NetFlow и IPFIX се технологии што се користат за следење и анализа на мрежниот проток. Тие даваат увид во шемите на мрежниот сообраќај, помагајќи во оптимизација на перформансите, решавање проблеми и анализа на безбедноста.
NetFlow:
Што е NetFlow?
NetFlowе оригиналното решение за следење на проток, првично развиено од Cisco кон крајот на 1990-тите. Постојат неколку различни верзии, но повеќето распоредувања се базираат на NetFlow v5 или NetFlow v9. Иако секоја верзија има различни можности, основното работење останува исто:
Прво, рутер, прекинувач, заштитен ѕид или друг тип на уред ќе ги собере информациите за мрежните „протоци“ - во основа збир на пакети што делат заеднички сет на карактеристики како што се изворна и одредишна адреса, изворна и одредишна порта и тип на протокол. Откако протокот ќе стане неактивен или ќе помине предефинирано време, уредот ќе ги извезе записите за протокот до ентитет познат како „колектор на проток“.
Конечно, „анализаторот на проток“ ги објаснува тие записи, обезбедувајќи увид во форма на визуелизации, статистика и детално историско известување и известување во реално време. Во пракса, собирачите и анализаторите често се еден ентитет, честопати комбинирани во поголемо решение за следење на перформансите на мрежата.
NetFlow работи на база на состојба. Кога клиентската машина ќе се поврзе со сервер, NetFlow ќе започне со снимање и агрегирање на метаподатоци од протокот. Откако ќе заврши сесијата, NetFlow ќе извезе еден комплетен запис до колекторот.
Иако сè уште е често користен, NetFlow v5 има голем број ограничувања. Извезените полиња се фиксни, мониторингот е поддржан само во насока на влез, а модерните технологии како IPv6, MPLS и VXLAN не се поддржани. NetFlow v9, исто така означен како Flexible NetFlow (FNF), ги адресира некои од овие ограничувања, дозволувајќи им на корисниците да креираат прилагодени шаблони и додавајќи поддршка за понови технологии.
Многу добавувачи имаат и свои сопствени имплементации на NetFlow, како што се jFlow од Juniper и NetStream од Huawei. Иако конфигурацијата може малку да се разликува, овие имплементации често создаваат записи за проток што се компатибилни со колекторите и анализаторите на NetFlow.
Клучни карактеристики на NetFlow:
~ Податоци за протокNetFlow генерира записи за проток што вклучуваат детали како што се изворни и одредишни IP адреси, порти, временски ознаки, број на пакети и бајти и типови на протоколи.
~ Мониторинг на сообраќајотNetFlow овозможува увид во шемите на мрежниот сообраќај, дозволувајќи им на администраторите да ги идентификуваат главните апликации, крајните точки и изворите на сообраќај.
~Детекција на аномалииСо анализа на податоците за проток, NetFlow може да открие аномалии како што се прекумерна употреба на пропусен опсег, застој на мрежата или невообичаени шеми на сообраќај.
~ Анализа на безбедностаNetFlow може да се користи за откривање и истражување на безбедносни инциденти, како што се дистрибуирани напади со одбивање на услуга (DDoS) или неовластени обиди за пристап.
Верзии на NetFlowNetFlow еволуираше со текот на времето и беа објавени различни верзии. Некои значајни верзии вклучуваат NetFlow v5, NetFlow v9 и Flexible NetFlow. Секоја верзија воведува подобрувања и дополнителни можности.
IPFIX:
Што е IPFIX?
IETF стандард кој се појави во раните 2000-ти, Internet Protocol Flow Information Export (IPFIX) е исклучително сличен на NetFlow. Всушност, NetFlow v9 служеше како основа за IPFIX. Примарната разлика помеѓу двата е што IPFIX е отворен стандард и е поддржан од многу добавувачи на мрежи освен Cisco. Со исклучок на неколку дополнителни полиња додадени во IPFIX, форматите се инаку речиси идентични. Всушност, IPFIX понекогаш дури се нарекува и „NetFlow v10“.
Делумно поради сличностите со NetFlow, IPFIX ужива широка поддршка меѓу решенијата за мрежен мониторинг, како и кај мрежната опрема.
IPFIX (Извоз на информации за проток на интернет протокол) е протокол со отворен стандард развиен од страна на работната група за интернет инженерство (IETF). Тој е базиран на спецификацијата NetFlow верзија 9 и обезбедува стандардизиран формат за извоз на записи за проток од мрежни уреди.
IPFIX се темели на концептите на NetFlow и ги проширува за да понуди поголема флексибилност и интероперабилност помеѓу различни добавувачи и уреди. Го воведува концептот на шаблони, овозможувајќи динамичко дефинирање на структурата и содржината на записите за проток. Ова овозможува вклучување на прилагодени полиња, поддршка за нови протоколи и проширливост.
Клучни карактеристики на IPFIX:
~ Пристап базиран на шаблониIPFIX користи шаблони за да ја дефинира структурата и содржината на записите за проток, нудејќи флексибилност во прилагодувањето на различни полиња за податоци и информации специфични за протоколот.
~ ИнтероперабилностIPFIX е отворен стандард, кој обезбедува конзистентни можности за следење на протокот кај различни мрежни добавувачи и уреди.
~ Поддршка за IPv6IPFIX нативно поддржува IPv6, што го прави погоден за следење и анализа на сообраќајот во IPv6 мрежи.
~Подобрена безбедностIPFIX вклучува безбедносни карактеристики како што се енкрипција на Transport Layer Security (TLS) и проверки на интегритетот на пораките за да се заштити доверливоста и интегритетот на податоците за проток за време на преносот.
IPFIX е широко поддржан од разни добавувачи на мрежна опрема, што го прави неутрален во однос на добавувачите и широко прифатен избор за следење на мрежниот проток.
Значи, која е разликата помеѓу NetFlow и IPFIX?
Едноставниот одговор е дека NetFlow е сопственички протокол на Cisco воведен околу 1996 година, а IPFIX е неговиот брат одобрен од страна на стандардизираното тело.
И двата протоколи служат за истата цел: овозможување на мрежните инженери и администратори да собираат и анализираат проток на сообраќај на IP ниво на мрежа. Cisco го разви NetFlow за неговите прекинувачи и рутери да можат да ги испорачуваат овие вредни информации. Со оглед на доминацијата на опремата на Cisco, NetFlow брзо стана де факто стандард за анализа на мрежниот сообраќај. Сепак, конкурентите во индустријата сфатија дека користењето на сопствен протокол контролиран од неговиот главен конкурент не е добра идеја и затоа IETF предводеше напори за стандардизирање на отворен протокол за анализа на сообраќајот, што е IPFIX.
IPFIX е базиран на NetFlow верзија 9 и првично беше воведен околу 2005 година, но беа потребни неколку години за да биде усвоен во индустријата. Во овој момент, двата протоколи се во суштина исти и иако терминот NetFlow е сè уште позастапен, повеќето имплементации (иако не сите) се компатибилни со стандардот IPFIX.
Еве табела што ги сумира разликите помеѓу NetFlow и IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Потекло | Сопствена технологија развиена од Cisco | Стандарден индустриски протокол базиран на NetFlow верзија 9 |
| Стандардизација | Технологија специфична за Cisco | Отворен стандард дефиниран од IETF во RFC 7011 |
| Флексибилност | Еволуирани верзии со специфични карактеристики | Поголема флексибилност и интероперабилност меѓу добавувачите |
| Формат на податоци | Пакети со фиксна големина | Пристап базиран на шаблони за прилагодливи формати на записи на проток |
| Поддршка за шаблони | Не е поддржано | Динамички шаблони за флексибилно вклучување на полето |
| Поддршка од продавачи | Првенствено Cisco уреди | Широка поддршка од сите добавувачи на мрежи |
| Проширливост | Ограничено прилагодување | Вклучување на прилагодени полиња и податоци специфични за апликацијата |
| Разлики во протоколот | Варијации специфични за Cisco | Матична поддршка за IPv6, подобрени опции за евиденција на проток |
| Безбедносни карактеристики | Ограничени безбедносни карактеристики | Шифрирање на безбедноста на транспортниот слој (TLS), интегритет на пораката |
Мониторинг на мрежниот протоке собирање, анализа и следење на сообраќајот што минува низ дадена мрежа или мрежен сегмент. Целите може да варираат од решавање проблеми со поврзувањето до планирање на идната распределба на пропусниот опсег. Следењето на протокот и земањето примероци од пакети можат да бидат корисни дури и за идентификување и санирање на безбедносните проблеми.
Мониторингот на протокот им дава на мрежните тимови добра претстава за тоа како функционира мрежата, обезбедувајќи увид во целокупното искористување, употребата на апликациите, потенцијалните тесни грла, аномалиите што можат да сигнализираат за безбедносни закани и друго. Постојат неколку различни стандарди и формати што се користат во мониторингот на мрежниот проток, вклучувајќи NetFlow, sFlow и Internet Protocol Flow Information Export (IPFIX). Секој работи на малку поинаков начин, но сите се разликуваат од пресликувањето на порти и длабинската инспекција на пакети по тоа што не ја доловуваат содржината на секој пакет што поминува преку порт или низ прекинувач. Сепак, мониторингот на протокот обезбедува повеќе информации од SNMP, кој генерално е ограничен на широка статистика како што е целокупното користење на пакети и пропусен опсег.
Споредба на алатки за мрежен проток
| Карактеристика | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Отворено или сопственичко | Сопственички | Сопственички | Отвори | Отвори |
| Семплирано или базирано на проток | Првенствено базиран на проток; достапен е режим на семплирање | Првенствено базиран на проток; достапен е режим на семплирање | Семплирано | Првенствено базиран на проток; достапен е режим на семплирање |
| Зафатени информации | Метаподатоци и статистички информации, вклучувајќи пренесени бајти, бројачи на интерфејси и така натаму | Метаподатоци и статистички информации, вклучувајќи пренесени бајти, бројачи на интерфејси и така натаму | Целосни заглавија на пакети, делумни носивост на пакети | Метаподатоци и статистички информации, вклучувајќи пренесени бајти, бројачи на интерфејси и така натаму |
| Мониторинг на влез/излез | Само влез | Влез и излез | Влез и излез | Влез и излез |
| Поддршка за IPv6/VLAN/MPLS | No | Да | Да | Да |
Време на објавување: 18 март 2024 година
