NetFlow en IPFIX is albei tegnologieë wat gebruik word vir netwerkvloei -monitering en -analise. Dit bied insigte in netwerkverkeerspatrone, wat help met prestasieoptimalisering, probleemoplossing en sekuriteitsanalise.
Netflow:
Wat is NetFlow?
Netvloeiis die oorspronklike oplossing vir vloei -monitering, oorspronklik ontwikkel deur Cisco in die laat 1990's. Verskeie verskillende weergawes bestaan, maar die meeste ontplooiings is gebaseer op óf NetFlow V5 óf NetFlow V9. Terwyl elke weergawe verskillende vermoëns het, bly die basiese bewerking dieselfde:
Eerstens sal 'n router, skakelaar, firewall of 'n ander soort toestel inligting op die netwerk “vloei” vaslê - basies 'n stel pakkies wat 'n gemeenskaplike stel eienskappe soos bron- en bestemmingsadres, bron en bestemmingspoort en protokoltipe deel. Nadat 'n vloei slaaimig geword het of 'n voorafbepaalde hoeveelheid tyd verbygegaan het, sal die toestel die vloei -rekords uitvoer na 'n entiteit wat bekend staan as 'n 'vloei -versamelaar'.
Laastens maak 'n 'vloei-ontleder' sin van die rekords, wat insigte bied in die vorm van visualisering, statistieke en gedetailleerde historiese en intydse verslagdoening. In die praktyk is versamelaars en ontleders dikwels 'n enkele entiteit, wat dikwels gekombineer word tot 'n groter oplossing vir netwerkprestasie -monitering.
NetFlow werk op 'n staatlike basis. As 'n kliëntmasjien na 'n bediener uitreik, sal NetFlow metadata van die stroom begin vasvang en saamgevoeg word. Nadat die sessie beëindig is, sal NetFlow 'n enkele volledige rekord na die versamelaar uitvoer.
Alhoewel dit steeds gereeld gebruik word, het NetFlow V5 'n aantal beperkings. Die velde wat uitgevoer word, is vas, monitering word slegs in die ingang -rigting ondersteun, en moderne tegnologieë soos IPv6, MPLS en VXLAN word nie ondersteun nie. NetFlow V9, wat ook as Flexible NetFlow (FNF) gebrandmerk word, spreek sommige van hierdie beperkings aan, wat gebruikers in staat stel om pasgemaakte sjablone te bou en ondersteuning vir nuwer tegnologieë by te voeg.
Baie verkopers het ook hul eie implementerings van NetFlow, soos JFLOW van Juniper en NetStream van Huawei. Alhoewel die konfigurasie ietwat kan verskil, produseer hierdie implementasies dikwels vloei -rekords wat versoenbaar is met NetFlow Collectors en Analyzers.
Belangrike kenmerke van NetFlow:
~ Vloeidata: NetFlow genereer vloei -rekords wat besonderhede insluit soos die bron- en bestemmings -IP -adresse, poorte, tydstempels, pakkies- en bytetellings en protokoltipes.
~ Verkeersmonitering: NetFlow bied sigbaarheid in netwerkverkeerpatrone, waardeur administrateurs toptoepassings, eindpunte en verkeersbronne kan identifiseer.
~Anomalie -opsporing: Deur vloeidata te ontleed, kan NetFlow afwykings soos oormatige gebruik van bandwydte, netwerkopeenhopings of ongewone verkeerspatrone opspoor.
~ Veiligheidsanalise: NetFlow kan gebruik word om veiligheidsvoorvalle op te spoor en te ondersoek, soos verspreide aanvalle op die ontkenning van die diens (DDoS) of ongemagtigde toegangspogings.
Netflow -weergawes: NetFlow het mettertyd ontwikkel, en verskillende weergawes is vrygestel. Sommige noemenswaardige weergawes sluit NetFlow V5, NetFlow V9 en Flexible NetFlow in. Elke weergawe stel verbeterings en addisionele vermoëns bekend.
Ipfix:
Wat is ipfix?
'N IETF -standaard wat in die vroeë 2000's na vore gekom het, is die uitvoer van internetprotokolvloei (IPFIX) baie soortgelyk aan NetFlow. In werklikheid het NetFlow V9 die basis vir IPFIX gedien. Die primêre verskil tussen die twee is dat IPFIX 'n oop standaard is en ondersteun word deur baie netwerkverskaffers behalwe Cisco. Met die uitsondering van 'n paar bykomende velde wat in IPFIX bygevoeg is, is die formate andersins byna identies. In werklikheid word IPFIX soms selfs “NetFlow V10” genoem.
As gevolg van sy ooreenkomste met NetFlow, geniet IPFIX wye ondersteuning onder oplossings vir netwerkmonitering sowel as netwerktoerusting.
IPFIX (Internet Protocol Flow Information Export) is 'n oop standaardprotokol wat ontwikkel is deur die Internet Engineering Task Force (IETF). Dit is gebaseer op die NetFlow -weergawe 9 -spesifikasie en bied 'n gestandaardiseerde formaat vir die uitvoer van vloei -rekords van netwerktoestelle.
IPFIX bou voort op die konsepte van NetFlow en brei dit uit om meer buigsaamheid en interoperabiliteit tussen verskillende verkopers en toestelle te bied. Dit stel die konsep van sjablone bekend, wat dinamiese definisie van vloei -rekordstruktuur en -inhoud moontlik maak. Dit stel die insluiting van pasgemaakte velde, ondersteuning vir nuwe protokolle en uitbreidbaarheid in staat.
Belangrike kenmerke van IPFIX:
~ Templaatgebaseerde benadering: IPFIX gebruik sjablone om die struktuur en inhoud van vloei-rekords te definieer, wat buigsaamheid bied in die akkommodeer van verskillende datavelde en protokolspesifieke inligting.
~ Interoperabiliteit: IPFIX is 'n oop standaard, wat konsekwente vloei -moniteringsvermoëns oor verskillende netwerkverskaffers en toestelle verseker.
~ IPv6 -ondersteuning: IPFIX ondersteun IPv6, wat dit geskik maak vir die monitering en ontleding van verkeer in IPv6 -netwerke.
~Verbeterde sekuriteit: IPFIX bevat sekuriteitsfunksies soos Transport Layer Security (TLS) kodering en boodskapintegriteitskontroles om die vertroulikheid en integriteit van vloeidata tydens transmissie te beskerm.
IPFIX word wyd ondersteun deur verskillende verskaffers van netwerktoerusting, wat dit 'n verkoper-neutrale en wyd aangenome keuse vir netwerkvloei-monitering maak.
Dus, wat is die verskil tussen NetFlow en IPFIX?
Die eenvoudige antwoord is dat NetFlow 'n Cisco -eiendomsprotokol is wat omstreeks 1996 bekendgestel is en dat IPFIX sy standaarde is wat goedgekeur is.
Albei protokolle dien dieselfde doel: om netwerkingenieurs en administrateurs in staat te stel om netwerkvlak -IP -verkeersvloei te versamel en te ontleed. Cisco het NetFlow ontwikkel sodat die skakelaars en routers hierdie waardevolle inligting kon lewer. Gegewe die oorheersing van Cisco Gear, het NetFlow vinnig die de-facto-standaard vir netwerkverkeersanalise geword. Die mededingers in die bedryf het egter besef dat die gebruik van 'n eie protokol wat deur sy belangrikste mededinger beheer word, nie 'n goeie idee was nie, en die IETF het dus 'n poging gelei om 'n oop protokol vir verkeersanalise, wat IPFIX is, te standaardiseer.
IPFIX is gebaseer op NetFlow -weergawe 9 en is oorspronklik ongeveer 2005 bekendgestel, maar het 'n aantal jare geneem om die aanneming van die bedryf te bekom. Op hierdie punt is die twee protokolle in wese dieselfde, en hoewel die term NetFlow steeds meer algemeen voorkom, is die meeste implementerings (hoewel nie almal nie) versoenbaar met die IPFIX -standaard.
Hier is 'n tabel wat die verskille tussen NetFlow en IPFIX opsom:
| Aspek | Netvloei | Ipfix |
|---|---|---|
| Oorsprong | Eiendomstegnologie ontwikkel deur Cisco | Bedryf-standaardprotokol gebaseer op NetFlow weergawe 9 |
| Standaardisering | Cisco-spesifieke tegnologie | Oop standaard gedefinieër deur IETF in RFC 7011 |
| Buigsaamheid | Weergawes met spesifieke funksies ontwikkel | Groter buigsaamheid en interoperabiliteit tussen verkopers |
| Dataformaat | Vaste grootte pakkies | Sjabloongebaseerde benadering vir aanpasbare vloei-rekordformate |
| Sjabloonondersteuning | Nie ondersteun nie | Dinamiese sjablone vir buigsame veld insluiting |
| Verkoopsondersteuning | Hoofsaaklik Cisco -toestelle | Breë ondersteuning oor netwerkverskaffers |
| Uitbreiding | Beperkte aanpassing | Insluiting van pasgemaakte velde en toepassingspesifieke data |
| Protokolverskille | Cisco-spesifieke variasies | Inheemse IPv6 -ondersteuning, verbeterde vloei -rekordopsies |
| Sekuriteitsfunksies | Beperkte sekuriteitsfunksies | Transport Layer Security (TLS) kodering, boodskapintegriteit |
Netwerkvloei -moniteringIs die versameling, ontleding en monitering van verkeer deur 'n gegewe netwerk- of netwerksegment. Die doelstellings kan wissel van probleemoplossing van konnektiwiteitskwessies tot die beplanning van toekomstige toewysing van bandwydte. Vloei -monitering en pakketmonsterneming kan selfs nuttig wees om veiligheidsprobleme te identifiseer en op te stel.
Vloei -monitering gee netwerkspanne 'n goeie idee van hoe 'n netwerk werk, en bied insigte in algehele benutting, toepassingsgebruik, potensiële knelpunte, afwykings wat sekuriteitsbedreigings kan aandui, en meer. Daar is verskillende standaarde en formate wat gebruik word in netwerkvloei -monitering, insluitend NetFlow, SFLOW en Internet Protocol Flow Information Export (IPFIX). Elkeen werk op 'n effens ander manier, maar almal onderskei van die portspieël en diep pakketinspeksie deurdat hulle nie die inhoud van elke pakkie wat oor 'n poort of deur 'n skakelaar gaan, vaslê nie. Vloei -monitering bied egter meer inligting as SNMP, wat oor die algemeen beperk is tot breë statistieke soos algehele gebruik van pakkies en bandwydte.
Netwerkvloei -gereedskap vergelyk
| Kenmerk | Netflow V5 | Netflow V9 | sflow | Ipfix |
| Oop of eie | Eiendom | Eiendom | Oopmaak | Oopmaak |
| Gemonster of vloei gebaseer | Hoofsaaklik vloei gebaseer; Gemonsters is beskikbaar | Hoofsaaklik vloei gebaseer; Gemonsters is beskikbaar | Bemonster | Hoofsaaklik vloei gebaseer; Gemonsters is beskikbaar |
| Inligting vasgelê | Metadata en statistiese inligting, insluitend grepe oorgedra, koppelvlakbanke ensovoorts | Metadata en statistiese inligting, insluitend grepe oorgedra, koppelvlakbanke ensovoorts | Volledige pakketopskrifte, gedeeltelike pakkieslading | Metadata en statistiese inligting, insluitend grepe oorgedra, koppelvlakbanke ensovoorts |
| Ingress/uitgang monitering | Slegs ingang | Ingang en uitgang | Ingang en uitgang | Ingang en uitgang |
| IPv6/VLAN/MPLS -ondersteuning | No | Ja | Ja | Ja |
Postyd: Mrt-18-2024
