„NetFlow“ ir „IPFIX“ yra abi technologijos, naudojamos tinklo srauto stebėjimui ir analizei. Jie suteikia įžvalgos apie tinklo srauto modelius, padeda optimizuoti našumą, pašalinti triktis ir saugumo analizė.
„Netflow“:
Kas yra „Netflow“?
„Netflow“yra originalus srauto stebėjimo sprendimas, kurį iš pradžių sukūrė „Cisco“ 1990 m. Pabaigoje. Yra keletas skirtingų versijų, tačiau dauguma diegimų yra pagrįsti „Netflow V5“ arba „Netflow V9“. Nors kiekviena versija turi skirtingas galimybes, pagrindinė operacija išlieka ta pati:
Pirmiausia maršrutizatorius, jungiklis, ugniasienė ar kitas įrenginio tipas užfiksuos informaciją tinklo „srautuose“ - iš esmės paketų rinkinį, kuriame yra bendras charakteristikų rinkinys, pavyzdžiui, šaltinis ir paskirties adresas, šaltinis ir paskirties prievadas bei protokolo tipas. Kai srautas neveikė arba praėjo iš anksto nustatytas laikas, įrenginys eksportuos srauto įrašus į subjektą, žinomą kaip „srauto kolekcionierius“.
Galiausiai „srauto analizatorius“ supranta tuos įrašus, pateikdamas įžvalgų vizualizacijų, statistikos ir išsamios istorinių ir realiojo laiko ataskaitų teikimo pavidalu. Praktiškai kolekcionieriai ir analizatoriai dažnai yra vienas subjektas, dažnai sujungiamas į didesnį tinklo veiklos stebėjimo sprendimą.
„Netflow“ veikia valstybiškai. Kai kliento aparatas pasieks serverį, „Netflow“ pradės fiksuoti ir kaups metaduomenis iš srauto. Pasibaigus sesijai, „Netflow“ eksportuos vieną išsamų įrašą į kolekcininką.
Nors jis vis dar dažniausiai naudojamas, „Netflow V5“ turi daugybę apribojimų. Eksportuojami laukai yra fiksuoti, stebėjimas palaikomas tik įėjimo kryptimi, o šiuolaikinės technologijos, tokios kaip IPv6, MPLS ir VXLAN, nepalaikomos. „Netflow V9“, taip pat pažymėtas kaip lankstus „Netflow“ (FNF), kreipiasi į kai kuriuos iš šių apribojimų, leidžiančių vartotojams kurti pasirinktinius šablonus ir pridėti palaikymą naujesnėms technologijoms.
Daugelis pardavėjų taip pat turi savo patentuotą „Netflow“ įgyvendinimą, pavyzdžiui, JFlow iš „Juniper“ ir „Netstream“ iš Huawei. Nors konfigūracija gali šiek tiek skirtis, šie įgyvendinimai dažnai sukuria srauto įrašus, suderinamus su „Netflow“ kolekcionieriais ir analizatoriais.
Pagrindinės „Netflow“ savybės:
~ Srauto duomenys: „Netflow“ generuoja srauto įrašus, kuriuose yra tokia informacija kaip šaltinio ir paskirties IP adresai, prievadai, laiko žymos, paketų ir baitų skaičius bei protokolo tipai.
~ Eismo stebėjimas: „NetFlow“ suteikia tinklo srauto modelių matomumą, leidžiantį administratoriams nustatyti aukščiausias programas, galinius taškus ir eismo šaltinius.
~Anomalijos aptikimas: Išanalizavus srauto duomenis, „Netflow“ gali aptikti tokias anomalijas kaip per didelis pralaidumo panaudojimas, tinklo spūstys ar neįprastai srauto modeliai.
~ Saugumo analizė: „Netflow“ gali būti naudojamas aptikti ir ištirti saugumo incidentus, tokius kaip paskirstytos paslaugų neigimo (DDOS) atakos ar neteisėtos prieigos bandymai.
„Netflow“ versijos: „Netflow“ laikui bėgant vystėsi, ir buvo išleistos skirtingos versijos. Kai kurios pastebimos versijos yra „Netflow V5“, „Netflow V9“ ir „Flexible Netflow“. Kiekviena versija pristato patobulinimus ir papildomas galimybes.
IPFIX:
Kas yra „ipfix“?
2000 -ųjų pradžioje atsiradęs IETF standartas, interneto protokolo srauto informacijos eksportas (IPFIX) yra ypač panašus į „NetFlow“. Tiesą sakant, „Netflow V9“ buvo IPFIX pagrindas. Pagrindinis skirtumas tarp šių dviejų yra tas, kad „iPFix“ yra atviras standartas ir jį palaiko daugelis tinklo pardavėjų, išskyrus „Cisco“. Išskyrus keletą papildomų laukų, pridėtų „iPFix“, formatai kitaip yra beveik identiški. Tiesą sakant, „iPFix“ kartais net vadinama „Netflow V10“.
Iš dalies dėl jo panašumų su „NetFlow“, „IPFIX“ teikia platų palaikymą tarp tinklo stebėjimo sprendimų ir tinklo įrangos.
IPFIX (interneto protokolo srauto informacijos eksportas) yra atviras standartinis protokolas, kurį sukūrė interneto inžinerijos darbo grupė (IETF). Jis pagrįstas „NetFlow 9“ versijos specifikacija ir pateikia standartizuotą formatą, skirtą eksportuoti srauto įrašus iš tinklo įrenginių.
„IPFix“ remiasi „Netflow“ koncepcijomis ir išplečia jas, kad būtų daugiau lankstumo ir sąveikos įvairiuose pardavėjuose ir įrenginiuose. Jame pristatoma šablonų koncepcija, leidžianti dinamiškai apibrėžti srauto įrašo struktūrą ir turinį. Tai leidžia įtraukti pasirinktinius laukus, naujų protokolų palaikymą ir išplėtimą.
Pagrindinės „ipfix“ savybės:
~ Šabloną pagrįstas požiūris: „IPFix“ naudoja šablonus, kad apibrėžtų srauto įrašų struktūrą ir turinį, siūlydamas lankstumą pritaikant skirtingas duomenų laukus ir konkrečią protokolą.
~ Sąveika: „IPFix“ yra atviras standartas, užtikrinantis nuoseklias srauto stebėjimo galimybes skirtinguose tinklų pardavėjuose ir įrenginiuose.
~ IPv6 palaikymas: „IPFix“ natūraliai palaiko IPv6, todėl jis yra tinkamas srauto stebėjimui ir analizei IPv6 tinkluose.
~Sustiprintas saugumas: „IPFix“ apima saugos funkcijas, tokias kaip transporto sluoksnio saugos (TLS) šifravimas ir pranešimų vientisumo patikrinimai, kad būtų apsaugotas srauto duomenų konfidencialumas ir vientisumas perdavimo metu.
„IPFix“ plačiai palaiko įvairūs tinklo įrangos pardavėjai, todėl tai yra pardavėjų neutralus ir plačiai priimtas pasirinkimas tinklo srauto stebėjimui.
Taigi, kuo skiriasi „NetFlow“ ir „IPFIX“?
Paprastas atsakymas yra tas, kad „Netflow“ yra „Cisco“ patentuotas protokolas, įvestas maždaug 1996 m., O „iPFix“ yra jo standartų įstaigos patvirtintas brolis.
Abu protokolai tarnauja tam pačiam tikslui: leidžia tinklo inžinieriams ir administratoriams rinkti ir analizuoti tinklo lygio IP srauto srautus. „Cisco“ sukūrė „NetFlow“, kad jo jungikliai ir maršrutizatoriai galėtų išvesti šią vertingą informaciją. Atsižvelgiant į „Cisco Gear“ dominavimą, „Netflow“ greitai tapo „De-Facto“ standartu tinklo srauto analizei. Tačiau pramonės konkurentai suprato, kad naudojant patentuotą protokolą, kurį kontroliuoja pagrindinis konkurentas, nebuvo gera idėja, todėl IETF paskatino Standartuoti atvirą eismo analizės protokolą, kuris yra IPFIX.
„IPFix“ yra pagrįstas „Netflow 9“ versija ir iš pradžių buvo pristatyta maždaug 2005 m., Tačiau pramonei įsigyti prireikė keletą metų. Šiuo metu abu protokolai iš esmės yra vienodi ir, nors terminas „NetFlow“ vis dar yra labiau paplitęs daugumos diegimų (nors ir ne visi) yra suderinami su IPFIX standartu.
Štai lentelė, apibendrinanti „NetFlow“ ir „IPFIX“ skirtumus:
| Aspektas | „Netflow“ | IPFIX |
|---|---|---|
| Kilmė | Patentuota technologija, kurią sukūrė „Cisco“ | Pramonės standartinis protokolas, pagrįstas „NetFlow 9“ versija |
| Standartizacija | „Cisco“ specifinės technologijos | Atidarykite standartą, apibrėžtą IETF RFC 7011 |
| Lankstumas | Išsivysčiamos versijos su konkrečiomis funkcijomis | Didesnis pardavėjų lankstumas ir sąveika |
| Duomenų formatas | Fiksuoto dydžio paketai | Tinkamų srauto įrašų formatų šabloną pagrįstas metodas |
| Šablono palaikymas | Nepalaikoma | Dinaminiai lanksčių lauko įtraukimo šablonai |
| Pardavėjo palaikymas | Pirmiausia „Cisco“ įrenginiai | Platus palaikymas tarp tinklų pardavėjų |
| Išplėtimas | Ribotas pritaikymas | Pasirinktinių laukų ir konkrečių programų duomenų įtraukimas |
| Protokolo skirtumai | „Cisco“ specifiniai variantai | Natūralus IPv6 palaikymas, patobulintos srauto įrašų parinktys |
| Saugumo funkcijos | Ribotos saugumo funkcijos | Transporto sluoksnio saugos (TLS) šifravimas, pranešimo vientisumas |
Tinklo srauto stebėjimasyra tam tikro tinklo ar tinklo segmento srauto, apvažiuojančio tam tikrą tinklo ar tinklo segmentą, rinkimas, analizė ir stebėjimas. Tikslai gali skirtis nuo trikčių šalinimo ryšio problemų ir planuojant būsimą pralaidumo paskirstymą. Srauto stebėjimas ir paketų mėginių ėmimas netgi gali būti naudingas nustatant ir ištaisant saugumo problemas.
Srauto stebėjimas suteikia tinklo komandoms gerą supratimą, kaip veikia tinklas, suteikiant įžvalgų apie bendrą panaudojimą, taikymo naudojimą, galimus kliūtis, anomalijas, kurios gali signalizuoti apie saugumo grėsmes ir dar daugiau. Tinklo srauto stebėjime naudojami keli skirtingi standartai ir formatai, įskaitant „NetFlow“, „SFLOW“ ir „Internet Protocol“ srauto informacijos eksportą (IPFIX). Kiekvienas iš jų veikia šiek tiek skirtingai, tačiau visi skiriasi nuo prievadų veidrodžių ir gilių paketų patikrinimo tuo, kad neužfiksuoja kiekvieno paketo, einančio per prievadą, ar per jungiklį. Tačiau srauto stebėjimas suteikia daugiau informacijos nei SNMP, kuri paprastai apsiriboja plačia statistika, pavyzdžiui, bendras paketų ir pralaidumo naudojimas.
Palyginti tinklo srauto įrankiai
| Savybė | „Netflow V5“ | „Netflow V9“ | Sflow | IPFIX |
| Atvira ar patentuota | Nuosavybės teise | Nuosavybės teise | Atidaryti | Atidaryti |
| Imami arba srautai pagrįsti | Pirmiausia srautas; Galimas atrinktas režimas | Pirmiausia srautas; Galimas atrinktas režimas | Atrinkta | Pirmiausia srautas; Galimas atrinktas režimas |
| Užfiksuota informacija | Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajos skaitiklius ir pan. | Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajos skaitiklius ir pan. | Užpildytos paketų antraštės, dalinės paketų naudingos apkrovos | Metaduomenys ir statistinė informacija, įskaitant perkeltus baitus, sąsajos skaitiklius ir pan. |
| Įėjimo/išėjimo stebėjimas | Tik patekimas | Įėjimas ir išėjimas | Įėjimas ir išėjimas | Įėjimas ir išėjimas |
| IPv6/VLAN/MPLS palaikymas | No | Taip | Taip | Taip |
Pašto laikas: 2012 m. Kovo 18 d
