Netflow и IPFIX са както технологии, използвани за наблюдение и анализ на мрежовия поток. Те предоставят представа за моделите на мрежовия трафик, подпомагайки оптимизацията на производителността, отстраняването на неизправности и анализа на сигурността.
Netflow:
Какво е Netflow?
Netflowе оригиналното решение за наблюдение на потока, първоначално разработено от Cisco в края на 90 -те години. Съществуват няколко различни версии, но повечето разгръщания се основават или на NetFlow V5 или NetFlow V9. Въпреки че всяка версия има различни възможности, основната операция остава същата:
Първо, рутер, превключвател, защитна стена или друг тип устройство ще заснеме информация в мрежата „потоци“ - основно набор от пакети, които споделят общ набор от характеристики като адрес на източник и дестинация, източник и дестинация и тип протокол. След като потокът е в сън или е преминал предварително определен период от време, устройството ще експортира записите на потока в образувание, известно като „колектор на потока“.
И накрая, „анализатор на потока“ има смисъл от тези записи, предоставяйки представа под формата на визуализации, статистика и подробно историческо и отчитане в реално време. На практика колекционерите и анализаторите често са едно цяло, често се комбинират в по -голямо решение за мониторинг на ефективността на мрежата.
Netflow работи на държавна основа. Когато клиентската машина достигне до сървър, NetFlow ще започне да улавя и агрегира метаданни от потока. След прекратяването на сесията Netflow ще експортира един пълен запис в колектора.
Въпреки че все още се използва често, Netflow V5 има редица ограничения. Изнасяните полета са фиксирани, мониторингът се поддържа само в посока на влизане, а съвременните технологии като IPv6, MPLS и VXLAN не се поддържат. Netflow V9, също маркиран като гъвкав Netflow (FNF), адресира някои от тези ограничения, позволявайки на потребителите да изграждат персонализирани шаблони и да добавят поддръжка за по -нови технологии.
Много доставчици също имат свои собствени реализации на Netflow, като Jflow от Juniper и Netstream от Huawei. Въпреки че конфигурацията може да се различава донякъде, тези реализации често произвеждат записи на потока, които са съвместими с колекционерите и анализаторите на NetFlow.
Основни характеристики на NetFlow:
~ Данни за потока: Netflow генерира записи на потока, които включват подробности като IP адреси на източника и дестинацията, портове, времеви марки, брой пакети и байтове и типове протоколи.
~ Мониторинг на трафика: Netflow осигурява видимост в моделите на мрежовия трафик, което позволява на администраторите да идентифицират най -добрите приложения, крайни точки и източници на трафик.
~Откриване на аномалия: Чрез анализиране на данните за потока, NetFlow може да открие аномалии като прекомерно използване на честотната лента, претоварване на мрежата или необичайни модели на трафик.
~ Анализ на сигурността: Netflow може да се използва за откриване и разследване на инциденти със сигурността, като например атаки на разпределени откази за обслужване (DDOS) или неоторизирани опити за достъп.
Версии на Netflow: Netflow се развива с течение на времето и са пуснати различни версии. Някои забележителни версии включват NetFlow V5, Netflow V9 и гъвкав Netflow. Всяка версия въвежда подобрения и допълнителни възможности.
Ipfix:
Какво е IPFIX?
Стандартът на IETF, който се появи в началото на 2000 -те години, износът на информация за потока на протоколите на Интернет (IPFIX) е изключително подобен на NetFlow. Всъщност Netflow V9 служи като основа за IPFIX. Основната разлика между двете е, че IPFIX е отворен стандарт и се поддържа от много доставчици на мрежи, освен Cisco. С изключение на няколко допълнителни полета, добавени в IPFIX, формата иначе са почти идентични. Всъщност IPFIX понякога дори се нарича „Netflow V10“.
Отчасти поради приликите си с NetFlow, IPFIX се радва на широка поддръжка сред решения за мониторинг на мрежата, както и мрежово оборудване.
IPFIX (Информация за потока на протокол на Интернет) е отворен стандартен протокол, разработен от Интернет инженерната група (IETF). Той се основава на спецификацията на NetFlow версия 9 и предоставя стандартизиран формат за експортиране на записи на потока от мрежови устройства.
IPFIX се основава на концепциите за NetFlow и ги разширява, за да предлага по -голяма гъвкавост и оперативна съвместимост в различни доставчици и устройства. Той въвежда концепцията за шаблони, което позволява динамично дефиниране на структурата и съдържанието на записа на потока. Това дава възможност за включване на персонализирани полета, поддръжка за нови протоколи и разширяемост.
Основни характеристики на IPFIX:
~ Подход, базиран на шаблони: IPFIX използва шаблони, за да дефинира структурата и съдържанието на записите на потока, предлагайки гъвкавост при настаняване на различни полета за данни и специфична за протокола информация.
~ Оперативна съвместимост: IPFIX е отворен стандарт, осигурявайки постоянни възможности за наблюдение на потока в различни мрежови доставчици и устройства.
~ IPv6 поддръжка: IPFIX PREATILES IPv6, което го прави подходящ за наблюдение и анализ на трафика в IPv6 мрежи.
~Подобрена сигурност: IPFIX включва функции за сигурност, като проверка на сигурността на транспортния слой (TLS) и проверка на целостта на съобщенията, за да защити конфиденциалността и целостта на данните за потока по време на предаването.
IPFIX се поддържа широко от различни доставчици на мрежово оборудване, което го прави неутрален за доставчик и широко възприет избор за мониторинг на мрежовия поток.
И така, каква е разликата между Netflow и IPFIX?
Простият отговор е, че Netflow е собственик на Cisco протокол, въведен около 1996 г., а IPFIX е нейният одобрен от органа брат на стандартите.
И двата протоколи служат за една и съща цел: позволява на мрежовите инженери и администраторите да събират и анализират потоците на IP трафик на ниво мрежа. Cisco разработи NetFlow, така че неговите превключватели и рутери да могат да извеждат тази ценна информация. Като се има предвид доминирането на Cisco Gear, Netflow бързо се превърна в фактически стандарт за анализ на мрежовия трафик. Въпреки това, конкурентите в индустрията осъзнаха, че използването на патентован протокол, контролиран от главния му конкурент, не е добра идея и следователно IETF води усилия за стандартизиране на отворен протокол за анализ на трафика, който е IPFIX.
IPFIX се основава на Netflow версия 9 и първоначално е въведен около 2005 г., но отнема някои години, за да придобие приемане в индустрията. На този етап двата протокола са по същество еднакви и въпреки че терминът Netflow все още е по -разпространен повечето реализации (макар и не всички) са съвместими със стандарта IPFIX.
Ето таблица, обобщаваща разликите между NetFlow и IPFIX:
| Аспект | Netflow | Ipfix |
|---|---|---|
| Произход | Собствена технология, разработена от Cisco | Стандартен протокол на индустрията въз основа на NetFlow версия 9 |
| Стандартизация | Специфична за Cisco технология | Отворен стандарт, дефиниран от IETF в RFC 7011 |
| Гъвкавост | Еволюирали версии със специфични функции | По -голяма гъвкавост и оперативна съвместимост между доставчиците |
| Формат на данни | Пакети с фиксиран размер | Подход, базиран на шаблони за персонализирани формати за записи на потока |
| Поддръжка на шаблони | Не се поддържа | Динамични шаблони за гъвкаво включване на полето |
| Поддръжка на доставчика | Предимно Cisco устройства | Широка поддръжка в доставчиците на мрежи |
| Разширимост | Ограничена персонализиране | Включване на персонализирани полета и специфични за приложението данни |
| Разлики в протоколите | Специфични за Cisco вариации | Поддръжка на родния IPv6, подобрени опции за запис на потока |
| Функции за сигурност | Ограничени функции за сигурност | Крамиране на сигурността на транспортния слой (TLS), целостта на съобщението |
Мониторинг на мрежовия потоке събирането, анализът и мониторингът на трафика, преминаващ даден мрежов или мрежов сегмент. Целите могат да варират от проблеми с отстраняването на неизправности до планирането на бъдещо разпределение на честотната лента. Мониторинг на потока и вземане на проби от пакети дори могат да бъдат полезни при идентифицирането и отстраняването на проблеми със сигурността.
Мониторингът на потока дава на екипите на мрежата добра представа как работи мрежата, предоставяйки представа за цялостното използване, използването на приложения, потенциалните затруднения, аномалиите, които могат да сигнализират за заплахи за сигурността и други. Има няколко различни стандарта и формати, използвани в мониторинга на мрежовия поток, включително NetFlow, SFLOW и ИНФОРМАЦИЯ НА ИНФОРМАЦИЯ НА ПРОТОКОЛ НА ПРОТОКОЛ (IPFIX). Всеки работи по малко по -различен начин, но всички се различават от огледалото на пристанището и дълбоката проверка на пакетите, тъй като не улавят съдържанието на всеки пакет, преминаващ през порт или през превключвател. Въпреки това, мониторингът на потока предоставя повече информация от SNMP, което обикновено е ограничено до широка статистика като цялостната употреба на пакети и честотна лента.
Сравнени инструменти за мрежов поток
| Функция | Netflow V5 | Netflow V9 | Sflow | Ipfix |
| Отворен или собственик | Собственост | Собственост | Отворен | Отворен |
| Проба или базиран на потока | Предимно базиран на потока; Наличен е режим на вземане на проби | Предимно базиран на потока; Наличен е режим на вземане на проби | Проба | Предимно базиран на потока; Наличен е режим на вземане на проби |
| Информация заловена | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейс и т.н. | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейс и т.н. | Пълни заглавки на пакети, частични пакети полезни товари | Метаданни и статистическа информация, включително прехвърлени байтове, броячи на интерфейс и т.н. |
| Мониторинг на влизане/изход | Само вход | Вход и изход | Вход и изход | Вход и изход |
| Поддръжка на IPv6/VLAN/MPLS | No | Да | Да | Да |
Време за публикация: Mar-18-2024
