX, формати інакше майже однакові. Насправді IPFIX іноді навіть називають "NetFlow V10".
Частково завдяки своїй подібності з NetFlow, IPFIX користується широкою підтримкою між рішеннями мережевого моніторингу, а також мережевим обладнанням.
IPFIX (Експорт інформації протоколу Інтернету) - це відкритий стандартний протокол, розроблений робочою групою Інтернет -інженерії (IETF). Він заснований на специфікації версії 9 NetFlow і забезпечує стандартизований формат для експорту записів потоку з мережевих пристроїв.
IPFIX ґрунтується на поняттях NetFlow і розширює їх, щоб запропонувати більше гнучкості та сумісності для різних постачальників та пристроїв. Він вводить концепцію шаблонів, що дозволяє динамічне визначення структури та змісту потоку. Це дозволяє включити власні поля, підтримку нових протоколів та розширюваність.
Основні особливості IPFIX:
~ Підхід на основі шаблону: IPFIX використовує шаблони для визначення структури та вмісту записів потоку, пропонуючи гнучкість у розміщенні різних полів даних та інформації, що стосується протоколу.
~ Сумісність: IPFIX - це відкритий стандарт, що забезпечує постійні можливості моніторингу потоку в різних постачальниках та пристроях мереж.
~ Підтримка IPv6: IPFIX NATAL підтримує IPv6, що робить його придатним для моніторингу та аналізу трафіку в мережах IPv6.
~Посилена безпека: IPFIX включає функції безпеки, такі як безпека транспортного шару (TLS) Шифрування та перевірка цілісності повідомлень для захисту конфіденційності та цілісності даних протоку під час передачі.
IPFIX широко підтримується різними постачальниками мережевого обладнання, що робить його нейтральним постачальником та широко прийнятою вибором для моніторингу потоку мережі.
Отже, яка різниця між NetFlow та IPFIX?
Проста відповідь полягає в тому, що NetFlow - це власний протокол Cisco, введений близько 1996 року, а IPFIX - брат, затверджений органом, затверджений органом.
Обидва протоколи служать одній цілі: дозволяючи інженерам мережі та адміністраторам збирати та аналізувати потоки трафіку IP рівня мережі. Cisco розробив NetFlow, щоб його комутатори та маршрутизатори могли видавати цю цінну інформацію. Враховуючи домінування Cisco Gear, NetFlow швидко став стандартом дефакто для аналізу мережевого трафіку. Однак конкуренти промисловості зрозуміли, що використання власного протоколу, контрольованого його головним суперником, не було хорошою ідеєю, а отже, IETF призвело до того, що намагався стандартизувати відкритий протокол для аналізу трафіку, який є IPFIX.
IPFIX базується на версії 9 NetFlow і спочатку був представлений близько 2005 року, але знадобилося певну кількість років, щоб отримати прийняття галузі. На даний момент два протоколи по суті однакові, і хоча термін NetFlow все ще є більш поширеним більшості реалізацій (хоча і не всі) сумісні зі стандартом IPFIX.
Ось таблиця, що підсумовує відмінності між NetFlow та IPFIX:
| Аспект | Мережевий | IPFIX |
|---|---|---|
| Походження | Власні технології, розроблені Cisco | Протокол у галузі на основі версії 9 NetFlow 9 |
| Стандартизація | Технологія, що стосується Cisco | Відкритий стандарт, визначений IETF в RFC 7011 |
| Гнучкість | Еволюціонували версії з конкретними ознаками | Більша гнучкість та сумісність у постачальників |
| Формат даних | Пакети фіксованого розміру | Підхід на основі шаблонів для налаштованих форматів запису потоку |
| Підтримка шаблону | Не підтримується | Динамічні шаблони для гнучкого включення |
| Підтримка постачальників | В першу чергу пристрої Cisco | Широка підтримка в мережах |
| Розширення | Обмежене налаштування | Включення спеціальних полів та даних, що стосуються додатків |
| Відмінності протоколу | Специфічні для Cisco варіації | Нативна підтримка IPv6, розширені параметри запису потоку |
| Особливості безпеки | Обмежені функції безпеки | Шифрування транспортного шару (TLS), цілісність повідомлень |
Моніторинг потоку мережі- це збір, аналіз та моніторинг переходу трафіку, що переходить у сегмент мережі чи мережі. Цілі можуть відрізнятися від усунення проблем з підключенням до планування майбутнього розподілу пропускної здатності. Моніторинг потоку та вибірки пакетів можуть навіть бути корисними для виявлення та усунення проблем безпеки.
Моніторинг потоку дає мережевим командам гарне уявлення про те, як працює мережа, забезпечуючи розуміння загального використання, використання додатків, потенційних вузьких місць, аномалій, які можуть сигналізувати про загрози безпеці тощо. Існує кілька різних стандартів та форматів, що використовуються в моніторингу потоку мережі, включаючи експорт інформації протоколу NetFlow, Sflow та Інтернет -протоколу (IPFIX). Кожен працює дещо по -іншому, але всі відрізняються від дзеркального відображення портів та глибокого огляду пакетів, оскільки вони не фіксують вміст кожного пакету, що проходить через порт або через перемикач. Однак моніторинг потоку дає більше інформації, ніж SNMP, що, як правило, обмежується широкою статистикою, такими як загальне використання пакетів та пропускної здатності.
Порівняні інструменти мережевого потоку
| Означати | NetFlow V5 | NetFlow V9 | sflow | IPFIX |
| Відкритий або власний | Власний | Власний | ВІДЧИНЕНО | ВІДЧИНЕНО |
| Відібраний або на основі потоку | В першу чергу на основі потоку; Відбірковий режим доступний | В першу чергу на основі потоку; Відбірковий режим доступний | Відібраний | В першу чергу на основі потоку; Відбірковий режим доступний |
| Захоплена інформація | Метадані та статистична інформація, включаючи перенесені байти, лічильники інтерфейсу тощо | Метадані та статистична інформація, включаючи перенесені байти, лічильники інтерфейсу тощо | Повні заголовки пакетів, часткові корисні пакети | Метадані та статистична інформація, включаючи перенесені байти, лічильники інтерфейсу тощо |
| Моніторинг входу/виходу | Тільки для потрапляння | Вхід і випуск | Вхід і випуск | Вхід і випуск |
| Підтримка IPv6/VLAN/MPLS | No | Так | Так | Так |
Час посади: 18-2024 рр.
