NetFlow i IPFIX to technologie wykorzystywane do monitorowania i analizy przepływu w sieci. Zapewniają wgląd w wzorce ruchu sieciowego, pomagając w optymalizacji wydajności, rozwiązywaniu problemów i analizie bezpieczeństwa.
Przepływ sieciowy:
Co to jest NetFlow?
NetFlowto oryginalne rozwiązanie do monitorowania przepływu, pierwotnie opracowane przez firmę Cisco pod koniec lat 90-tych. Istnieje kilka różnych wersji, ale większość wdrożeń opiera się na NetFlow v5 lub NetFlow v9. Chociaż każda wersja ma inne możliwości, podstawowa operacja pozostaje taka sama:
Po pierwsze, router, przełącznik, zapora sieciowa lub urządzenie innego typu przechwytuje informacje o „przepływach” sieci – w zasadzie zestaw pakietów, które mają wspólny zestaw cech, takich jak adres źródłowy i docelowy, port źródłowy i docelowy oraz protokół typ. Po przejściu przepływu w stan uśpienia lub po upływie określonego czasu urządzenie wyeksportuje zapisy przepływu do jednostki zwanej „kolektorem przepływu”.
Wreszcie „analizator przepływu” nadaje sens tym zapisom, zapewniając wgląd w postaci wizualizacji, statystyk oraz szczegółowych raportów historycznych i raportów w czasie rzeczywistym. W praktyce kolektory i analizatory stanowią często pojedynczy podmiot, często łączony w większe rozwiązanie do monitorowania wydajności sieci.
NetFlow działa na zasadzie stanowej. Gdy komputer kliencki połączy się z serwerem, NetFlow rozpocznie przechwytywanie i agregowanie metadanych z przepływu. Po zakończeniu sesji NetFlow wyeksportuje pojedynczy kompletny rekord do modułu zbierającego.
Chociaż NetFlow v5 jest nadal powszechnie używany, ma wiele ograniczeń. Eksportowane pola są stałe, monitorowanie jest obsługiwane tylko w kierunku przychodzącym, a nowoczesne technologie, takie jak IPv6, MPLS i VXLAN, nie są obsługiwane. NetFlow v9, również oznaczony jako Elastic NetFlow (FNF), rozwiązuje niektóre z tych ograniczeń, umożliwiając użytkownikom tworzenie niestandardowych szablonów i dodając obsługę nowszych technologii.
Wielu dostawców ma również własne, autorskie implementacje NetFlow, takie jak jFlow firmy Juniper i NetStream firmy Huawei. Chociaż konfiguracja może się nieco różnić, implementacje te często tworzą rekordy przepływu, które są kompatybilne z kolektorami i analizatorami NetFlow.
Kluczowe cechy NetFlow:
~ Dane przepływu: NetFlow generuje rekordy przepływu zawierające szczegółowe informacje, takie jak źródłowy i docelowy adres IP, porty, znaczniki czasu, liczba pakietów i bajtów oraz typy protokołów.
~ Monitorowanie ruchu: NetFlow zapewnia wgląd we wzorce ruchu sieciowego, umożliwiając administratorom identyfikację najważniejszych aplikacji, punktów końcowych i źródeł ruchu.
~Wykrywanie anomalii: Analizując dane dotyczące przepływu, NetFlow może wykryć anomalie, takie jak nadmierne wykorzystanie przepustowości, przeciążenie sieci lub nietypowe wzorce ruchu.
~ Analiza bezpieczeństwa: NetFlow można używać do wykrywania i badania incydentów związanych z bezpieczeństwem, takich jak rozproszone ataki typu „odmowa usługi” (DDoS) lub próby nieautoryzowanego dostępu.
Wersje NetFlow: NetFlow ewoluował z biegiem czasu i wydano różne wersje. Niektóre godne uwagi wersje to NetFlow v5, NetFlow v9 i Elastic NetFlow. Każda wersja wprowadza ulepszenia i dodatkowe możliwości.
IPFIX:
Co to jest IPFIX?
Standard IETF, który pojawił się na początku XXI wieku, Eksport informacji o przepływie protokołu internetowego (IPFIX) jest niezwykle podobny do NetFlow. W rzeczywistości NetFlow v9 posłużył jako podstawa dla IPFIX. Podstawowa różnica między nimi polega na tym, że IPFIX jest standardem otwartym i jest obsługiwany przez wielu dostawców sieci oprócz Cisco. Z wyjątkiem kilku dodatkowych pól dodanych w IPFIX, poza tym formaty są prawie identyczne. W rzeczywistości IPFIX jest czasami nazywany nawet „NetFlow v10”.
Częściowo ze względu na podobieństwa do NetFlow, IPFIX cieszy się szerokim wsparciem wśród rozwiązań do monitorowania sieci, a także sprzętu sieciowego.
IPFIX (Internet Protocol Flow Information Export) to otwarty standardowy protokół opracowany przez Internet Engineering Task Force (IETF). Opiera się na specyfikacji NetFlow wersja 9 i zapewnia ustandaryzowany format eksportowania zapisów przepływu z urządzeń sieciowych.
IPFIX opiera się na koncepcjach NetFlow i rozszerza je, aby zapewnić większą elastyczność i interoperacyjność wśród różnych dostawców i urządzeń. Wprowadza koncepcję szablonów, pozwalających na dynamiczne definiowanie struktury i zawartości rekordu przepływu. Umożliwia to włączenie niestandardowych pól, obsługę nowych protokołów i rozszerzalność.
Kluczowe cechy IPFIX:
~ Podejście oparte na szablonach: IPFIX wykorzystuje szablony do definiowania struktury i zawartości rekordów przepływu, oferując elastyczność w przyjmowaniu różnych pól danych i informacji specyficznych dla protokołu.
~ Interoperacyjność: IPFIX to otwarty standard zapewniający spójne możliwości monitorowania przepływu pomiędzy różnymi dostawcami sieci i urządzeniami.
~ Obsługa protokołu IPv6: IPFIX natywnie obsługuje protokół IPv6, dzięki czemu nadaje się do monitorowania i analizowania ruchu w sieciach IPv6.
~Zwiększone bezpieczeństwo: IPFIX zawiera funkcje zabezpieczeń, takie jak szyfrowanie Transport Layer Security (TLS) i sprawdzanie integralności wiadomości w celu ochrony poufności i integralności przepływu danych podczas transmisji.
IPFIX jest szeroko obsługiwany przez różnych dostawców sprzętu sieciowego, co czyni go neutralnym dla dostawców i powszechnie stosowanym wyborem do monitorowania przepływu sieci.
Jaka jest więc różnica między NetFlow a IPFIX?
Prosta odpowiedź jest taka, że NetFlow to zastrzeżony protokół Cisco wprowadzony około 1996 roku, a IPFIX jest jego bratem zatwierdzonym przez organ normalizacyjny.
Obydwa protokoły służą temu samemu celowi: umożliwiają inżynierom sieci i administratorom zbieranie i analizowanie przepływów ruchu IP na poziomie sieci. Cisco opracowało NetFlow, aby jego przełączniki i routery mogły generować te cenne informacje. Biorąc pod uwagę dominację sprzętu Cisco, NetFlow szybko stał się de facto standardem analizy ruchu sieciowego. Jednakże konkurenci w branży zdali sobie sprawę, że używanie zastrzeżonego protokołu kontrolowanego przez głównego rywala nie jest dobrym pomysłem i dlatego IETF podjął próbę standaryzacji otwartego protokołu do analizy ruchu, jakim jest IPFIX.
IPFIX jest oparty na NetFlow w wersji 9 i został pierwotnie wprowadzony około 2005 roku, ale zanim został przyjęty w branży, minęło kilka lat. W tym momencie oba protokoły są zasadniczo takie same i chociaż termin NetFlow jest nadal bardziej powszechny, większość implementacji (choć nie wszystkie) jest zgodna ze standardem IPFIX.
Oto tabela podsumowująca różnice między NetFlow i IPFIX:
Aspekt | NetFlow | IPFIX |
---|---|---|
Pochodzenie | Zastrzeżona technologia opracowana przez firmę Cisco | Standardowy protokół branżowy oparty na NetFlow w wersji 9 |
Normalizacja | Technologia specyficzna dla Cisco | Otwarty standard zdefiniowany przez IETF w RFC 7011 |
Elastyczność | Rozwinięte wersje z określonymi funkcjami | Większa elastyczność i interoperacyjność u różnych dostawców |
Format danych | Pakiety o stałym rozmiarze | Podejście oparte na szablonach dla dostosowywalnych formatów rekordów przepływu |
Wsparcie szablonów | Nieobsługiwane | Dynamiczne szablony umożliwiające elastyczne uwzględnianie pól |
Wsparcie dostawcy | Głównie urządzenia Cisco | Szerokie wsparcie wśród dostawców sieci |
Rozciągliwość | Ograniczone dostosowywanie | Włączenie niestandardowych pól i danych specyficznych dla aplikacji |
Różnice w protokołach | Odmiany specyficzne dla Cisco | Natywna obsługa protokołu IPv6, ulepszone opcje nagrywania przepływu |
Funkcje bezpieczeństwa | Ograniczone funkcje bezpieczeństwa | Szyfrowanie Transport Layer Security (TLS), integralność wiadomości |
Monitorowanie przepływu siecito gromadzenie, analiza i monitorowanie ruchu w danej sieci lub segmencie sieci. Cele mogą być różne – od rozwiązywania problemów z łącznością po planowanie przyszłej alokacji przepustowości. Monitorowanie przepływu i próbkowanie pakietów mogą być nawet przydatne w identyfikowaniu i rozwiązywaniu problemów związanych z bezpieczeństwem.
Monitorowanie przepływu daje zespołom sieciowym dobre pojęcie o działaniu sieci, zapewniając wgląd w ogólne wykorzystanie, wykorzystanie aplikacji, potencjalne wąskie gardła, anomalie, które mogą sygnalizować zagrożenia bezpieczeństwa i nie tylko. Istnieje kilka różnych standardów i formatów używanych do monitorowania przepływu w sieci, w tym NetFlow, sFlow i eksport informacji o przepływie protokołu internetowego (IPFIX). Każdy z nich działa w nieco inny sposób, ale wszystkie różnią się od dublowania portów i głębokiej inspekcji pakietów tym, że nie przechwytują zawartości każdego pakietu przechodzącego przez port lub przełącznik. Jednakże monitorowanie przepływu dostarcza więcej informacji niż protokół SNMP, który zazwyczaj ogranicza się do ogólnych statystyk, takich jak całkowite wykorzystanie pakietów i przepustowości.
Porównanie narzędzi przepływu sieci
Funkcja | NetFlow v5 | NetFlow v9 | sPrzepływ | IPFIX |
Otwarte lub zastrzeżone | Prawnie zastrzeżony | Prawnie zastrzeżony | Otwarte | Otwarte |
Próbkowanie lub na podstawie przepływu | Głównie oparty na przepływie; Dostępny jest tryb próbkowania | Głównie oparty na przepływie; Dostępny jest tryb próbkowania | Próbkowane | Głównie oparty na przepływie; Dostępny jest tryb próbkowania |
Informacje przechwycone | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu i tak dalej | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu i tak dalej | Kompletne nagłówki pakietów, częściowe ładunki pakietów | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu i tak dalej |
Monitorowanie wejścia/wyjścia | Tylko wejście | Wejście i wyjście | Wejście i wyjście | Wejście i wyjście |
Obsługa IPv6/VLAN/MPLS | No | Tak | Tak | Tak |
Czas publikacji: 18 marca 2024 r