NetFlow и IPFIX се двете технологии кои се користат за следење и анализа на мрежниот тек.Тие обезбедуваат увид во обрасците на мрежниот сообраќај, помагајќи во оптимизација на перформансите, решавање проблеми и безбедносна анализа.
NetFlow:
Што е NetFlow?
NetFlowе оригиналното решение за следење на протокот, првично развиено од Cisco кон крајот на 1990-тите.Постојат неколку различни верзии, но повеќето распоредувања се базирани на NetFlow v5 или NetFlow v9.Додека секоја верзија има различни способности, основната операција останува иста:
Прво, рутер, прекинувач, заштитен ѕид или друг тип на уред ќе фати информации за мрежните „протоци“ - во основа збир на пакети кои споделуваат заеднички сет на карактеристики како што се адресата на изворот и одредиштето, изворот и дестинацијата порта и протоколот. тип.Откако протокот ќе заспие или ќе помине претходно дефинирано време, уредот ќе ги извезе записите за проток на ентитет познат како „колектор на проток“.
Конечно, „анализаторот на проток“ има смисла за тие записи, обезбедувајќи увид во форма на визуелизации, статистики и детално историско известување и известување во реално време.Во пракса, колекторите и анализаторите често се единствен ентитет, често комбинирани во поголемо решение за следење на перформансите на мрежата.
NetFlow работи на државна основа.Кога клиентската машина ќе допре до серверот, NetFlow ќе започне со снимање и собирање метаподатоци од протокот.По завршувањето на сесијата, NetFlow ќе извезе единствен комплетен запис до колекторот.
Иако сè уште најчесто се користи, NetFlow v5 има голем број ограничувања.Извезените полиња се поправени, следењето е поддржано само во насока на влез, а современите технологии како IPv6, MPLS и VXLAN не се поддржани.NetFlow v9, исто така означен како Flexible NetFlow (FNF), се однесува на некои од овие ограничувања, дозволувајќи им на корисниците да градат сопствени шаблони и додавајќи поддршка за поновите технологии.
Многу продавачи имаат и свои сопственички имплементации на NetFlow, како што се jFlow од Juniper и NetStream од Huawei.Иако конфигурацијата може малку да се разликува, овие имплементации често произведуваат записи за проток кои се компатибилни со колекторите и анализаторите на NetFlow.
Главни карактеристики на NetFlow:
~ Податоци за проток: NetFlow генерира записи за проток кои вклучуваат детали како што се IP адреси на изворот и одредиштето, портите, временските ознаки, бројот на пакети и бајти и типови на протоколи.
~ Следење на сообраќајот: NetFlow обезбедува видливост на шемите на мрежниот сообраќај, дозволувајќи им на администраторите да ги идентификуваат врвните апликации, крајните точки и изворите на сообраќај.
~Откривање на аномалија: Со анализа на податоците за протокот, NetFlow може да открие аномалии како што се прекумерно искористување на пропусниот опсег, застојот на мрежата или невообичаени сообраќајни обрасци.
~ Безбедносна анализа: NetFlow може да се користи за откривање и истражување на безбедносни инциденти, како што се дистрибуирани напади за одбивање на услугата (DDoS) или обиди за неовластен пристап.
Верзии на NetFlow: NetFlow еволуираше со текот на времето и беа објавени различни верзии.Некои значајни верзии вклучуваат NetFlow v5, NetFlow v9 и Flexible NetFlow.Секоја верзија воведува подобрувања и дополнителни можности.
IPFIX:
Што е IPFIX?
Стандард на IETF што се појави во раните 2000-ти, извоз на информации за проток на Интернет протокол (IPFIX) е исклучително сличен на NetFlow.Всушност, NetFlow v9 служеше како основа за IPFIX.Примарната разлика помеѓу двете е тоа што IPFIX е отворен стандард и е поддржан од многу продавачи на мрежи, освен од Cisco.Со исклучок на неколку дополнителни полиња додадени во IPFIX, форматите се инаку речиси идентични.Всушност, IPFIX понекогаш се нарекува дури и „NetFlow v10“.
Делумно поради сличностите со NetFlow, IPFIX ужива широка поддршка меѓу решенијата за мрежен мониторинг, како и мрежната опрема.
IPFIX (Извоз на информации за проток на Интернет протокол) е отворен стандарден протокол развиен од Работната група за Интернет инженерство (IETF).Се заснова на спецификацијата NetFlow верзија 9 и обезбедува стандардизиран формат за извоз на записи за проток од мрежни уреди.
IPFIX се надоврзува на концептите на NetFlow и ги проширува за да понуди поголема флексибилност и интероперабилност кај различни продавачи и уреди.Тој го воведува концептот на шаблони, овозможувајќи динамично дефинирање на структурата и содржината на записот за проток.Ова овозможува вклучување на сопствени полиња, поддршка за нови протоколи и проширување.
Главни карактеристики на IPFIX:
~ Пристап заснован на шаблони: IPFIX користи шаблони за дефинирање на структурата и содржината на записите за проток, нудејќи флексибилност во сместувањето на различни полиња со податоци и информации специфични за протоколот.
~ Интероперабилност: IPFIX е отворен стандард, кој обезбедува конзистентни способности за следење на протокот на различни мрежни продавачи и уреди.
~ Поддршка за IPv6: IPFIX природно поддржува IPv6, што го прави погоден за следење и анализа на сообраќајот во мрежите IPv6.
~Засилена безбедност: IPFIX вклучува безбедносни карактеристики како што се шифрирање со безбедност на транспортниот слој (TLS) и проверки на интегритетот на пораките за заштита на доверливоста и интегритетот на протокот на податоци за време на преносот.
IPFIX е широко поддржан од различни продавачи на мрежна опрема, што го прави неутрален од продавачот и широко прифатен избор за следење на мрежниот тек.
Значи, која е разликата помеѓу NetFlow и IPFIX?
Едноставниот одговор е дека NetFlow е комерцијален протокол на Cisco воведен околу 1996 година и IPFIX е брат одобрен од неговото тело за стандарди.
Двата протоколи служат за истата цел: овозможување на мрежните инженери и администраторите да собираат и анализираат текови на IP сообраќај на ниво на мрежа.Cisco го разви NetFlow така што неговите прекинувачи и рутери може да ги емитуваат овие вредни информации.Со оглед на доминацијата на опремата на Cisco, NetFlow брзо стана де-факто стандард за анализа на мрежниот сообраќај.Сепак, конкурентите во индустријата сфатија дека користењето на комерцијален протокол контролиран од неговиот главен ривал не е добра идеја и оттука IETF водеше обид да се стандардизира отворен протокол за анализа на сообраќајот, што е IPFIX.
IPFIX е базиран на NetFlow верзија 9 и првично беше претставен околу 2005 година, но беа потребни неколку години за да се примени во индустријата.Во овој момент, двата протоколи се суштински исти и иако терминот NetFlow е сè уште поприсутен, повеќето имплементации (иако не сите) се компатибилни со стандардот IPFIX.
Еве табела што ги сумира разликите помеѓу NetFlow и IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Потекло | Комерцијална технологија развиена од Cisco | Индустриски стандарден протокол базиран на NetFlow верзија 9 |
| Стандардизација | Технологија специфична за Cisco | Отворен стандард дефиниран од IETF во RFC 7011 |
| Флексибилност | Еволуирани верзии со специфични карактеристики | Поголема флексибилност и интероперабилност меѓу продавачите |
| Формат на податоци | Пакети со фиксна големина | Пристап базиран на шаблони за приспособливи формати на записи за проток |
| Поддршка за шаблон | Не се поддржани | Динамични шаблони за флексибилно вклучување на полето |
| Поддршка на продавачот | Првенствено Cisco уреди | Широка поддршка меѓу продавачите на мрежи |
| Проширливост | Ограничено прилагодување | Вклучување на сопствени полиња и податоци специфични за апликацијата |
| Разлики во протоколот | Варијации специфични за Cisco | Поддршка за мајчин IPv6, подобрени опции за снимање на проток |
| Безбедносни карактеристики | Ограничени безбедносни карактеристики | Шифрирање на транспортниот слој за безбедност (TLS), интегритет на пораката |
Следење на мрежен теке собирање, анализа и следење на сообраќајот што минува на дадена мрежа или мрежен сегмент.Целите може да варираат од решавање проблеми со поврзувањето до планирање на идната распределба на пропусниот опсег.Следењето на протокот и земање примероци од пакети може да бидат корисни дури и за идентификување и отстранување на безбедносните проблеми.
Набљудувањето на протокот им дава на тимовите за вмрежување добра идеја за тоа како функционира мрежата, обезбедувајќи увид во целокупното користење, користењето на апликациите, потенцијалните тесни грла, аномалиите кои можат да сигнализираат за закани за безбедноста и многу повеќе.Постојат неколку различни стандарди и формати кои се користат во следењето на мрежниот тек, вклучувајќи NetFlow, sFlow и извоз на информации за проток на Интернет протокол (IPFIX).Секој работи на малку поинаков начин, но сите се разликуваат од пресликувањето на портите и длабоката инспекција на пакети со тоа што не ја доловуваат содржината на секој пакет што минува преку порта или преку прекинувач.Сепак, следењето на протокот обезбедува повеќе информации од SNMP, што генерално е ограничено на широки статистички податоци како што се целокупната употреба на пакети и пропусен опсег.
Споредени алатки за проток на мрежа
| Карактеристика | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Отворено или Комерцијално | Сопственост | Сопственост | Отвори | Отвори |
| Примерок или врз основа на проток | Примарно врз основа на проток;Режимот на примерок е достапен | Примарно врз основа на проток;Режимот на примерок е достапен | Земени примероци | Примарно врз основа на проток;Режимот на примерок е достапен |
| Информации заробени | Метаподатоци и статистички информации, вклучувајќи префрлени бајти, бројачи на интерфејси и така натаму | Метаподатоци и статистички информации, вклучувајќи префрлени бајти, бројачи на интерфејси и така натаму | Целосни заглавија на пакети, делумни товари на пакети | Метаподатоци и статистички информации, вклучувајќи префрлени бајти, бројачи на интерфејси и така натаму |
| Следење на влез/излез | Само навлегување | Влегување и излез | Влегување и излез | Влегување и излез |
| Поддршка за IPv6/VLAN/MPLS | No | Да | Да | Да |
Време на објавување: Мар-18-2024 година
