NetFlow en IPFIX is albei tegnologieë wat gebruik word vir netwerkvloeimonitering en -analise. Hulle bied insigte in netwerkverkeerspatrone, wat help met prestasie-optimalisering, probleemoplossing en sekuriteitsanalise.
NetFlow:
Wat is NetFlow?
NetFlowis die oorspronklike vloeimoniteringsoplossing, oorspronklik ontwikkel deur Cisco in die laat 1990's. Verskeie verskillende weergawes bestaan, maar die meeste implementerings is gebaseer op óf NetFlow v5 óf NetFlow v9. Alhoewel elke weergawe verskillende vermoëns het, bly die basiese werking dieselfde:
Eerstens sal 'n router, skakelaar, firewall of 'n ander tipe toestel inligting oor die netwerk se "vloei" vasvang – basies 'n stel pakkette wat 'n gemeenskaplike stel eienskappe soos bron- en bestemmingsadres, bron- en bestemmingspoort, en protokoltipe deel. Nadat 'n vloei dormant geraak het of 'n voorafbepaalde hoeveelheid tyd verloop het, sal die toestel die vloeirekords uitvoer na 'n entiteit wat bekend staan as 'n "vloeiversamelaar".
Laastens maak 'n "vloei-analiseerder" sin van daardie rekords en bied insigte in die vorm van visualisasies, statistieke en gedetailleerde historiese en intydse verslagdoening. In die praktyk is versamelaars en ontleders dikwels 'n enkele entiteit, dikwels gekombineer in 'n groter netwerkprestasiemoniteringsoplossing.
NetFlow werk op 'n toestandsvolle basis. Wanneer 'n kliëntmasjien 'n bediener kontak, sal NetFlow begin om metadata van die vloei vas te lê en te versamel. Nadat die sessie beëindig is, sal NetFlow 'n enkele volledige rekord na die versamelaar uitvoer.
Alhoewel dit steeds algemeen gebruik word, het NetFlow v5 'n aantal beperkings. Die velde wat uitgevoer word, is vas, monitering word slegs in die ingangsrigting ondersteun, en moderne tegnologieë soos IPv6, MPLS en VXLAN word nie ondersteun nie. NetFlow v9, ook gebrandmerk as Flexible NetFlow (FNF), spreek sommige van hierdie beperkings aan, wat gebruikers toelaat om persoonlike sjablone te bou en ondersteuning vir nuwer tegnologieë by te voeg.
Baie verskaffers het ook hul eie gepatenteerde implementerings van NetFlow, soos jFlow van Juniper en NetStream van Huawei. Alhoewel die konfigurasie ietwat kan verskil, produseer hierdie implementerings dikwels vloeirekords wat versoenbaar is met NetFlow-versamelaars en -ontleders.
Belangrike kenmerke van NetFlow:
~ VloeidataNetFlow genereer vloeirekords wat besonderhede soos bron- en bestemmings-IP-adresse, poorte, tydstempels, pakkie- en greeptellings, en protokoltipes insluit.
~ VerkeersmoniteringNetFlow bied sigbaarheid in netwerkverkeerspatrone, wat administrateurs in staat stel om top toepassings, eindpunte en verkeersbronne te identifiseer.
~Anomalie-opsporingDeur vloeidata te analiseer, kan NetFlow afwykings soos oormatige bandwydtebenutting, netwerkopeenhoping of ongewone verkeerspatrone opspoor.
~ SekuriteitsanaliseNetFlow kan gebruik word om sekuriteitsvoorvalle op te spoor en te ondersoek, soos verspreide denial-of-service (DDoS)-aanvalle of ongemagtigde toegangspogings.
NetFlow-weergawesNetFlow het mettertyd ontwikkel, en verskillende weergawes is vrygestel. Enkele noemenswaardige weergawes sluit in NetFlow v5, NetFlow v9, en Flexible NetFlow. Elke weergawe stel verbeterings en bykomende vermoëns bekend.
IPFIX:
Wat is IPFIX?
Internet Protocol Flow Information Export (IPFIX), 'n IETF-standaard wat in die vroeë 2000's ontstaan het, is baie soortgelyk aan NetFlow. Trouens, NetFlow v9 het as basis vir IPFIX gedien. Die primêre verskil tussen die twee is dat IPFIX 'n oop standaard is en deur baie netwerkverskaffers behalwe Cisco ondersteun word. Met die uitsondering van 'n paar bykomende velde wat in IPFIX bygevoeg is, is die formate andersins byna identies. Trouens, IPFIX word soms selfs na verwys as "NetFlow v10".
Deels as gevolg van sy ooreenkomste met NetFlow, geniet IPFIX wye ondersteuning onder netwerkmoniteringsoplossings sowel as netwerktoerusting.
IPFIX (Internet Protocol Flow Information Export) is 'n oop standaardprotokol wat ontwikkel is deur die Internet Engineering Task Force (IETF). Dit is gebaseer op die NetFlow Weergawe 9-spesifikasie en bied 'n gestandaardiseerde formaat vir die uitvoer van vloeirekords vanaf netwerktoestelle.
IPFIX bou voort op die konsepte van NetFlow en brei dit uit om meer buigsaamheid en interoperabiliteit tussen verskillende verskaffers en toestelle te bied. Dit stel die konsep van sjablone bekend, wat dinamiese definisie van vloeirekordstruktuur en -inhoud moontlik maak. Dit maak die insluiting van persoonlike velde, ondersteuning vir nuwe protokolle en uitbreidbaarheid moontlik.
Belangrike kenmerke van IPFIX:
~ Sjabloongebaseerde BenaderingIPFIX gebruik sjablone om die struktuur en inhoud van vloeirekords te definieer, wat buigsaamheid bied om verskillende datavelde en protokolspesifieke inligting te akkommodeer.
~ InteroperabiliteitIPFIX is 'n oop standaard wat konsekwente vloeimoniteringsvermoëns oor verskillende netwerkverskaffers en -toestelle verseker.
~ IPv6-ondersteuningIPFIX ondersteun IPv6 inheems, wat dit geskik maak vir die monitering en ontleding van verkeer in IPv6-netwerke.
~Verbeterde SekuriteitIPFIX sluit sekuriteitskenmerke soos Transport Layer Security (TLS) enkripsie en boodskapintegriteitskontroles in om die vertroulikheid en integriteit van vloeidata tydens oordrag te beskerm.
IPFIX word wyd ondersteun deur verskeie netwerktoerustingverskaffers, wat dit 'n verskaffer-neutrale en wyd aanvaarde keuse vir netwerkvloeimonitering maak.
So, wat is die verskil tussen NetFlow en IPFIX?
Die eenvoudige antwoord is dat NetFlow 'n Cisco-eie protokol is wat omstreeks 1996 bekendgestel is en IPFIX is sy standaardliggaam-goedgekeurde broer.
Beide protokolle dien dieselfde doel: om netwerkingenieurs en administrateurs in staat te stel om IP-verkeervloei op netwerkvlak te versamel en te analiseer. Cisco het NetFlow ontwikkel sodat sy skakelaars en routers hierdie waardevolle inligting kon uitvoer. Gegewe die oorheersing van Cisco-toerusting, het NetFlow vinnig die de facto-standaard vir netwerkverkeersanalise geword. Mededingers in die bedryf het egter besef dat die gebruik van 'n eie protokol wat deur sy hoofmededinger beheer word, nie 'n goeie idee was nie, en daarom het die IETF 'n poging aangewend om 'n oop protokol vir verkeersanalise, IPFIX, te standaardiseer.
IPFIX is gebaseer op NetFlow weergawe 9 en is oorspronklik omstreeks 2005 bekendgestel, maar dit het 'n aantal jare geneem om deur die bedryf aanvaar te word. Op hierdie stadium is die twee protokolle in wese dieselfde en hoewel die term NetFlow steeds meer algemeen voorkom, is die meeste implementerings (alhoewel nie almal nie) versoenbaar met die IPFIX-standaard.
Hier is 'n tabel wat die verskille tussen NetFlow en IPFIX opsom:
| Aspek | NetFlow | IPFIX |
|---|---|---|
| Oorsprong | Eie tegnologie ontwikkel deur Cisco | Industriestandaardprotokol gebaseer op NetFlow Weergawe 9 |
| Standaardisering | Cisco-spesifieke tegnologie | Oop standaard gedefinieer deur IETF in RFC 7011 |
| Buigsaamheid | Ontwikkelde weergawes met spesifieke kenmerke | Groter buigsaamheid en interoperabiliteit tussen verskaffers |
| Dataformaat | Pakkies met vaste grootte | Sjabloongebaseerde benadering vir aanpasbare vloeirekordformate |
| Sjabloonondersteuning | Nie ondersteun nie | Dinamiese sjablone vir buigsame veldinsluiting |
| Verskaffersondersteuning | Hoofsaaklik Cisco-toestelle | Breë ondersteuning oor netwerkverskaffers heen |
| Uitbreidbaarheid | Beperkte aanpassing | Insluiting van persoonlike velde en toepassingspesifieke data |
| Protokolverskille | Cisco-spesifieke variasies | Inheemse IPv6-ondersteuning, verbeterde vloei-opname-opsies |
| Sekuriteitskenmerke | Beperkte sekuriteitskenmerke | Transport Layer Security (TLS) enkripsie, boodskapintegriteit |
Netwerkvloeimoniteringis die insameling, analise en monitering van verkeer wat deur 'n gegewe netwerk of netwerksegment gaan. Die doelwitte kan wissel van die oplos van probleme met konnektiwiteit tot die beplanning van toekomstige bandwydtetoewysing. Vloeimonitering en pakkiemonsterneming kan selfs nuttig wees om sekuriteitsprobleme te identifiseer en reg te stel.
Vloeimonitering gee netwerkspanne 'n goeie idee van hoe 'n netwerk werk, en bied insigte in algehele benutting, toepassingsgebruik, potensiële knelpunte, afwykings wat sekuriteitsbedreigings kan aandui, en meer. Daar is verskeie verskillende standaarde en formate wat in netwerkvloeimonitering gebruik word, insluitend NetFlow, sFlow en Internet Protocol Flow Information Export (IPFIX). Elkeen werk op 'n effens ander manier, maar almal verskil van poortspieëling en diep pakkie-inspeksie deurdat hulle nie die inhoud van elke pakkie vasvang wat oor 'n poort of deur 'n skakelaar gaan nie. Vloeimonitering verskaf egter meer inligting as SNMP, wat oor die algemeen beperk is tot breë statistieke soos algehele pakkie- en bandwydtegebruik.
Netwerkvloei-gereedskap vergelyk
| Kenmerk | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Oop of Eie | Eie | Eie | Oop | Oop |
| Gemonsterde of vloei-gebaseerde | Hoofsaaklik vloei-gebaseerd; Gemonsterde modus is beskikbaar | Hoofsaaklik vloei-gebaseerd; Gemonsterde modus is beskikbaar | Gemonster | Hoofsaaklik vloei-gebaseerd; Gemonsterde modus is beskikbaar |
| Inligting vasgelê | Metadata en statistiese inligting, insluitend oorgedra grepe, koppelvlaktellers en so aan | Metadata en statistiese inligting, insluitend oorgedra grepe, koppelvlaktellers en so aan | Volledige pakkie-opskrifte, gedeeltelike pakkie-vragte | Metadata en statistiese inligting, insluitend oorgedra grepe, koppelvlaktellers en so aan |
| Ingang/Uitgang Monitering | Slegs Ingang | Ingang en Uitgang | Ingang en Uitgang | Ingang en Uitgang |
| IPv6/VLAN/MPLS-ondersteuning | No | Ja | Ja | Ja |
Plasingstyd: 18 Maart 2024
