NetFlow и IPFIX са технологии, използвани за наблюдение и анализ на мрежовия поток. Те предоставят информация за моделите на мрежовия трафик, подпомагайки оптимизирането на производителността, отстраняването на неизправности и анализа на сигурността.
NetFlow:
Какво е NetFlow?
NetFlowе оригиналното решение за мониторинг на потока, първоначално разработено от Cisco в края на 90-те години. Съществуват няколко различни версии, но повечето внедрявания са базирани на NetFlow v5 или NetFlow v9. Въпреки че всяка версия има различни възможности, основната операция остава същата:
Първо, рутер, суич, защитна стена или друг тип устройство ще улавя информация за мрежовите „потоци“ – основно набор от пакети, които споделят общ набор от характеристики като адрес на източник и местоназначение, порт на източник и местоназначение и протокол тип. След като потокът е в латентно състояние или е изтекъл предварително определен период от време, устройството ще експортира записите на потока към обект, известен като „колектор на поток“.
И накрая, „анализатор на потока“ осмисля тези записи, предоставяйки прозрения под формата на визуализации, статистики и подробни исторически отчети и доклади в реално време. На практика колекторите и анализаторите често са едно цяло, често комбинирано в по-голямо решение за наблюдение на производителността на мрежата.
NetFlow работи на база състояние. Когато клиентска машина се свърже със сървър, NetFlow ще започне да улавя и агрегира метаданни от потока. След като сесията бъде прекратена, NetFlow ще експортира един пълен запис към колектора.
Въпреки че все още се използва често, NetFlow v5 има редица ограничения. Експортираните полета са фиксирани, мониторингът се поддържа само в посоката на входа и не се поддържат модерни технологии като IPv6, MPLS и VXLAN. NetFlow v9, също брандиран като гъвкав NetFlow (FNF), адресира някои от тези ограничения, позволявайки на потребителите да създават персонализирани шаблони и добавяне на поддръжка за по-нови технологии.
Много доставчици също имат свои собствени внедрявания на NetFlow, като jFlow от Juniper и NetStream от Huawei. Въпреки че конфигурацията може да се различава донякъде, тези реализации често създават записи на потока, които са съвместими с NetFlow колектори и анализатори.
Основни характеристики на NetFlow:
~ Данни за потока: NetFlow генерира записи на потока, които включват подробности като IP адреси на източника и местоназначението, портове, времеви клейма, брой пакети и байтове и типове протоколи.
~ Мониторинг на трафика: NetFlow осигурява видимост в моделите на мрежовия трафик, позволявайки на администраторите да идентифицират най-добрите приложения, крайни точки и източници на трафик.
~Откриване на аномалия: Чрез анализиране на данни за потока, NetFlow може да открие аномалии като прекомерно използване на честотната лента, претоварване на мрежата или необичайни модели на трафик.
~ Анализ на сигурността: NetFlow може да се използва за откриване и разследване на инциденти със сигурността, като разпределени атаки за отказ на услуга (DDoS) или опити за неоторизиран достъп.
Версии на NetFlow: NetFlow се разви с течение на времето и бяха пуснати различни версии. Някои забележителни версии включват NetFlow v5, NetFlow v9 и Flexible NetFlow. Всяка версия въвежда подобрения и допълнителни възможности.
IPFIX:
Какво е IPFIX?
IETF стандарт, който се появи в началото на 2000-те, Internet Protocol Flow Information Export (IPFIX) е изключително подобен на NetFlow. Всъщност NetFlow v9 послужи като основа за IPFIX. Основната разлика между двете е, че IPFIX е отворен стандарт и се поддържа от много доставчици на мрежи с изключение на Cisco. С изключение на няколко допълнителни полета, добавени в IPFIX, форматите са почти идентични. Всъщност IPFIX понякога дори се нарича „NetFlow v10“.
Отчасти поради приликите си с NetFlow, IPFIX се радва на широка подкрепа сред решенията за наблюдение на мрежата, както и мрежовото оборудване.
IPFIX (Internet Protocol Flow Information Export) е отворен стандартен протокол, разработен от Internet Engineering Task Force (IETF). Базиран е на спецификацията NetFlow версия 9 и предоставя стандартизиран формат за експортиране на записи на потока от мрежови устройства.
IPFIX се основава на концепциите на NetFlow и ги разширява, за да предложи повече гъвкавост и оперативна съвместимост между различни доставчици и устройства. Той въвежда концепцията за шаблони, позволявайки динамично дефиниране на структурата и съдържанието на записа на потока. Това позволява включването на персонализирани полета, поддръжка за нови протоколи и разширяемост.
Основни характеристики на IPFIX:
~ Подход, базиран на шаблони: IPFIX използва шаблони, за да дефинира структурата и съдържанието на записите на потока, като предлага гъвкавост при настаняване на различни полета с данни и информация, специфична за протокола.
~ Оперативна съвместимост: IPFIX е отворен стандарт, осигуряващ последователни възможности за наблюдение на потока при различни мрежови доставчици и устройства.
~ Поддръжка на IPv6: IPFIX първоначално поддържа IPv6, което го прави подходящ за наблюдение и анализ на трафик в IPv6 мрежи.
~Подобрена сигурност: IPFIX включва функции за сигурност като криптиране на транспортния слой (TLS) и проверки за целостта на съобщенията за защита на поверителността и целостта на данните за потока по време на предаване.
IPFIX се поддържа широко от различни доставчици на мрежово оборудване, което го прави неутрален по отношение на доставчика и широко възприет избор за наблюдение на мрежовия поток.
И така, каква е разликата между NetFlow и IPFIX?
Простият отговор е, че NetFlow е патентован протокол на Cisco, въведен около 1996 г., а IPFIX е негов брат, одобрен от стандартния орган.
И двата протокола служат за една и съща цел: позволяват на мрежовите инженери и администратори да събират и анализират потоците IP трафик на ниво мрежа. Cisco разработи NetFlow, така че неговите комутатори и рутери да могат да извеждат тази ценна информация. Като се има предвид доминирането на оборудването на Cisco, NetFlow бързо се превърна в де факто стандарт за анализ на мрежовия трафик. Въпреки това, конкурентите в индустрията разбраха, че използването на патентован протокол, контролиран от неговия главен съперник, не е добра идея и следователно IETF поведе усилия за стандартизиране на отворен протокол за анализ на трафика, който е IPFIX.
IPFIX е базиран на NetFlow версия 9 и първоначално беше въведен около 2005 г., но отне няколко години, за да бъде възприет в индустрията. На този етап двата протокола са по същество еднакви и въпреки че терминът NetFlow все още е по-разпространен, повечето реализации (макар и не всички) са съвместими със стандарта IPFIX.
Ето таблица, обобщаваща разликите между NetFlow и IPFIX:
Аспект | NetFlow | IPFIX |
---|---|---|
Произход | Патентована технология, разработена от Cisco | Стандартен за индустрията протокол, базиран на NetFlow версия 9 |
Стандартизация | Специфична за Cisco технология | Отворен стандарт, дефиниран от IETF в RFC 7011 |
Гъвкавост | Разширени версии със специфични функции | По-голяма гъвкавост и оперативна съвместимост между доставчиците |
Формат на данните | Пакети с фиксиран размер | Подход, базиран на шаблони, за персонализирани формати на запис на поток |
Поддръжка на шаблони | Не се поддържа | Динамични шаблони за гъвкаво включване на полета |
Поддръжка на доставчика | Основно устройства на Cisco | Широка поддръжка между мрежови доставчици |
Разширяемост | Ограничено персонализиране | Включване на персонализирани полета и данни, специфични за приложението |
Разлики в протокола | Специфични за Cisco вариации | Вградена IPv6 поддръжка, подобрени опции за запис на потока |
Функции за сигурност | Ограничени функции за сигурност | Шифриране на транспортния слой (TLS), цялост на съобщенията |
Мониторинг на мрежовия потоке събирането, анализирането и наблюдението на трафика, преминаващ през дадена мрежа или мрежов сегмент. Целите могат да варират от отстраняване на проблеми със свързаността до планиране на бъдещо разпределение на честотната лента. Наблюдението на потока и вземането на проби от пакети могат дори да бъдат полезни при идентифициране и отстраняване на проблеми със сигурността.
Мониторингът на потока дава на мрежовите екипи добра представа за това как работи мрежата, предоставяйки представа за цялостното използване, използване на приложения, потенциални тесни места, аномалии, които могат да сигнализират за заплахи за сигурността и др. Има няколко различни стандарта и формати, използвани в мониторинга на мрежовия поток, включително NetFlow, sFlow и експорт на информация за потока на интернет протокол (IPFIX). Всеки работи по малко по-различен начин, но всички се различават от дублирането на портове и дълбоката инспекция на пакети по това, че не улавят съдържанието на всеки пакет, преминаващ през порт или през комутатор. Мониторингът на потока обаче предоставя повече информация от SNMP, който обикновено е ограничен до широка статистика като цялостно използване на пакети и честотна лента.
Сравнение на инструментите за мрежов поток
Характеристика | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Отворено или собствено | Патентован | Патентован | Отворете | Отворете |
Извадка или на базата на поток | Основно базирани на потока; Наличен е режим на извадка | Основно базирани на потока; Наличен е режим на извадка | Взети проби | Основно базирани на потока; Наличен е режим на извадка |
Информацията е уловена | Метаданни и статистическа информация, включително прехвърлени байтове, интерфейсни броячи и т.н | Метаданни и статистическа информация, включително прехвърлени байтове, интерфейсни броячи и т.н | Пълни заглавки на пакети, частични полезни натоварвания на пакети | Метаданни и статистическа информация, включително прехвърлени байтове, интерфейсни броячи и т.н |
Мониторинг на вход/изход | Само вход | Влизане и излизане | Влизане и излизане | Влизане и излизане |
Поддръжка на IPv6/VLAN/MPLS | No | да | да | да |
Време на публикуване: 18 март 2024 г