NetFlow i IPFIX to technologie wykorzystywane do monitorowania i analizy przepływu w sieci. Dostarczają one informacji o wzorcach ruchu sieciowego, wspomagając optymalizację wydajności, rozwiązywanie problemów i analizę bezpieczeństwa.
Przepływ sieciowy:
Czym jest NetFlow?
NetFlowto oryginalne rozwiązanie do monitorowania przepływu, opracowane pierwotnie przez Cisco pod koniec lat 90. XX wieku. Istnieje kilka różnych wersji, ale większość wdrożeń opiera się na NetFlow v5 lub NetFlow v9. Chociaż każda wersja ma inne możliwości, podstawowa obsługa pozostaje taka sama:
Najpierw router, przełącznik, zapora sieciowa lub inny typ urządzenia przechwytuje informacje o „przepływach” sieciowych – zasadniczo zbiorze pakietów, które mają wspólne cechy, takie jak adres źródłowy i docelowy, port źródłowy i docelowy oraz typ protokołu. Po przejściu przepływu w stan uśpienia lub po upływie określonego czasu urządzenie eksportuje rekordy przepływu do jednostki zwanej „kolektorem przepływów”.
Wreszcie, „analizator przepływu” analizuje te rekordy, dostarczając wglądu w postaci wizualizacji, statystyk oraz szczegółowych raportów historycznych i w czasie rzeczywistym. W praktyce kolektory i analizatory często stanowią jeden podmiot, często połączony w większe rozwiązanie do monitorowania wydajności sieci.
NetFlow działa w oparciu o stan. Gdy komputer kliencki nawiąże połączenie z serwerem, NetFlow rozpocznie przechwytywanie i agregację metadanych z przepływu. Po zakończeniu sesji NetFlow wyeksportuje pojedynczy, kompletny rekord do kolektora.
Choć NetFlow v5 jest nadal powszechnie używany, ma szereg ograniczeń. Eksportowane pola są stałe, monitorowanie jest obsługiwane tylko w kierunku przychodzącym, a nowoczesne technologie, takie jak IPv6, MPLS i VXLAN, nie są obsługiwane. NetFlow v9, znany również jako Flexible NetFlow (FNF), eliminuje niektóre z tych ograniczeń, umożliwiając użytkownikom tworzenie niestandardowych szablonów i dodając obsługę nowszych technologii.
Wielu dostawców oferuje również własne, zastrzeżone implementacje NetFlow, takie jak jFlow firmy Juniper i NetStream firmy Huawei. Chociaż konfiguracja może się nieco różnić, implementacje te często generują rekordy przepływu zgodne z kolektorami i analizatorami NetFlow.
Główne cechy NetFlow:
~ Dane przepływu:NetFlow generuje rekordy przepływu, które obejmują szczegóły, takie jak adresy IP źródłowe i docelowe, porty, znaczniki czasu, liczbę pakietów i bajtów oraz typy protokołów.
~ Monitorowanie ruchu:NetFlow zapewnia wgląd w wzorce ruchu sieciowego, umożliwiając administratorom identyfikację najważniejszych aplikacji, punktów końcowych i źródeł ruchu.
~Wykrywanie anomaliiAnalizując dane dotyczące przepływu, NetFlow potrafi wykryć anomalie, takie jak nadmierne wykorzystanie pasma, przeciążenie sieci lub nietypowe wzorce ruchu.
~ Analiza bezpieczeństwa:NetFlow można wykorzystać do wykrywania i badania incydentów bezpieczeństwa, takich jak ataki typu „odmowa usługi” (DDoS) lub próby nieautoryzowanego dostępu.
Wersje NetFlowNetFlow ewoluował z biegiem czasu i ukazały się różne wersje. Do najważniejszych należą NetFlow v5, NetFlow v9 i Flexible NetFlow. Każda wersja wprowadza ulepszenia i dodatkowe możliwości.
IPFIX:
Czym jest IPFIX?
Standard IETF, który pojawił się na początku XXI wieku, Internet Protocol Flow Information Export (IPFIX), jest niezwykle podobny do NetFlow. W rzeczywistości NetFlow v9 stanowił podstawę dla IPFIX. Główną różnicą między nimi jest to, że IPFIX jest standardem otwartym i jest obsługiwany przez wielu dostawców rozwiązań sieciowych poza Cisco. Z wyjątkiem kilku dodatkowych pól dodanych w IPFIX, formaty te są niemal identyczne. Co więcej, IPFIX jest czasami określany jako „NetFlow v10”.
Częściowo ze względu na podobieństwo do NetFlow, IPFIX cieszy się szerokim poparciem wśród rozwiązań do monitorowania sieci oraz sprzętu sieciowego.
IPFIX (Internet Protocol Flow Information Export) to otwarty standardowy protokół opracowany przez Internet Engineering Task Force (IETF). Jest on oparty na specyfikacji NetFlow w wersji 9 i zapewnia standardowy format eksportu rekordów przepływu z urządzeń sieciowych.
IPFIX bazuje na koncepcjach NetFlow i rozszerza je, oferując większą elastyczność i interoperacyjność między różnymi dostawcami i urządzeniami. Wprowadza koncepcję szablonów, umożliwiając dynamiczne definiowanie struktury i zawartości rekordów przepływu. Umożliwia to dodawanie pól niestandardowych, obsługę nowych protokołów i rozszerzalność.
Główne cechy IPFIX:
~ Podejście oparte na szablonach:IPFIX korzysta z szablonów w celu definiowania struktury i zawartości rekordów przepływu, oferując elastyczność w dostosowywaniu różnych pól danych i informacji specyficznych dla protokołu.
~ Interoperacyjność:IPFIX to otwarty standard zapewniający spójne możliwości monitorowania przepływu w różnych sieciach i urządzeniach różnych dostawców.
~ Obsługa IPv6:IPFIX natywnie obsługuje protokół IPv6, co umożliwia monitorowanie i analizowanie ruchu w sieciach IPv6.
~Zwiększone bezpieczeństwo:IPFIX obejmuje funkcje bezpieczeństwa, takie jak szyfrowanie Transport Layer Security (TLS) i sprawdzanie integralności wiadomości, aby chronić poufność i integralność danych przepływu podczas transmisji.
Protokół IPFIX jest szeroko wspierany przez różnych dostawców sprzętu sieciowego, co czyni go niezależnym od dostawców i powszechnie przyjętym wyborem w zakresie monitorowania przepływu w sieci.
Jaka jest więc różnica pomiędzy NetFlow i IPFIX?
Prosta odpowiedź jest taka, że NetFlow to zastrzeżony protokół firmy Cisco wprowadzony około 1996 r., a IPFIX to jego zatwierdzona przez organizację normalizacyjną wersja.
Oba protokoły służą temu samemu celowi: umożliwieniu inżynierom i administratorom sieci zbierania i analizowania przepływów ruchu IP na poziomie sieci. Firma Cisco opracowała protokół NetFlow, aby jej przełączniki i routery mogły generować te cenne informacje. Biorąc pod uwagę dominację sprzętu Cisco, NetFlow szybko stał się de facto standardem w analizie ruchu sieciowego. Konkurenci w branży zdali sobie jednak sprawę, że korzystanie z zastrzeżonego protokołu kontrolowanego przez głównego rywala nie jest dobrym pomysłem, dlatego też IETF zainicjował działania mające na celu standaryzację otwartego protokołu do analizy ruchu, jakim jest IPFIX.
IPFIX opiera się na NetFlow w wersji 9 i został pierwotnie wprowadzony około 2005 roku, ale minęło kilka lat, zanim zyskał akceptację w branży. Obecnie oba protokoły są zasadniczo takie same i chociaż termin NetFlow jest nadal bardziej rozpowszechniony, większość implementacji (choć nie wszystkie) jest zgodna ze standardem IPFIX.
Poniżej znajduje się tabela podsumowująca różnice między NetFlow i IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Pochodzenie | Technologia zastrzeżona opracowana przez Cisco | Standardowy protokół branżowy oparty na NetFlow w wersji 9 |
| Normalizacja | Technologia specyficzna dla Cisco | Otwarty standard zdefiniowany przez IETF w RFC 7011 |
| Elastyczność | Udoskonalone wersje o określonych cechach | Większa elastyczność i interoperacyjność między dostawcami |
| Format danych | Pakiety o stałym rozmiarze | Podejście oparte na szablonach do dostosowywania formatów rekordów przepływu |
| Wsparcie szablonów | Nieobsługiwane | Dynamiczne szablony do elastycznego uwzględniania pól |
| Wsparcie dostawców | Głównie urządzenia Cisco | Szerokie wsparcie wśród dostawców rozwiązań sieciowych |
| Rozciągliwość | Ograniczona personalizacja | Dodawanie pól niestandardowych i danych specyficznych dla aplikacji |
| Różnice w protokołach | Warianty specyficzne dla Cisco | Natywna obsługa protokołu IPv6, ulepszone opcje rekordów przepływu |
| Funkcje bezpieczeństwa | Ograniczone funkcje bezpieczeństwa | Szyfrowanie Transport Layer Security (TLS), integralność wiadomości |
Monitorowanie przepływu sieciowegoto gromadzenie, analiza i monitorowanie ruchu przechodzącego przez daną sieć lub segment sieci. Cele mogą być różne, od rozwiązywania problemów z łącznością po planowanie przyszłej alokacji pasma. Monitorowanie przepływu i próbkowanie pakietów mogą być nawet przydatne w identyfikowaniu i rozwiązywaniu problemów bezpieczeństwa.
Monitorowanie przepływu daje zespołom sieciowym dobry obraz działania sieci, dostarczając informacji o ogólnym wykorzystaniu, wykorzystaniu aplikacji, potencjalnych wąskich gardłach, anomaliach, które mogą sygnalizować zagrożenia bezpieczeństwa i nie tylko. Istnieje kilka różnych standardów i formatów używanych w monitorowaniu przepływu w sieci, w tym NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Każdy z nich działa w nieco inny sposób, ale wszystkie różnią się od funkcji port mirroring i głębokiej inspekcji pakietów tym, że nie przechwytują zawartości każdego pakietu przesyłanego przez port lub przełącznik. Monitorowanie przepływu dostarcza jednak więcej informacji niż SNMP, który zazwyczaj ogranicza się do ogólnych statystyk, takich jak ogólne wykorzystanie pakietów i przepustowości.
Porównanie narzędzi przepływu sieciowego
| Funkcja | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otwarte lub zastrzeżone | Prawnie zastrzeżony | Prawnie zastrzeżony | Otwarte | Otwarte |
| Próbkowane lub oparte na przepływie | Głównie oparty na przepływie; dostępny jest tryb próbkowania | Głównie oparty na przepływie; dostępny jest tryb próbkowania | Próbowano | Głównie oparty na przepływie; dostępny jest tryb próbkowania |
| Informacje przechwycone | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itp. | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itp. | Kompletne nagłówki pakietów, częściowe ładunki pakietów | Metadane i informacje statystyczne, w tym przesłane bajty, liczniki interfejsu itp. |
| Monitorowanie wejścia/wyjścia | Tylko wejście | Wejście i wyjście | Wejście i wyjście | Wejście i wyjście |
| Obsługa IPv6/VLAN/MPLS | No | Tak | Tak | Tak |
Czas publikacji: 18 marca 2024 r.
