NetFlow i IPFIX to technologie wykorzystywane do monitorowania i analizy przepływu sieciowego. Zapewniają wgląd w wzorce ruchu sieciowego, pomagając w optymalizacji wydajności, rozwiązywaniu problemów i analizie bezpieczeństwa.
Przepływ netto:
Czym jest NetFlow?
Przepływ nettojest oryginalnym rozwiązaniem do monitorowania przepływu, pierwotnie opracowanym przez Cisco pod koniec lat 90. Istnieje kilka różnych wersji, ale większość wdrożeń opiera się na NetFlow v5 lub NetFlow v9. Chociaż każda wersja ma inne możliwości, podstawowa obsługa pozostaje taka sama:
Po pierwsze, router, przełącznik, zapora sieciowa lub inny typ urządzenia przechwytuje informacje o „przepływach” sieciowych – zasadniczo zestaw pakietów, które mają wspólny zestaw cech, takich jak adres źródłowy i docelowy, port źródłowy i docelowy oraz typ protokołu. Po przejściu przepływu w stan uśpienia lub po upływie określonego czasu urządzenie eksportuje rekordy przepływu do jednostki znanej jako „kolektor przepływu”.
Wreszcie „analizator przepływu” nadaje sens tym zapisom, dostarczając wglądu w formie wizualizacji, statystyk oraz szczegółowych raportów historycznych i w czasie rzeczywistym. W praktyce kolektory i analizatory są często jednym podmiotem, często połączonym w większe rozwiązanie do monitorowania wydajności sieci.
NetFlow działa na bazie stanu. Gdy komputer kliencki łączy się z serwerem, NetFlow rozpoczyna przechwytywanie i agregowanie metadanych z przepływu. Po zakończeniu sesji NetFlow eksportuje pojedynczy kompletny rekord do kolektora.
Chociaż nadal jest powszechnie używany, NetFlow v5 ma szereg ograniczeń. Eksportowane pola są stałe, monitorowanie jest obsługiwane tylko w kierunku wejściowym, a nowoczesne technologie, takie jak IPv6, MPLS i VXLAN, nie są obsługiwane. NetFlow v9, znany również jako Flexible NetFlow (FNF), rozwiązuje niektóre z tych ograniczeń, umożliwiając użytkownikom tworzenie niestandardowych szablonów i dodając obsługę nowszych technologii.
Wielu dostawców ma również własne zastrzeżone implementacje NetFlow, takie jak jFlow od Juniper i NetStream od Huawei. Chociaż konfiguracja może się nieco różnić, te implementacje często generują rekordy przepływu, które są zgodne z kolektorami i analizatorami NetFlow.
Główne cechy NetFlow:
~ Dane przepływu:NetFlow generuje rekordy przepływu, które zawierają szczegóły takie jak adresy IP źródłowe i docelowe, porty, znaczniki czasu, liczbę pakietów i bajtów oraz typy protokołów.
~ Monitorowanie ruchu:NetFlow zapewnia wgląd w wzorce ruchu sieciowego, umożliwiając administratorom identyfikację najważniejszych aplikacji, punktów końcowych i źródeł ruchu.
~Wykrywanie anomalii:Analizując dane o przepływie, NetFlow potrafi wykrywać anomalie, takie jak nadmierne wykorzystanie pasma, przeciążenie sieci lub nietypowe wzorce ruchu.
~ Analiza bezpieczeństwa:NetFlow można wykorzystać do wykrywania i badania incydentów bezpieczeństwa, takich jak ataki typu DDoS (rozproszona odmowa usługi) lub próby nieautoryzowanego dostępu.
Wersje NetFlow: NetFlow ewoluował z czasem i wydano różne wersje. Niektóre godne uwagi wersje to NetFlow v5, NetFlow v9 i Flexible NetFlow. Każda wersja wprowadza ulepszenia i dodatkowe możliwości.
IPFIX:
Czym jest IPFIX?
Standard IETF, który pojawił się na początku XXI wieku, Internet Protocol Flow Information Export (IPFIX) jest niezwykle podobny do NetFlow. W rzeczywistości NetFlow v9 stanowił podstawę dla IPFIX. Podstawowa różnica między nimi polega na tym, że IPFIX jest otwartym standardem i jest obsługiwany przez wielu dostawców rozwiązań sieciowych poza Cisco. Z wyjątkiem kilku dodatkowych pól dodanych w IPFIX, formaty są poza tym niemal identyczne. W rzeczywistości IPFIX jest czasami określany nawet jako „NetFlow v10”.
Ze względu na podobieństwo do NetFlow, IPFIX cieszy się szerokim poparciem wśród rozwiązań do monitorowania sieci, a także wśród sprzętu sieciowego.
IPFIX (Internet Protocol Flow Information Export) to otwarty standardowy protokół opracowany przez Internet Engineering Task Force (IETF). Opiera się na specyfikacji NetFlow w wersji 9 i zapewnia standardowy format eksportowania rekordów przepływu z urządzeń sieciowych.
IPFIX opiera się na koncepcjach NetFlow i rozszerza je, aby zapewnić większą elastyczność i interoperacyjność między różnymi dostawcami i urządzeniami. Wprowadza koncepcję szablonów, umożliwiając dynamiczną definicję struktury i zawartości rekordu przepływu. Umożliwia to uwzględnienie pól niestandardowych, obsługę nowych protokołów i rozszerzalność.
Główne cechy IPFIX:
~ Podejście oparte na szablonach:IPFIX korzysta z szablonów w celu definiowania struktury i zawartości rekordów przepływu, oferując elastyczność w dostosowywaniu różnych pól danych i informacji specyficznych dla protokołu.
~ Interoperacyjność:IPFIX to otwarty standard zapewniający spójne możliwości monitorowania przepływu w różnych urządzeniach i na różnych urządzeniach sieciowych.
~ Obsługa IPv6:IPFIX natywnie obsługuje protokół IPv6, co czyni go odpowiednim do monitorowania i analizowania ruchu w sieciach IPv6.
~Zwiększone bezpieczeństwo:IPFIX obejmuje funkcje bezpieczeństwa, takie jak szyfrowanie Transport Layer Security (TLS) i sprawdzanie integralności wiadomości, aby chronić poufność i integralność danych przepływu podczas transmisji.
Protokół IPFIX jest szeroko wspierany przez wielu dostawców sprzętu sieciowego, co sprawia, że jest to niezależny od dostawcy i powszechnie przyjęty wybór w zakresie monitorowania przepływu sieciowego.
Jaka jest więc różnica między NetFlow i IPFIX?
Prosta odpowiedź jest taka, że NetFlow to zastrzeżony protokół firmy Cisco wprowadzony około 1996 r., a IPFIX to jego zatwierdzony przez organizację normalizacyjną odpowiednik.
Oba protokoły służą temu samemu celowi: umożliwieniu inżynierom sieciowym i administratorom zbierania i analizowania przepływów ruchu IP na poziomie sieci. Cisco opracowało NetFlow, aby jego przełączniki i routery mogły wyprowadzać te cenne informacje. Biorąc pod uwagę dominację sprzętu Cisco, NetFlow szybko stał się de facto standardem analizy ruchu sieciowego. Jednak konkurenci w branży zdali sobie sprawę, że korzystanie z zastrzeżonego protokołu kontrolowanego przez głównego rywala nie jest dobrym pomysłem, dlatego IETF przewodziło wysiłkom na rzecz standaryzacji otwartego protokołu do analizy ruchu, którym jest IPFIX.
IPFIX opiera się na NetFlow w wersji 9 i został pierwotnie wprowadzony około 2005 r., ale zajęło kilka lat, aby zyskać akceptację w branży. W tym momencie oba protokoły są zasadniczo takie same i chociaż termin NetFlow jest nadal bardziej rozpowszechniony, większość implementacji (choć nie wszystkie) jest zgodna ze standardem IPFIX.
Poniżej znajduje się tabela podsumowująca różnice między NetFlow i IPFIX:
| Aspekt | Przepływ netto | IPFIX |
|---|---|---|
| Pochodzenie | Zastrzeżona technologia opracowana przez Cisco | Standardowy protokół branżowy oparty na NetFlow w wersji 9 |
| Normalizacja | Technologia specyficzna dla Cisco | Otwarty standard zdefiniowany przez IETF w RFC 7011 |
| Elastyczność | Ewoluowane wersje ze specyficznymi cechami | Większa elastyczność i interoperacyjność między dostawcami |
| Format danych | Pakiety o stałym rozmiarze | Podejście oparte na szablonach do dostosowywalnych formatów rekordów przepływu |
| Wsparcie szablonów | Nieobsługiwane | Dynamiczne szablony umożliwiające elastyczne uwzględnianie pól |
| Wsparcie dostawcy | Głównie urządzenia Cisco | Szerokie wsparcie wśród dostawców rozwiązań sieciowych |
| Rozciągliwość | Ograniczona personalizacja | Włączanie pól niestandardowych i danych specyficznych dla aplikacji |
| Różnice w protokole | Odmiany specyficzne dla Cisco | Natywna obsługa protokołu IPv6, ulepszone opcje rekordów przepływu |
| Funkcje bezpieczeństwa | Ograniczone funkcje bezpieczeństwa | Szyfrowanie Transport Layer Security (TLS), integralność wiadomości |
Monitorowanie przepływu sieciowegoto zbieranie, analiza i monitorowanie ruchu przechodzącego przez daną sieć lub segment sieci. Cele mogą się różnić od rozwiązywania problemów z łącznością do planowania przyszłego przydziału pasma. Monitorowanie przepływu i próbkowanie pakietów może być nawet przydatne w identyfikowaniu i naprawianiu problemów bezpieczeństwa.
Monitorowanie przepływu daje zespołom sieciowym dobry pogląd na to, jak działa sieć, zapewniając wgląd w ogólne wykorzystanie, użycie aplikacji, potencjalne wąskie gardła, anomalie, które mogą sygnalizować zagrożenia bezpieczeństwa i wiele więcej. Istnieje kilka różnych standardów i formatów używanych w monitorowaniu przepływu sieci, w tym NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Każdy z nich działa w nieco inny sposób, ale wszystkie różnią się od lustrzanego odbicia portów i głębokiej inspekcji pakietów tym, że nie przechwytują zawartości każdego pakietu przechodzącego przez port lub przez przełącznik. Jednak monitorowanie przepływu zapewnia więcej informacji niż SNMP, który jest ogólnie ograniczony do szerokich statystyk, takich jak ogólne wykorzystanie pakietów i przepustowości.
Porównanie narzędzi przepływu sieciowego
| Funkcja | NetFlow v5 | NetFlow v9 | Przepływ | IPFIX |
| Otwarte czy zastrzeżone | Prawnie zastrzeżony | Prawnie zastrzeżony | Otwarte | Otwarte |
| Próbkowanie lub przepływ | Głównie oparty na przepływie; dostępny jest tryb próbkowania | Głównie oparty na przepływie; dostępny jest tryb próbkowania | Próbowano | Głównie oparty na przepływie; dostępny jest tryb próbkowania |
| Informacje zebrane | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itd. | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itd. | Kompletne nagłówki pakietów, częściowe ładunki pakietów | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itd. |
| Monitorowanie wejścia/wyjścia | Tylko wejście | Wejście i wyjście | Wejście i wyjście | Wejście i wyjście |
| Obsługa IPv6/VLAN/MPLS | No | Tak | Tak | Tak |
Czas publikacji: 18-03-2024
