Яка різниця між NetFlow та IPFIX для моніторингу мережевого потоку?

NetFlow і IPFIX — це обидві технології, які використовуються для моніторингу та аналізу мережевого потоку. Вони дають уявлення про шаблони мережевого трафіку, допомагають оптимізувати продуктивність, усунути неполадки та проаналізувати безпеку.

NetFlow:

Що таке NetFlow?

NetFlowце оригінальне рішення для моніторингу потоку, спочатку розроблене Cisco наприкінці 1990-х років. Існує кілька різних версій, але більшість розгортань базується на NetFlow v5 або NetFlow v9. Хоча кожна версія має різні можливості, основна операція залишається незмінною:

По-перше, маршрутизатор, комутатор, брандмауер або інший тип пристрою збиратиме інформацію про мережеві «потоки» – загалом набір пакетів, які мають загальний набір характеристик, як-от адреса джерела та призначення, порт джерела та призначення, а також протокол типу. Після того, як потік припиняється або мине попередньо визначений проміжок часу, пристрій експортує записи потоку до об’єкта, відомого як «колектор потоку».

Нарешті, «аналізатор потоку» аналізує ці записи, надаючи інформацію у вигляді візуалізацій, статистичних даних і детальних історичних звітів і звітів у реальному часі. На практиці збирачі та аналізатори часто є єдиним цілим, часто об’єднаним у більшу систему моніторингу продуктивності мережі.

NetFlow працює на основі стану. Коли клієнтська машина зв’язується з сервером, NetFlow починає отримувати та агрегувати метадані з потоку. Після завершення сеансу NetFlow експортує єдиний повний запис до збирача.

Незважаючи на те, що NetFlow v5 все ще широко використовується, він має ряд обмежень. Експортовані поля фіксовані, моніторинг підтримується лише у вхідному напрямку, а сучасні технології, такі як IPv6, MPLS і VXLAN, не підтримуються. NetFlow v9, також позначений як Flexible NetFlow (FNF), усуває деякі з цих обмежень, дозволяючи користувачам створювати власні шаблони та додаючи підтримку для нових технологій.

Багато постачальників також мають власні запатентовані реалізації NetFlow, наприклад jFlow від Juniper і NetStream від Huawei. Хоча конфігурація може дещо відрізнятися, ці реалізації часто створюють записи потоку, які сумісні з колекторами та аналізаторами NetFlow.

Основні характеристики NetFlow:

~ Дані потоку: NetFlow генерує записи потоку, які включають такі деталі, як IP-адреси джерела та призначення, порти, позначки часу, кількість пакетів і байтів і типи протоколів.

~ Моніторинг руху: NetFlow забезпечує видимість моделей мережевого трафіку, дозволяючи адміністраторам ідентифікувати найпопулярніші програми, кінцеві точки та джерела трафіку.

~Виявлення аномалії: Аналізуючи дані потоку, NetFlow може виявити аномалії, такі як надмірне використання пропускної здатності, перевантаження мережі або незвичні шаблони трафіку.

~ Аналіз безпеки: NetFlow можна використовувати для виявлення та розслідування інцидентів безпеки, таких як атаки розподіленої відмови в обслуговуванні (DDoS) або спроби несанкціонованого доступу.

Версії NetFlow: NetFlow розвивався з часом, і були випущені різні версії. Деякі відомі версії включають NetFlow v5, NetFlow v9 і Flexible NetFlow. Кожна версія містить удосконалення та додаткові можливості.

IPFIX:

Що таке IPFIX?

Стандарт IETF, який виник на початку 2000-х років, Експорт інформації про потік Інтернет-протоколу (IPFIX) надзвичайно схожий на NetFlow. Насправді NetFlow v9 послужив основою для IPFIX. Основна відмінність між ними полягає в тому, що IPFIX є відкритим стандартом і підтримується багатьма мережевими постачальниками, окрім Cisco. За винятком кількох додаткових полів, доданих у IPFIX, формати майже ідентичні. Насправді IPFIX іноді навіть називають «NetFlow v10».

Частково завдяки своїй схожості з NetFlow IPFIX користується широкою підтримкою серед рішень моніторингу мережі, а також мережевого обладнання.

IPFIX (Internet Protocol Flow Information Export) — це відкритий стандартний протокол, розроблений Інженерною робочою групою Інтернету (IETF). Він заснований на специфікації NetFlow версії 9 і забезпечує стандартизований формат для експорту записів потоку з мережевих пристроїв.

IPFIX базується на концепціях NetFlow і розширює їх, щоб запропонувати більше гнучкості та сумісності між різними постачальниками та пристроями. Він представляє концепцію шаблонів, що дозволяє динамічно визначати структуру та вміст запису потоку. Це дає змогу включати спеціальні поля, підтримувати нові протоколи та розширюваність.

Ключові характеристики IPFIX:

~ Підхід на основі шаблонів: IPFIX використовує шаблони для визначення структури та вмісту записів потоку, пропонуючи гнучкість у розміщенні різних полів даних та інформації, що стосується протоколу.

~ сумісність: IPFIX — це відкритий стандарт, який забезпечує узгоджені можливості моніторингу потоку на різних мережевих постачальниках і пристроях.

~ Підтримка IPv6: IPFIX спочатку підтримує IPv6, що робить його придатним для моніторингу та аналізу трафіку в мережах IPv6.

~Покращена безпека: IPFIX включає такі функції безпеки, як шифрування транспортного рівня (TLS) і перевірки цілісності повідомлень для захисту конфіденційності та цілісності даних потоку під час передачі.

IPFIX широко підтримується різними постачальниками мережевого обладнання, що робить його нейтральним і широко поширеним вибором для моніторингу мережевого потоку.

 

Отже, яка різниця між NetFlow та IPFIX?

Проста відповідь полягає в тому, що NetFlow є власним протоколом Cisco, представленим приблизно в 1996 році, а IPFIX є його братом, схваленим органом стандартизації.

Обидва протоколи служать одній меті: дозволяють мережевим інженерам і адміністраторам збирати й аналізувати потоки IP-трафіку на рівні мережі. Cisco розробила NetFlow, щоб її комутатори та маршрутизатори могли виводити цю цінну інформацію. Враховуючи домінування обладнання Cisco, NetFlow швидко став стандартом де-факто для аналізу мережевого трафіку. Однак конкуренти в галузі зрозуміли, що використання власного протоколу, який контролюється головним конкурентом, не є гарною ідеєю, і тому IETF очолила зусилля зі стандартизації відкритого протоколу для аналізу трафіку, яким є IPFIX.

IPFIX базується на NetFlow версії 9 і спочатку був представлений приблизно в 2005 році, але знадобилося кілька років, щоб отримати впровадження в галузі. На даний момент ці два протоколи по суті однакові, і хоча термін NetFlow все ще більш поширений, більшість реалізацій (хоча не всі) сумісні зі стандартом IPFIX.

Ось таблиця, яка підсумовує відмінності між NetFlow та IPFIX:

Аспект NetFlow IPFIX
Походження Власна технологія, розроблена Cisco Протокол промислового стандарту на основі NetFlow версії 9
Стандартизація Спеціальна технологія Cisco Відкритий стандарт, визначений IETF у RFC 7011
Гнучкість Удосконалені версії зі спеціальними функціями Більша гнучкість і взаємодія між постачальниками
Формат даних Пакети фіксованого розміру Підхід на основі шаблонів для настроюваних форматів записів потоку
Підтримка шаблонів Не підтримується Динамічні шаблони для гнучкого включення полів
Підтримка постачальника В першу чергу пристрої Cisco Широка підтримка мережевих постачальників
Розширюваність Обмежене налаштування Включення настроюваних полів і даних, що стосуються програми
Розбіжності протоколу Специфічні варіації Cisco Вбудована підтримка IPv6, розширені параметри запису потоку
Функції безпеки Обмежені функції безпеки Шифрування безпеки транспортного рівня (TLS), цілісність повідомлень

Моніторинг мережевого потокуце збір, аналіз і моніторинг трафіку, що проходить через дану мережу або сегмент мережі. Цілі можуть відрізнятися від усунення проблем із підключенням до планування майбутнього розподілу пропускної здатності. Моніторинг потоку та вибірка пакетів можуть навіть бути корисними для виявлення та усунення проблем безпеки.

Моніторинг потоку дає мережевим групам хороше уявлення про те, як працює мережа, надаючи інформацію про загальне використання, використання програм, потенційні вузькі місця, аномалії, які можуть сигналізувати про загрози безпеці, тощо. Існує кілька різних стандартів і форматів, які використовуються для моніторингу мережевого потоку, включаючи NetFlow, sFlow і експорт інформації про потік Інтернет-протоколу (IPFIX). Кожен працює дещо по-різному, але всі вони відрізняються від віддзеркалення портів і глибокої перевірки пакетів тим, що вони не фіксують вміст кожного пакета, що проходить через порт або комутатор. Однак моніторинг потоку надає більше інформації, ніж SNMP, який, як правило, обмежується широкою статистикою, як-от загальне використання пакетів і пропускної здатності.

Порівняння інструментів Network Flow

Особливість NetFlow v5 NetFlow v9 sFlow IPFIX
Відкритий або закритий Власний Власний ВІДЧИНЕНО ВІДЧИНЕНО
Вибірковий або на основі потоку В основному на основі потоку; Доступний режим вибірки В основному на основі потоку; Доступний режим вибірки Зразок В основному на основі потоку; Доступний режим вибірки
Інформація зафіксована Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсу тощо Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсу тощо Повні заголовки пакетів, часткові пакети корисного навантаження Метадані та статистична інформація, включаючи передані байти, лічильники інтерфейсу тощо
Моніторинг входу/виходу Тільки вхід Вхід і вихід Вхід і вихід Вхід і вихід
Підтримка IPv6/VLAN/MPLS No так так так

Час публікації: 18 березня 2024 р