Netflow и IPFIX се и технологии што се користат за следење и анализа на мрежниот проток. Тие обезбедуваат увид во мрежните модели на сообраќај, помагајќи во оптимизација на перформансите, смена на проблеми и безбедносна анализа.
Netflow:
Што е Netflow?
Netflowе оригиналното решение за набудување на протокот, првично развиено од Cisco кон крајот на 90 -тите години. Постојат неколку различни верзии, но повеќето распоредувања се засноваат на Netflow V5 или Netflow V9. Додека секоја верзија има различни можности, основната операција останува иста:
Прво, рутерот, прекинувачот, заштитниот ид или друг вид уред ќе снимаат информации на мрежата „текови“ - во основа збир на пакети кои споделуваат заеднички сет на карактеристики како што се изворот и адресата на дестинацијата, изворот и портата за дестинација и типот на протокол. Откако протокот помина заспана или помина претходно дефинирано време, уредот ќе ги извезува евиденциите на проток во ентитет познат како „колекционер на проток“.
Конечно, „анализатор на проток“ има смисла на тие записи, давајќи увид во форма на визуелизации, статистика и детално историско и известување во реално време. Во пракса, колекционерите и анализаторите честопати се еден ентитет, честопати комбиниран во поголемо решение за мониторинг на перформансите на мрежата.
NetFlow работи на државна основа. Кога клиентската машина ќе достигне до сервер, Netflow ќе започне со снимање и агрегирање на метаподатоци од протокот. Откако ќе се прекине сесијата, Netflow ќе извезува единствен комплетен рекорд во колекционерот.
Иако сè уште се користи, Netflow V5 има голем број ограничувања. Полињата извезени се фиксни, мониторингот е поддржан само во насока на влегување, а современите технологии како IPv6, MPLS и VXLAN не се поддржани. Netflow V9, исто така брендиран како флексибилен Netflow (FNF), се осврнува на некои од овие ограничувања, дозволувајќи им на корисниците да градат прилагодени шаблони и да додадат поддршка за понови технологии.
Многу продавачи исто така имаат свои комерцијални имплементации на NetFlow, како што се Jflow од Juniper и NetStream од Huawei. Иако конфигурацијата може да се разликува некаде, овие имплементации често произведуваат евиденција за проток кои се компатибилни со колекционерите на NetFlow и анализаторите.
Клучни карактеристики на Netflow:
~ Податоци за проток: NetFlow генерира евиденција за проток што вклучува детали како што се IP адреси на извори и дестинација, пристаништа, временски ознаки, броеви на пакети и бајти и типови на протокол.
~ Следење на сообраќајот: NetFlow обезбедува видливост во мрежните модели на сообраќај, дозволувајќи им на администраторите да ги идентификуваат врвните апликации, крајните точки и изворите на сообраќај.
~Откривање на аномалија: Со анализирање на податоците за проток, NetFlow може да открие аномалии, како што се прекумерно користење на ширина на опсег, мрежен метеж или необични модели на сообраќај.
~ Безбедносна анализа: NetFlow може да се користи за откривање и испитување на безбедносните инциденти, како што се напади на дистрибуирана негирање на услугата (DDOS) или неовластени обиди за пристап.
Верзии на NetFlow: Netflow еволуираше со текот на времето и беа објавени различни верзии. Некои значајни верзии вклучуваат Netflow V5, Netflow V9 и флексибилен NetFlow. Секоја верзија воведува додатоци и дополнителни можности.
Ipfix:
Што е IPFIX?
Стандард IETF што се појави во раните 2000 -ти, извозот на информации за проток на протокол (IPFIX) е исклучително сличен на NetFlow. Всушност, Netflow V9 служеше како основа за IPFIX. Примарната разлика помеѓу двете е во тоа што IPFIX е отворен стандард и е поддржана од многу продавачи на мрежно поврзување, освен Cisco. Со исклучок на неколку дополнителни полиња додадени во IPFIX, форматите се инаку скоро идентични. Всушност, IPFIX понекогаш се нарекува „Netflow v10“.
Делумно заради неговите сличности со NetFlow, IPFIX ужива широка поддршка меѓу решенијата за мониторинг на мрежата, како и мрежна опрема.
IPFIX (Извоз на проток на протокол за протокол) е отворен стандарден протокол развиен од Интернет -инженерската работна сила (IETF). Се заснова на спецификацијата на NetFlow верзија 9 и обезбедува стандардизиран формат за извоз на евиденција за проток од мрежни уреди.
IPFIX се базира на концептите на Netflow и ги проширува за да понудат поголема флексибилност и интероперабилност кај различни добавувачи и уреди. Го воведува концептот на шаблони, овозможувајќи динамична дефиниција на структурата и содржината на евиденцијата на протокот. Ова овозможува вклучување на сопствени полиња, поддршка за нови протоколи и проширување.
Клучни карактеристики на IPFIX:
~ Пристап заснован на образец: IPFIX користи шаблони за да ја дефинира структурата и содржината на евиденцијата на проток, нудејќи флексибилност во сместување на различни полиња со податоци и информации специфични за протоколот.
~ Интероперабилност: IPFIX е отворен стандард, обезбедувајќи конзистентни можности за набудување на протокот кај различни продавачи на мрежно поврзување и уреди.
~ IPv6 поддршка: IPFIX природно поддржува IPv6, што го прави погоден за следење и анализирање на сообраќајот во IPv6 мрежите.
~Подобрена безбедност: IPFIX вклучува безбедносни карактеристики, како што се проверки на безбедност на транспортниот слој (TLS) и проверки на интегритетот на пораките за да ја заштити доверливоста и интегритетот на податоците за проток за време на преносот.
IPFIX е широко поддржан од разни продавачи на опрема за мрежно поврзување, што го прави продавач-неутрален и широко усвоен избор за следење на мрежниот проток.
Која е разликата помеѓу NetFlow и IPFIX?
Едноставен одговор е дека NetFlow е комерцијален протокол на Cisco воведен околу 1996 година, а IPFIX е нејзин стандарди одобрено од телото на телото.
И двата протоколи служат иста цел: Овозможување на мрежни инженери и администратори да соберат и анализираат мрежно ниво на IP сообраќај. Cisco разви NetFlow, така што неговите прекинувачи и рутери можат да ги извлечат овие вредни информации. Со оглед на доминацијата на Cisco Gear, Netflow брзо стана де-факто стандард за мрежна анализа на сообраќајот. Како и да е, конкурентите во индустријата сфатија дека користењето на комерцијален протокол контролиран од неговиот главен ривал не е добра идеја и оттука IETF водеше обид да се стандардизира отворен протокол за анализа на сообраќајот, што е IPFIX.
IPFIX се заснова на NetFlow верзија 9 и првично беше воведен околу 2005 година, но траеше неколку години за да се добие усвојување во индустријата. Во овој момент, двата протоколи се во суштина исти и иако терминот NetFlow сè уште е позастапена повеќето имплементации (иако не сите) се компатибилни со стандардот IPFIX.
Еве табела што ги сумира разликите помеѓу NetFlow и IPFIX:
| Аспект | Netflow | Ipfix |
|---|---|---|
| Потекло | Сопствена технологија развиена од Cisco | Протокол-стандарден протокол заснован на NetFlow верзија 9 |
| Стандардизација | Технологија специфична за Cisco | Отворете го стандардот дефиниран од IETF во RFC 7011 |
| Флексибилност | Еволуирани верзии со специфични карактеристики | Поголема флексибилност и интероперабилност кај продавачите |
| Формат на податоци | Пакети со фиксна големина | Пристап заснован на образец за прилагодливи формати за евиденција на проток |
| Поддршка за образец | Не е поддржано | Динамички шаблони за флексибилно вклучување на полето |
| Поддршка на продавачот | Првенствено Cisco уреди | Широка поддршка кај продавачите на мрежно поврзување |
| Проширување | Ограничена прилагодување | Вклучување на прилагодени полиња и податоци специфични за апликацијата |
| Разлики во протоколот | Варијации специфични за Cisco | Мајчин поддршка за IPv6, Подобрени опции за снимање на проток |
| Безбедносни карактеристики | Ограничени безбедносни карактеристики | Безбедност на транспортниот слој (TLS) криптирање, интегритет на пораки |
Следење на мрежниот протоке собирање, анализа и следење на сообраќајот што минува низ дадена мрежа или мрежен сегмент. Целите може да се разликуваат од проблеми со решавање на проблеми со поврзување до планирање на идната распределба на опсегот. Следењето на протокот и земањето на пакетите може да бидат корисни за идентификување и санирање на безбедносните проблеми.
Следењето на протокот им дава на тимовите за мрежно поврзување добра идеја за тоа како работи мрежата, обезбедувајќи увид во целокупното користење, употреба на апликации, потенцијални тесници, аномалии што можат да сигнализираат закани за безбедност и многу повеќе. Постојат неколку различни стандарди и формати што се користат во следењето на мрежниот проток, вклучувајќи извоз на информации за проток на проток на Netflow, SFLOW и Интернет протокол (IPFIX). Секој работи на малку поинаков начин, но сите се разликуваат од порт -огледало и длабоко инспекција на пакетите со тоа што не ја доловуваат содржината на секој пакет што минува преку порта или преку прекинувач. Како и да е, следењето на протокот обезбедува повеќе информации од SNMP, што е генерално ограничено на широка статистика како што е целокупната употреба на пакет и ширина на опсег.
Споредени алатки за проток на мрежа
| Карактеристики | Netflow V5 | Netflow V9 | Sflow | Ipfix |
| Отворен или комерцијален | Сопственик | Сопственик | Отворено | Отворено |
| Примерок или базиран на проток | Првенствено базиран на проток; Сместен режим е достапен | Првенствено базиран на проток; Сместен режим е достапен | Земени мостри | Првенствено базиран на проток; Сместен режим е достапен |
| Заробени информации | Метаподатоци и статистички информации, вклучително и пренесени бајти, бројачи за интерфејс и така натаму | Метаподатоци и статистички информации, вклучително и пренесени бајти, бројачи за интерфејс и така натаму | Комплетни заглавија на пакетите, делумно оптоварување на пакетите | Метаподатоци и статистички информации, вклучително и пренесени бајти, бројачи за интерфејс и така натаму |
| Мониторинг на влегување/излез | Само влегува | Влегување и излез | Влегување и излез | Влегување и излез |
| Поддршка за IPv6/VLAN/MPLS | No | Да | Да | Да |
Време на пост: март-18-2024 година
