„NetFlow“ ir „IPFIX“ yra technologijos, naudojamos tinklo srauto stebėjimui ir analizei. Jos suteikia įžvalgų apie tinklo srauto modelius, padeda optimizuoti našumą, šalinti triktis ir atlikti saugumo analizę.
Grynasis srautas:
Kas yra „NetFlow“?
NetFlowyra originalus srauto stebėjimo sprendimas, kurį „Cisco“ sukūrė XX a. dešimtojo dešimtmečio pabaigoje. Yra kelios skirtingos versijos, tačiau dauguma diegimų yra pagrįsti „NetFlow v5“ arba „NetFlow v9“. Nors kiekviena versija turi skirtingas galimybes, pagrindinis veikimas išlieka tas pats:
Pirma, maršrutizatorius, komutatorius, užkarda ar kito tipo įrenginys fiksuos informaciją apie tinklo „srautus“ – iš esmės paketų rinkinį, turintį bendras charakteristikas, pvz., šaltinio ir paskirties adresus, šaltinio ir paskirties prievadus bei protokolo tipą. Kai srautas nustoja veikti arba praeina iš anksto nustatytas laikas, įrenginys eksportuos srauto įrašus į objektą, vadinamą „srauto rinktuvu“.
Galiausiai, „srauto analizatorius“ susistemina šiuos įrašus, teikdamas įžvalgas vizualizacijų, statistikos ir išsamių istorinių bei realiojo laiko ataskaitų forma. Praktiškai rinkėjai ir analizatoriai dažnai yra vienas subjektas, dažnai sujungiamas į didesnį tinklo našumo stebėjimo sprendimą.
„NetFlow“ veikia būsenos pagrindu. Kai kliento kompiuteris susisiekia su serveriu, „NetFlow“ pradeda rinkti ir kaupti metaduomenis iš srauto. Nutraukus sesiją, „NetFlow“ eksportuoja vieną pilną įrašą į duomenų rinkimo įrenginį.
Nors „NetFlow v5“ vis dar dažnai naudojama, ji turi nemažai apribojimų. Eksportuojami laukai yra fiksuoti, stebėjimas palaikomas tik įeinančiojo signalo kryptimi, o šiuolaikinės technologijos, tokios kaip IPv6, MPLS ir VXLAN, nėra palaikomos. „NetFlow v9“, dar vadinama „Flexible NetFlow“ (FNF), pašalina kai kuriuos iš šių apribojimų, leisdama vartotojams kurti pasirinktinius šablonus ir pridėdama palaikymą naujesnėms technologijoms.
Daugelis tiekėjų taip pat turi savo patentuotas „NetFlow“ versijas, pvz., „Juniper“ „jFlow“ ir „Huawei“ „NetStream“. Nors konfigūracija gali šiek tiek skirtis, šios versijos dažnai sukuria srauto įrašus, kurie yra suderinami su „NetFlow“ rinktuvais ir analizatoriais.
Pagrindinės „NetFlow“ savybės:
~ Srauto duomenys„NetFlow“ generuoja srauto įrašus, kuriuose yra tokia informacija kaip šaltinio ir paskirties IP adresai, prievadai, laiko žymos, paketų ir baitų skaičius bei protokolų tipai.
~ Eismo stebėjimas„NetFlow“ suteikia galimybę matyti tinklo srauto modelius, leisdama administratoriams nustatyti pagrindines programas, galinius taškus ir srauto šaltinius.
~Anomalijų aptikimasAnalizuodama srauto duomenis, „NetFlow“ gali aptikti anomalijas, tokias kaip per didelis pralaidumo panaudojimas, tinklo perkrova arba neįprasti srauto modeliai.
~ Saugumo analizė„NetFlow“ gali būti naudojama aptikti ir tirti saugumo incidentus, tokius kaip paskirstytos paslaugų teikimo trikdymo (DDoS) atakos arba neteisėtos prieigos bandymai.
„NetFlow“ versijos„NetFlow“ laikui bėgant vystėsi ir buvo išleistos skirtingos versijos. Kai kurios žinomos versijos yra „NetFlow v5“, „NetFlow v9“ ir „Flexible NetFlow“. Kiekvienoje versijoje yra patobulinimų ir papildomų galimybių.
IPFIX:
Kas yra IPFIX?
IETF standartas, interneto protokolo srauto informacijos eksportas (IPFIX), atsiradęs 2000-ųjų pradžioje, yra labai panašus į „NetFlow“. Tiesą sakant, „NetFlow v9“ buvo IPFIX pagrindas. Pagrindinis skirtumas tarp šių dviejų yra tas, kad IPFIX yra atviras standartas, kurį palaiko daugelis tinklo tiekėjų, išskyrus „Cisco“. Išskyrus kelis papildomus IPFIX laukus, formatai kitais atžvilgiais yra beveik identiški. Tiesą sakant, IPFIX kartais netgi vadinamas „NetFlow v10“.
Iš dalies dėl savo panašumų su „NetFlow“, IPFIX plačiai palaikomas tarp tinklo stebėjimo sprendimų ir tinklo įrangos.
IPFIX (interneto protokolo srauto informacijos eksportas) yra atvirojo standarto protokolas, kurį sukūrė Interneto inžinerijos darbo grupė (IETF). Jis pagrįstas „NetFlow 9 versijos“ specifikacija ir teikia standartizuotą formatą srauto įrašams eksportuoti iš tinklo įrenginių.
IPFIX remiasi „NetFlow“ koncepcijomis ir jas išplečia, kad pasiūlytų daugiau lankstumo ir sąveikumo tarp skirtingų tiekėjų ir įrenginių. Ji pristato šablonų koncepciją, leidžiančią dinamiškai apibrėžti srauto įrašų struktūrą ir turinį. Tai leidžia įtraukti pasirinktinius laukus, palaikyti naujus protokolus ir išplėsti.
Pagrindinės IPFIX savybės:
~ Šablonais pagrįstas metodasIPFIX naudoja šablonus srauto įrašų struktūrai ir turiniui apibrėžti, suteikdamas lankstumo pritaikant skirtingus duomenų laukus ir su protokolu susijusią informaciją.
~ SąveikumasIPFIX yra atviras standartas, užtikrinantis nuoseklų srauto stebėjimo pajėgumą skirtinguose tinklų tiekėjuose ir įrenginiuose.
~ IPv6 palaikymasIPFIX iš esmės palaiko IPv6, todėl tinka stebėti ir analizuoti srautą IPv6 tinkluose.
~Patobulintas saugumasIPFIX apima tokias saugumo funkcijas kaip Transport Layer Security (TLS) šifravimas ir pranešimų vientisumo patikrinimai, siekiant apsaugoti srauto duomenų konfidencialumą ir vientisumą perdavimo metu.
IPFIX plačiai palaiko įvairūs tinklo įrangos tiekėjai, todėl tai yra nuo tiekėjo nepriklausomas ir plačiai naudojamas pasirinkimas tinklo srauto stebėjimui.
Taigi, kuo skiriasi „NetFlow“ ir „IPFIX“?
Paprastas atsakymas yra tas, kad „NetFlow“ yra „Cisco“ patentuotas protokolas, pristatytas apie 1996 m., o IPFIX yra jo standartų organizacijos patvirtintas brolis.
Abu protokolai atlieka tą pačią funkciją: leidžia tinklo inžinieriams ir administratoriams rinkti ir analizuoti tinklo lygio IP srauto srautus. „Cisco“ sukūrė „NetFlow“, kad jos komutatoriai ir maršrutizatoriai galėtų pateikti šią vertingą informaciją. Atsižvelgiant į „Cisco“ įrangos dominavimą, „NetFlow“ greitai tapo faktiniu tinklo srauto analizės standartu. Tačiau pramonės konkurentai suprato, kad naudoti patentuotą protokolą, kurį kontroliuoja pagrindinis konkurentas, nėra gera idėja, todėl IETF ėmėsi pastangų standartizuoti atvirą srauto analizės protokolą – IPFIX.
IPFIX yra pagrįstas „NetFlow“ 9 versija ir iš pradžių buvo pristatytas apie 2005 m., tačiau prireikė šiek tiek metų, kol jis tapo populiarus pramonėje. Šiuo metu abu protokolai iš esmės yra vienodi ir nors terminas „NetFlow“ vis dar yra labiau paplitęs, dauguma įdiegimų (nors ne visi) yra suderinami su IPFIX standartu.
Čia pateikta lentelė, kurioje apibendrinti „NetFlow“ ir „IPFIX“ skirtumai:
| Aspektas | NetFlow | IPFIX |
|---|---|---|
| Kilmė | „Cisco“ sukurta patentuota technologija | Pramonės standarto protokolas, pagrįstas „NetFlow 9“ versija |
| Standartizacija | „Cisco“ specifinė technologija | Atvirasis standartas, apibrėžtas IETF RFC 7011 dokumente |
| Lankstumas | Patobulintos versijos su specifinėmis funkcijomis | Didesnis lankstumas ir sąveikumas tarp tiekėjų |
| Duomenų formatas | Fiksuoto dydžio paketai | Šablonais pagrįstas metodas pritaikomiems srauto įrašų formatams |
| Šablonų palaikymas | Nepalaikoma | Dinaminiai šablonai lanksčiam laukų įtraukimui |
| Pardavėjų palaikymas | Visų pirma, „Cisco“ įrenginiai | Platus tinklų tiekėjų palaikymas |
| Išplečiamumas | Ribotas pritaikymas | Pasirinktinių laukų ir konkrečios programos duomenų įtraukimas |
| Protokolo skirtumai | „Cisco“ būdingi variantai | Gimtoji IPv6 palaikymo sistema, patobulintos srauto įrašymo parinktys |
| Apsaugos funkcijos | Ribotos saugumo funkcijos | Transporto sluoksnio saugumo (TLS) šifravimas, pranešimų vientisumas |
Tinklo srauto stebėjimasyra srauto, kertančio tam tikrą tinklą ar tinklo segmentą, rinkimas, analizė ir stebėjimas. Tikslai gali būti įvairūs – nuo ryšio problemų sprendimo iki būsimo pralaidumo paskirstymo planavimo. Srauto stebėjimas ir paketų atranka gali būti naudingi net nustatant ir šalinant saugumo problemas.
Srauto stebėjimas suteikia tinklo komandoms gerą supratimą apie tai, kaip veikia tinklas, pateikiant įžvalgų apie bendrą panaudojimą, programų naudojimą, galimas kliūtis, anomalijas, kurios gali signalizuoti apie saugumo grėsmes, ir kita. Tinklo srauto stebėjime naudojama keletas skirtingų standartų ir formatų, įskaitant „NetFlow“, „sFlow“ ir interneto protokolo srauto informacijos eksportą (IPFIX). Kiekvienas iš jų veikia šiek tiek skirtingai, tačiau visi jie skiriasi nuo prievadų veidrodinio atspindėjimo ir gilaus paketų patikrinimo tuo, kad jie nefiksuoja kiekvieno per prievadą ar komutatorių praeinančio paketo turinio. Tačiau srauto stebėjimas suteikia daugiau informacijos nei SNMP, kuris paprastai apsiriboja bendra statistika, pavyzdžiui, bendru paketų ir pralaidumo naudojimu.
Tinklo srauto įrankių palyginimas
| Funkcija | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Atviras arba patentuotas | Patentuotas | Patentuotas | Atidaryti | Atidaryti |
| Imčių arba srauto pagrindu | Daugiausia srauto pagrindu; galimas imties režimas | Daugiausia srauto pagrindu; galimas imties režimas | Imta | Daugiausia srauto pagrindu; galimas imties režimas |
| Užfiksuota informacija | Metaduomenys ir statistinė informacija, įskaitant perduotus baitus, sąsajos skaitiklius ir pan. | Metaduomenys ir statistinė informacija, įskaitant perduotus baitus, sąsajos skaitiklius ir pan. | Pilnos paketų antraštės, dalinės paketų naudingosios apkrovos | Metaduomenys ir statistinė informacija, įskaitant perduotus baitus, sąsajos skaitiklius ir pan. |
| Įėjimo/išėjimo stebėjimas | Tik įėjimas | Įėjimas ir išėjimas | Įėjimas ir išėjimas | Įėjimas ir išėjimas |
| IPv6/VLAN/MPLS palaikymas | No | Taip | Taip | Taip |
Įrašo laikas: 2024 m. kovo 18 d.
