Kuo skiriasi „NetFlow“ ir „IPFIX“ tinklo srauto stebėjimui?

NetFlow ir IPFIX yra technologijos, naudojamos tinklo srautų stebėjimui ir analizei. Jie suteikia įžvalgų apie tinklo srauto modelius, padeda optimizuoti našumą, šalinti triktis ir analizuoti saugumą.

NetFlow:

Kas yra „NetFlow“?

NetFlowyra originalus srauto stebėjimo sprendimas, kurį iš pradžių sukūrė Cisco dešimtojo dešimtmečio pabaigoje. Yra keletas skirtingų versijų, tačiau dauguma diegimų yra pagrįsti NetFlow v5 arba NetFlow v9. Nors kiekviena versija turi skirtingas galimybes, pagrindinė operacija išlieka ta pati:

Pirma, maršrutizatorius, jungiklis, ugniasienė ar kito tipo įrenginys užfiksuos informaciją apie tinklo „srautą“ – iš esmės paketų rinkinį, kuris turi bendrų savybių rinkinį, pvz., šaltinio ir paskirties adresas, šaltinio ir paskirties prievadas bei protokolas. tipo. Kai srautas nustos veikti arba praeis iš anksto nustatytas laikas, įrenginys eksportuos srauto įrašus į objektą, vadinamą „srauto rinktuvu“.

Galiausiai, „srauto analizatorius“ įprasmina tuos įrašus, pateikdamas įžvalgas vizualizacijų, statistikos ir išsamių istorinių bei realiojo laiko ataskaitų pavidalu. Praktikoje kolektoriai ir analizatoriai dažnai yra vienas subjektas, dažnai sujungiamas į didesnį tinklo veikimo stebėjimo sprendimą.

NetFlow veikia būsenos pagrindu. Kai kliento įrenginys susisiekia su serveriu, „NetFlow“ pradės fiksuoti ir kaupti srauto metaduomenis. Seansui pasibaigus, „NetFlow“ eksportuos vieną visą įrašą į rinktuvą.

Nors NetFlow v5 vis dar dažnai naudojamas, jis turi tam tikrų apribojimų. Eksportuojami laukai yra fiksuoti, stebėjimas palaikomas tik įėjimo kryptimi, o šiuolaikinės technologijos, tokios kaip IPv6, MPLS ir VXLAN, nepalaikomos. „NetFlow v9“, taip pat žinomas kaip „Flexible NetFlow“ (FNF), pašalina kai kuriuos iš šių apribojimų, leidžia vartotojams kurti pasirinktinius šablonus ir pridedant naujesnių technologijų palaikymą.

Daugelis pardavėjų taip pat turi savo patentuotą „NetFlow“ diegimą, pvz., „JFlow“ iš „Juniper“ ir „NetStream“ iš „Huawei“. Nors konfigūracija gali šiek tiek skirtis, šie diegimai dažnai sukuria srauto įrašus, suderinamus su NetFlow rinktuvais ir analizatoriais.

Pagrindinės „NetFlow“ savybės:

~ Srauto duomenys: „NetFlow“ generuoja srauto įrašus, kuriuose yra tokia informacija kaip šaltinio ir paskirties IP adresai, prievadai, laiko žymos, paketų ir baitų skaičius ir protokolų tipai.

~ Eismo stebėjimas: NetFlow suteikia galimybę matyti tinklo srauto modelius, todėl administratoriai gali nustatyti populiariausias programas, galinius taškus ir srauto šaltinius.

~Anomalijų aptikimas: Analizuodama srauto duomenis, NetFlow gali aptikti anomalijas, tokias kaip per didelis pralaidumo naudojimas, tinklo perkrovos arba neįprasti srauto modeliai.

~ Saugumo analizė: NetFlow gali būti naudojamas aptikti ir ištirti saugumo incidentus, tokius kaip paskirstytos paslaugų atsisakymo (DDoS) atakos arba neteisėtos prieigos bandymai.

NetFlow versijos: NetFlow laikui bėgant vystėsi ir buvo išleistos įvairios versijos. Kai kurios žinomos versijos apima NetFlow v5, NetFlow v9 ir Flexible NetFlow. Kiekvienoje versijoje yra patobulinimų ir papildomų galimybių.

IPFIX:

Kas yra IPFIX?

IETF standartas, atsiradęs 2000-ųjų pradžioje, Interneto protokolo srauto informacijos eksportas (IPFIX) yra labai panašus į NetFlow. Tiesą sakant, „NetFlow v9“ buvo IPFIX pagrindas. Pagrindinis skirtumas tarp šių dviejų yra tas, kad IPFIX yra atviras standartas ir jį palaiko daugelis tinklo tiekėjų, išskyrus Cisco. Išskyrus keletą papildomų IPFIX laukų, formatai yra beveik identiški. Tiesą sakant, IPFIX kartais netgi vadinamas „NetFlow v10“.

Iš dalies dėl panašumo į NetFlow, IPFIX turi platų tinklo stebėjimo sprendimų ir tinklo įrangos palaikymą.

IPFIX (Internet Protocol Flow Information Export) yra atviro standarto protokolas, kurį sukūrė Internet Engineering Task Force (IETF). Jis pagrįstas NetFlow 9 versijos specifikacija ir suteikia standartizuotą srauto įrašų eksportavimo iš tinklo įrenginių formatą.

IPFIX remiasi NetFlow koncepcijomis ir jas išplečia, kad pasiūlytų daugiau lankstumo ir sąveikos tarp skirtingų tiekėjų ir įrenginių. Jame pristatoma šablonų koncepcija, leidžianti dinamiškai apibrėžti srauto įrašo struktūrą ir turinį. Tai leidžia įtraukti pasirinktinius laukus, palaikyti naujus protokolus ir išplėsti.

Pagrindinės IPFIX savybės:

~ Šablonais pagrįstas metodas: IPFIX naudoja šablonus srauto įrašų struktūrai ir turiniui apibrėžti, suteikdama lankstumo pritaikant skirtingus duomenų laukus ir su protokolu susijusią informaciją.

~ Sąveika: IPFIX yra atviras standartas, užtikrinantis nuoseklias srauto stebėjimo galimybes įvairiuose tinklo tiekėjams ir įrenginiuose.

~ IPv6 palaikymas: IPFIX iš esmės palaiko IPv6, todėl jis tinkamas stebėti ir analizuoti srautą IPv6 tinkluose.

~Patobulintas saugumas: IPFIX apima saugos funkcijas, tokias kaip Transport Layer Security (TLS) šifravimas ir pranešimų vientisumo patikros, siekiant apsaugoti srauto duomenų konfidencialumą ir vientisumą perdavimo metu.

IPFIX plačiai palaiko įvairūs tinklo įrangos pardavėjai, todėl tai yra pardavėjo atžvilgiu neutralus ir plačiai naudojamas tinklo srauto stebėjimo pasirinkimas.

 

Taigi, kuo skiriasi NetFlow ir IPFIX?

Paprastas atsakymas yra tas, kad „NetFlow“ yra patentuotas „Cisco“ protokolas, pristatytas maždaug 1996 m., o IPFIX yra jo standartų įstaigos patvirtintas brolis.

Abu protokolai atlieka tą patį tikslą: leidžia tinklo inžinieriams ir administratoriams rinkti ir analizuoti tinklo lygio IP srauto srautus. „Cisco“ sukūrė „NetFlow“, kad jos jungikliai ir maršrutizatoriai galėtų perduoti šią vertingą informaciją. Atsižvelgiant į Cisco įrangos dominavimą, NetFlow greitai tapo de facto tinklo srauto analizės standartu. Tačiau pramonės konkurentai suprato, kad naudoti patentuotą protokolą, kurį kontroliuoja pagrindinis konkurentas, nėra gera idėja, todėl IETF paskatino pastangas standartizuoti atvirą eismo analizės protokolą, kuris yra IPFIX.

IPFIX yra pagrįstas NetFlow 9 versija ir iš pradžių buvo pristatytas apie 2005 m., tačiau prireikė kelerių metų, kol jis buvo pritaikytas pramonėje. Šiuo metu abu protokolai iš esmės yra vienodi ir nors terminas NetFlow vis dar labiau paplitęs, dauguma diegimų (nors ir ne visi) yra suderinami su IPFIX standartu.

Štai lentelė, kurioje apibendrinami „NetFlow“ ir IPFIX skirtumai:

Aspektas NetFlow IPFIX
Kilmė Patentuota technologija, sukurta Cisco Pramonės standarto protokolas, pagrįstas „NetFlow“ 9 versija
Standartizavimas Cisco specifinė technologija Atviras standartas, apibrėžtas IETF RFC 7011
Lankstumas Išvystytos versijos su specifinėmis funkcijomis Didesnis tiekėjų lankstumas ir sąveikumas
Duomenų formatas Fiksuoto dydžio paketai Šablonais pagrįstas pritaikomų srauto įrašų formatų metodas
Šablonų palaikymas Nepalaikoma Dinaminiai šablonai lanksčiam lauko įtraukimui
Pardavėjo palaikymas Pirmiausia Cisco įrenginiai Platus tinklo tiekėjų palaikymas
Išplečiamumas Ribotas pritaikymas Priskirtų laukų ir konkrečios programos duomenų įtraukimas
Protokolų skirtumai „Cisco“ specifiniai variantai Vietinis IPv6 palaikymas, patobulintos srauto įrašymo parinktys
Apsaugos ypatybės Ribotos saugos funkcijos Transport Layer Security (TLS) šifravimas, pranešimų vientisumas

Tinklo srauto stebėjimasyra srauto, kertančio tam tikrą tinklą arba tinklo segmentą, rinkimas, analizė ir stebėjimas. Tikslai gali skirtis nuo ryšio problemų šalinimo iki būsimo pralaidumo paskirstymo planavimo. Srauto stebėjimas ir paketų atranka netgi gali būti naudingi nustatant ir pašalinant saugumo problemas.

Srauto stebėjimas suteikia tinklo komandoms gerą idėją apie tinklo veikimą, suteikia įžvalgų apie bendrą naudojimą, programų naudojimą, galimas kliūtis, anomalijas, kurios gali signalizuoti apie saugumo grėsmes ir kt. Tinklo srauto stebėjimui naudojami keli skirtingi standartai ir formatai, įskaitant „NetFlow“, „sFlow“ ir „Internet Protocol Flow Information Export“ (IPFIX). Kiekvienas iš jų veikia šiek tiek skirtingai, tačiau visi skiriasi nuo prievado atspindėjimo ir gilaus paketų tikrinimo tuo, kad neužfiksuoja kiekvieno paketo, einančio per prievadą ar per jungiklį, turinio. Tačiau srauto stebėjimas suteikia daugiau informacijos nei SNMP, kuri paprastai apsiriboja plačia statistika, tokia kaip bendras paketų ir pralaidumo naudojimas.

Palyginti tinklo srauto įrankiai

Funkcija NetFlow v5 NetFlow v9 sFlow IPFIX
Atviras arba patentuotas Nuosavybė Nuosavybė Atidaryti Atidaryti
Mėginių arba srauto pagrindu Visų pirma pagrįstas srautu; Galimas atrankos režimas Visų pirma pagrįstas srautu; Galimas atrankos režimas Atrinkta Visų pirma pagrįstas srautu; Galimas atrankos režimas
Informacija užfiksuota Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajų skaitiklius ir pan Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajų skaitiklius ir pan Pilnos paketų antraštės, dalinės paketų naudingosios apkrovos Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajų skaitiklius ir pan
Įėjimo/išėjimo stebėjimas Tik įėjimas Įėjimas ir išėjimas Įėjimas ir išėjimas Įėjimas ir išėjimas
IPv6/VLAN/MPLS palaikymas No Taip Taip Taip

Paskelbimo laikas: 2024-03-18