Netflow i IPFIX są technologiami używanymi do monitorowania i analizy przepływu sieci. Zapewniają wgląd w wzorce ruchu sieciowego, pomagając w optymalizacji wydajności, rozwiązywaniu problemów i analizie bezpieczeństwa.
Netflow:
Co to jest Netflow?
Netflowjest oryginalnym rozwiązaniem monitorowania przepływu, pierwotnie opracowanego przez Cisco pod koniec lat 90. Istnieje kilka różnych wersji, ale większość wdrożeń opiera się na Netflow V5 lub Netflow V9. Chociaż każda wersja ma inne możliwości, podstawowa operacja pozostaje taka sama:
Po pierwsze, router, przełącznik, zapora ogniowa lub inny rodzaj urządzenia przechwytują informacje w „przepływach” sieci - zasadniczo zestaw pakietów, które mają wspólny zestaw cech, takich jak adres źródłowy i docelowy, port źródłowy i docelowy oraz typ protokołu. Po uśpieniu przepływu lub uprzednim czasie, urządzenie wyeksportuje rekordy przepływu do jednostki znanej jako „kolekcjoner przepływu”.
Wreszcie, „analizator przepływu” ma sens tych zapisów, zapewniając wgląd w formie wizualizacji, statystyki oraz szczegółowych raportów historycznych i w czasie rzeczywistym. W praktyce kolekcjonerzy i analizy są często pojedynczym jednostką, często łączącym się w większe rozwiązanie do monitorowania wydajności sieci.
Netflow działa na podstawie stanu. Gdy komputer klienta dotrze do serwera, NetFlow rozpocznie przechwytywanie i agregowanie metadanych z przepływu. Po zakończeniu sesji Netflow wyeksportuje jeden pełny rekord do kolekcjonera.
Chociaż jest nadal powszechnie używany, Netflow V5 ma szereg ograniczeń. Eksportowane pola są ustalone, monitorowanie jest obsługiwane tylko w kierunku Ingress, a nowoczesne technologie, takie jak IPv6, MPLS i VXLAN, nie są obsługiwane. Netflow V9, również oznaczony jako elastyczny NetFlow (FNF), zajmuje się niektórymi z tych ograniczeń, umożliwiając użytkownikom budowanie niestandardowych szablonów i dodanie obsługi nowszych technologii.
Wielu dostawców ma również własne zastrzeżone wdrożenia Netflow, takie jak JFlow z Juniper i NetStream z Huawei. Chociaż konfiguracja może się nieco różnić, te implementacje często tworzą rekordy przepływu, które są kompatybilne z kolekcjonerami i analizatorami NetFlow.
Kluczowe funkcje NetFlow:
~ Dane dotyczące przepływu: NetFlow generuje rekordy przepływu, które zawierają dane, takie jak źródło i docelowe adresy IP, porty, znacznik czasu, liczba pakietów i bajtów oraz typy protokołów.
~ Monitorowanie ruchu: Netflow zapewnia widoczność w sieciach sieciowych, umożliwiając administratorom identyfikację najlepszych aplikacji, punktów końcowych i źródeł ruchu.
~Wykrywanie anomalii: Analizując dane dotyczące przepływu, NetFlow może wykrywać anomalie, takie jak nadmierne wykorzystanie przepustowości, przeciążenie sieci lub niezwykłe wzorce ruchu.
~ Analiza bezpieczeństwa: Netflow może być używany do wykrywania i badań incydentów bezpieczeństwa, takich jak ataki rozproszone usługi (DDOS) lub nieautoryzowane próby dostępu.
Wersje Netflow: Netflow ewoluował z czasem i wydano różne wersje. Niektóre godne uwagi wersje obejmują Netflow V5, Netflow V9 i elastyczne NetFlow. Każda wersja wprowadza ulepszenia i dodatkowe możliwości.
Ipfix:
Co to jest ipfix?
Standard IETF, który pojawił się na początku 2000 roku, eksport informacji o przepływie protokołu internetowego (IPFIX) jest niezwykle podobny do NetFlow. W rzeczywistości Netflow V9 służył jako podstawa IPFIX. Główna różnica między nimi polega na tym, że IPFIX jest otwartym standardem i jest obsługiwany przez wielu dostawców sieciowych oprócz Cisco. Z wyjątkiem kilku dodatkowych pól dodanych w IPFIX, formaty są prawie identyczne. W rzeczywistości IPFIX jest czasami nazywany „Netflow V10”.
Częściowo ze względu na podobieństwa do NetFlow, IPFIX cieszy się szerokim wsparciem między rozwiązaniami monitorowania sieci, a także sprzętu sieciowego.
IPFIX (Eksport informacji o przepływie protokołu internetowego) to otwarty standardowy protokół opracowany przez Internet Engineering Task Force (IETF). Opiera się na specyfikacji NetFlow w wersji 9 i zapewnia znormalizowany format eksportowania rekordów przepływu z urządzeń sieciowych.
IPFIX opiera się na koncepcjach NetFlow i rozszerza je, aby zapewnić większą elastyczność i interoperacyjność dla różnych dostawców i urządzeń. Wprowadza koncepcję szablonów, umożliwiając dynamiczną definicję struktury i zawartości rekordu przepływu. Umożliwia to włączenie niestandardowych pól, obsługę nowych protokołów i rozszerzalność.
Kluczowe funkcje IPfix:
~ Podejście oparte na szablonie: IPFIX wykorzystuje szablony do zdefiniowania struktury i zawartości rekordów przepływu, oferując elastyczność w dostosowaniu różnych pól danych i informacji specyficznych dla protokołu.
~ Interoperacyjność: IPFIX jest otwartym standardem, zapewniającym spójne możliwości monitorowania przepływu dla różnych dostawców i urządzeń sieciowych.
~ Obsługa IPv6: IPfix natywnie obsługuje IPv6, dzięki czemu jest odpowiedni do monitorowania i analizy ruchu w sieciach IPv6.
~Zwiększone bezpieczeństwo: IPFIX zawiera funkcje bezpieczeństwa, takie jak szyfrowanie warstw transportowych (TLS) i kontrole integralności wiadomości w celu ochrony poufności i integralności danych przepływu podczas transmisji.
IPFIX jest szeroko obsługiwany przez różnych dostawców sprzętu sieciowego, co czyni go neutralnym dla dostawcy i powszechnie przyjętym wyborem do monitorowania przepływu sieci.
Jaka jest więc różnica między NetFlow a IPFIX?
Prosta odpowiedź brzmi, że Netflow jest zastrzeżonym protokołem Cisco wprowadzonym około 1996 r., A ipfix jest bratem zatwierdzonym przez organ standardowy.
Oba protokoły służą temu samemu celowi: umożliwiając inżynierom sieci i administratorom zbieranie i analizę przepływów IP na poziomie sieciowym. Cisco opracował NetFlow, aby jego przełączniki i routery mogły wyświetlić te cenne informacje. Biorąc pod uwagę dominację sprzętu Cisco, NetFlow szybko stał się de-facto standardem analizy ruchu sieciowego. Jednak konkurenci branżowi zdali sobie sprawę, że stosowanie zastrzeżonego protokołu kontrolowanego przez jego głównego rywala nie było dobrym pomysłem, a zatem IETF doprowadził do standaryzacji otwartego protokołu analizy ruchu, czyli IPfix.
IPFIX opiera się na Netflow w wersji 9 i został pierwotnie wprowadzony około 2005 r., Ale zajęło kilka lat, aby uzyskać przyjęcie branży. W tym momencie dwa protokoły są zasadniczo takie same i chociaż termin NetFlow jest nadal bardziej powszechny większość implementacji (choć nie wszystkie) są kompatybilne ze standardem IPFIX.
Oto tabela podsumowująca różnice między NetFlow i IPfix:
| Aspekt | Netflow | Ipfix |
|---|---|---|
| Pochodzenie | Zastrzeżona technologia opracowana przez Cisco | Protokół standardowy w branży oparty na Netflow w wersji 9 |
| Normalizacja | Technologia specyficzna dla Cisco | Otwórz standard zdefiniowany przez IETF w RFC 7011 |
| Elastyczność | Ewoluowane wersje o określonych cechach | Większa elastyczność i interoperacyjność między dostawcami |
| Format danych | Pakiety o stałej wielkości | Podejście oparte na szablonach dla konfigurowalnych formatów płyt przepływu |
| Obsługa szablonu | Nie wspierane | Dynamiczne szablony elastycznego włączenia pola |
| Wsparcie dostawcy | Głównie urządzenia Cisco | Szerokie wsparcie dla dostawców sieciowych |
| Rozciągliwość | Ograniczone dostosowanie | Włączenie niestandardowych pól i danych specyficznych dla aplikacji |
| Różnice protokołu | Odmiany specyficzne dla Cisco | Native IPv6 obsługa, ulepszone opcje rekordów przepływu |
| Funkcje bezpieczeństwa | Ograniczone funkcje bezpieczeństwa | Szyfrowanie bezpieczeństwa warstwy transportowej (TLS), integralność wiadomości |
Monitorowanie przepływu siecito gromadzenie, analiza i monitorowanie ruchu przemieszczającego dany segment sieci lub sieci. Cele mogą różnić się od rozwiązywania problemów z połączeniem do planowania przyszłego przydziału przepustowości. Monitorowanie przepływu i pobieranie próbek pakietów mogą być nawet przydatne w identyfikowaniu i naprawianiu problemów bezpieczeństwa.
Monitorowanie przepływu daje zespołom sieciowym dobrym pomysłem na działanie sieci, zapewniając wgląd w ogólne wykorzystanie, wykorzystanie aplikacji, potencjalne wąskie gardła, anomalie, które mogą sygnalizować zagrożenia bezpieczeństwa i wiele innych. Istnieje kilka różnych standardów i formatów używanych w monitorowaniu przepływu sieci, w tym NetFlow, Sflow i Internet Protocol Information Export (IPFIX). Każdy działa w nieco inny sposób, ale wszystkie różnią się od lustrzania portów i głębokiej kontroli pakietów, ponieważ nie przechwytują zawartości każdego pakietu przechodzącego nad portem lub przez przełącznik. Jednak monitorowanie przepływu zapewnia więcej informacji niż SNMP, co jest ogólnie ograniczone do szerokich statystyk, takich jak ogólne użycie pakietu i przepustowości.
W porównaniu z narzędziami do przepływu sieciowego
| Funkcja | Netflow v5 | Netflow V9 | sflow | Ipfix |
| Otwarte lub zastrzeżone | Prawnie zastrzeżony | Prawnie zastrzeżony | Otwarte | Otwarte |
| Próbki lub oparte na przepływie | Głównie oparty na przepływie; Tryb próbny jest dostępny | Głównie oparty na przepływie; Tryb próbny jest dostępny | Próbki | Głównie oparty na przepływie; Tryb próbny jest dostępny |
| Przechwycone informacje | Metadane i informacje statystyczne, w tym przeniesione bajty, liczniki interfejsu i tak dalej | Metadane i informacje statystyczne, w tym przeniesione bajty, liczniki interfejsu i tak dalej | Kompletne nagłówki pakietów, częściowe ładunki pakietów | Metadane i informacje statystyczne, w tym przeniesione bajty, liczniki interfejsu i tak dalej |
| Monitorowanie wnikania/wyjścia | Tylko wnikanie | Wejście i wyjście | Wejście i wyjście | Wejście i wyjście |
| Obsługa IPv6/VLAN/MPLS | No | Tak | Tak | Tak |
Czas po: 18-2024
