NetFlow и IPFIX са технологии, използвани за наблюдение и анализ на мрежовия поток. Те предоставят информация за моделите на мрежовия трафик, помагайки за оптимизиране на производителността, отстраняване на проблеми и анализ на сигурността.
Нетен поток:
Какво е NetFlow?
НетФлоуе оригиналното решение за мониторинг на потока, разработено първоначално от Cisco в края на 90-те години на миналия век. Съществуват няколко различни версии, но повечето внедрявания са базирани на NetFlow v5 или NetFlow v9. Въпреки че всяка версия има различни възможности, основната операция остава същата:
Първо, рутер, комутатор, защитна стена или друг тип устройство ще събира информация за мрежовите „потоци“ – основно набор от пакети, които споделят общ набор от характеристики, като адрес на източника и местоназначението, порт на източника и местоназначението и тип протокол. След като даден поток е преминал в режим на неактивност или е изминал предварително определен период от време, устройството ще експортира записите на потока към обект, известен като „колектор на потоци“.
Накрая, „анализатор на потока“ осмисля тези записи, предоставяйки информация под формата на визуализации, статистика и подробни исторически и отчети в реално време. На практика колекторите и анализаторите често са едно цяло, често комбинирано в по-голямо решение за мониторинг на производителността на мрежата.
NetFlow работи на базата на отчитане на състоянието. Когато клиентска машина се свърже със сървър, NetFlow ще започне да събира и агрегира метаданни от потока. След прекратяване на сесията, NetFlow ще експортира един пълен запис към колектора.
Въпреки че все още се използва често, NetFlow v5 има редица ограничения. Експортираните полета са фиксирани, мониторингът се поддържа само във входящата посока и не се поддържат съвременни технологии като IPv6, MPLS и VXLAN. NetFlow v9, известен още като Flexible NetFlow (FNF), адресира някои от тези ограничения, като позволява на потребителите да създават персонализирани шаблони и добавя поддръжка за по-нови технологии.
Много доставчици също имат свои собствени патентовани имплементации на NetFlow, като например jFlow от Juniper и NetStream от Huawei. Въпреки че конфигурацията може да се различава донякъде, тези имплементации често генерират записи на потока, които са съвместими с колекторите и анализаторите на NetFlow.
Основни характеристики на NetFlow:
~ Данни за потокаNetFlow генерира записи за поток, които включват подробности като IP адреси на източник и получател, портове, времеви марки, брой пакети и байтове и типове протоколи.
~ Мониторинг на трафикаNetFlow осигурява видимост върху моделите на мрежовия трафик, позволявайки на администраторите да идентифицират най-важните приложения, крайни точки и източници на трафик.
~Откриване на аномалииЧрез анализ на данните за потока, NetFlow може да открие аномалии като прекомерно използване на честотна лента, претоварване на мрежата или необичайни модели на трафик.
~ Анализ на сигурносттаNetFlow може да се използва за откриване и разследване на инциденти със сигурността, като например разпределени атаки тип „отказ от услуга“ (DDoS) или опити за неоторизиран достъп.
Версии на NetFlowNetFlow се е развивал с течение на времето и са били пускани различни версии. Някои забележителни версии включват NetFlow v5, NetFlow v9 и Flexible NetFlow. Всяка версия въвежда подобрения и допълнителни възможности.
IPFIX:
Какво е IPFIX?
Стандартът на IETF, появил се в началото на 2000-те години, Internet Protocol Flow Information Export (IPFIX), е изключително подобен на NetFlow. Всъщност NetFlow v9 послужи като основа за IPFIX. Основната разлика между двата е, че IPFIX е отворен стандарт и се поддържа от много мрежови доставчици, освен Cisco. С изключение на няколко допълнителни полета, добавени в IPFIX, форматите са почти идентични. Всъщност IPFIX понякога дори се нарича „NetFlow v10“.
Отчасти поради приликите си с NetFlow, IPFIX се радва на широка подкрепа сред решенията за мрежов мониторинг, както и сред мрежовото оборудване.
IPFIX (Internet Protocol Flow Information Export) е протокол с отворен стандарт, разработен от Internet Engineering Task Force (IETF). Той е базиран на спецификацията NetFlow Version 9 и предоставя стандартизиран формат за експортиране на записи за поток от мрежови устройства.
IPFIX надгражда концепциите на NetFlow и ги разширява, за да предложи по-голяма гъвкавост и оперативна съвместимост между различни доставчици и устройства. Той въвежда концепцията за шаблони, позволявайки динамично дефиниране на структурата и съдържанието на записите на потока. Това позволява включването на персонализирани полета, поддръжка на нови протоколи и разширяемост.
Основни характеристики на IPFIX:
~ Подход, базиран на шаблониIPFIX използва шаблони, за да дефинира структурата и съдържанието на записите за потоци, предлагайки гъвкавост при приемането на различни полета за данни и специфична за протокола информация.
~ Оперативна съвместимостIPFIX е отворен стандарт, осигуряващ последователни възможности за наблюдение на потока между различни мрежови доставчици и устройства.
~ Поддръжка на IPv6IPFIX поддържа IPv6, което го прави подходящ за наблюдение и анализ на трафика в IPv6 мрежи.
~Подобрена сигурностIPFIX включва функции за сигурност, като например криптиране на Transport Layer Security (TLS) и проверки за целостта на съобщенията, за да защити поверителността и целостта на данните за потока по време на предаване.
IPFIX се поддържа широко от различни доставчици на мрежово оборудване, което го прави неутрален спрямо доставчиците и широко възприет избор за наблюдение на мрежовия поток.
И така, каква е разликата между NetFlow и IPFIX?
Простият отговор е, че NetFlow е собствен протокол на Cisco, въведен около 1996 г., а IPFIX е неговият одобрен от стандартизираната организация брат.
И двата протокола служат за една и съща цел: да позволят на мрежовите инженери и администратори да събират и анализират IP трафик потоци на мрежово ниво. Cisco разработи NetFlow, така че нейните комутатори и рутери да могат да извеждат тази ценна информация. Предвид доминацията на оборудването на Cisco, NetFlow бързо се превърна в стандарт de facto за анализ на мрежовия трафик. Конкурентите в индустрията обаче осъзнаха, че използването на собствен протокол, контролиран от главния му конкурент, не е добра идея и затова IETF поведе усилия за стандартизиране на отворен протокол за анализ на трафика, който е IPFIX.
IPFIX е базиран на NetFlow версия 9 и първоначално е въведен около 2005 г., но са му били необходими няколко години, за да се наложи в индустрията. Към този момент двата протокола са по същество еднакви и въпреки че терминът NetFlow все още е по-разпространен, повечето реализации (макар и не всички) са съвместими със стандарта IPFIX.
Ето таблица, обобщаваща разликите между NetFlow и IPFIX:
| Аспект | НетФлоу | IPFIX |
|---|---|---|
| Произход | Патентована технология, разработена от Cisco | Стандартен протокол за индустрията, базиран на NetFlow версия 9 |
| Стандартизация | Специфична за Cisco технология | Отворен стандарт, дефиниран от IETF в RFC 7011 |
| Гъвкавост | Усъвършенствани версии със специфични характеристики | По-голяма гъвкавост и оперативна съвместимост между различните доставчици |
| Формат на данните | Пакети с фиксиран размер | Подход, базиран на шаблони, за персонализируеми формати на записи на потоци |
| Поддръжка на шаблони | Не се поддържа | Динамични шаблони за гъвкаво включване на полета |
| Поддръжка на доставчици | Предимно устройства на Cisco | Широка поддръжка от всички доставчици на мрежови услуги |
| Разширяемост | Ограничена персонализация | Включване на персонализирани полета и специфични за приложението данни |
| Разлики в протоколите | Специфични за Cisco вариации | Вградена поддръжка на IPv6, подобрени опции за запис на поток |
| Функции за сигурност | Ограничени функции за сигурност | TLS (Transport Layer Security) криптиране, целостност на съобщенията |
Мониторинг на мрежовия потоке събирането, анализът и наблюдението на трафик, преминаващ през дадена мрежа или мрежов сегмент. Целите могат да варират от отстраняване на проблеми с връзката до планиране на бъдещо разпределение на честотната лента. Мониторингът на потока и вземането на проби от пакети могат дори да бъдат полезни при идентифициране и отстраняване на проблеми със сигурността.
Мониторингът на потока дава на мрежовите екипи добра представа за това как работи мрежата, предоставяйки информация за цялостното използване, използването на приложенията, потенциалните пречки, аномалиите, които могат да сигнализират за заплахи за сигурността и други. Съществуват няколко различни стандарта и формати, използвани при мониторинга на мрежовия поток, включително NetFlow, sFlow и Internet Protocol Flow Information Export (IPFIX). Всеки от тях работи по малко по-различен начин, но всички се различават от огледалното отразяване на портове и задълбочената проверка на пакети, тъй като не улавят съдържанието на всеки пакет, преминаващ през порт или през комутатор. Мониторингът на потока обаче предоставя повече информация от SNMP, който обикновено е ограничен до широка статистика, като общото използване на пакети и честотна лента.
Сравнение на инструментите за мрежов поток
| Функция | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Отворено или собствено | Патентовано | Патентовано | Отворено | Отворено |
| Пробвано или базирано на поток | Основно базиран на потока; наличен е режим на семплиране | Основно базиран на потока; наличен е режим на семплиране | Семплирано | Основно базиран на потока; наличен е режим на семплиране |
| Заснета информация | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейси и т.н. | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейси и т.н. | Пълни заглавки на пакети, частични полезни товари на пакети | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейси и т.н. |
| Мониторинг на вход/изход | Само вход | Вход и изход | Вход и изход | Вход и изход |
| Поддръжка на IPv6/VLAN/MPLS | No | Да | Да | Да |
Време на публикуване: 18 март 2024 г.
