Gan NetFlow, gan IPFIX ir tehnoloģijas, ko izmanto tīkla plūsmas uzraudzībai un analīzei. Tās sniedz ieskatu tīkla datplūsmas modeļos, palīdzot optimizēt veiktspēju, novērst problēmas un analizēt drošību.
Tīkla plūsma:
Kas ir NetFlow?
NetFlowir oriģinālais plūsmas uzraudzības risinājums, ko sākotnēji izstrādāja Cisco 20. gs. deviņdesmito gadu beigās. Pastāv vairākas dažādas versijas, taču lielākā daļa izvietojumu ir balstīti uz NetFlow v5 vai NetFlow v9. Lai gan katrai versijai ir atšķirīgas iespējas, pamatdarbība paliek nemainīga:
Vispirms maršrutētājs, komutators, ugunsmūris vai cita veida ierīce uztvers informāciju par tīkla “plūsmām” — būtībā pakešu kopu, kam ir kopīgs raksturlielumu kopums, piemēram, avota un mērķa adrese, avota un mērķa ports, kā arī protokola tips. Pēc tam, kad plūsma ir kļuvusi neaktīva vai ir pagājis iepriekš noteikts laika periods, ierīce eksportēs plūsmas ierakstus uz vienību, kas pazīstama kā “plūsmas savācējs”.
Visbeidzot, “plūsmas analizators” izskaidro šos ierakstus, sniedzot ieskatu vizualizāciju, statistikas un detalizētu vēsturisku un reāllaika pārskatu veidā. Praksē kolektori un analizatori bieži vien ir viena vienība, kas bieži vien ir apvienota lielākā tīkla veiktspējas uzraudzības risinājumā.
NetFlow darbojas pēc stāvokļa principa. Kad klienta dators izveido savienojumu ar serveri, NetFlow sāks tvert un apkopot metadatus no plūsmas. Pēc sesijas pārtraukšanas NetFlow eksportēs vienu pilnīgu ierakstu uz kolektoru.
Lai gan NetFlow v5 joprojām tiek plaši izmantots, tam ir vairāki ierobežojumi. Eksportētie lauki ir fiksēti, uzraudzība tiek atbalstīta tikai ienākošā virzienā, un tādas modernas tehnoloģijas kā IPv6, MPLS un VXLAN netiek atbalstītas. NetFlow v9, kas pazīstama arī kā Flexible NetFlow (FNF), novērš dažus no šiem ierobežojumiem, ļaujot lietotājiem veidot pielāgotas veidnes un pievienojot atbalstu jaunākām tehnoloģijām.
Daudziem pārdevējiem ir arī savas patentētas NetFlow implementācijas, piemēram, Juniper jFlow un Huawei NetStream. Lai gan konfigurācija var nedaudz atšķirties, šīs implementācijas bieži vien ģenerē plūsmas ierakstus, kas ir saderīgi ar NetFlow kolektoriem un analizatoriem.
NetFlow galvenās iezīmes:
~ Plūsmas datiNetFlow ģenerē plūsmas ierakstus, kas ietver tādu informāciju kā avota un mērķa IP adreses, porti, laika zīmogi, pakešu un baitu skaits, kā arī protokolu veidi.
~ Satiksmes uzraudzībaNetFlow nodrošina tīkla datplūsmas modeļu pārskatāmību, ļaujot administratoriem identificēt galvenās lietojumprogrammas, galapunktus un datplūsmas avotus.
~Anomāliju noteikšanaAnalizējot plūsmas datus, NetFlow var atklāt tādas anomālijas kā pārmērīga joslas platuma izmantošana, tīkla pārslodze vai neparasti datplūsmas modeļi.
~ Drošības analīzeNetFlow var izmantot, lai atklātu un izmeklētu drošības incidentus, piemēram, izkliedētus pakalpojuma atteikuma (DDoS) uzbrukumus vai neatļautas piekļuves mēģinājumus.
NetFlow versijasNetFlow laika gaitā ir attīstījies, un ir izlaistas dažādas versijas. Dažas ievērojamas versijas ir NetFlow v5, NetFlow v9 un Flexible NetFlow. Katrā versijā ir ieviesti uzlabojumi un papildu iespējas.
IPFIX:
Kas ir IPFIX?
Interneta protokola plūsmas informācijas eksports (IPFIX), kas ir IETF standarts, kas parādījās 2000. gadu sākumā, ir ārkārtīgi līdzīgs NetFlow. Patiesībā NetFlow v9 kalpoja par IPFIX pamatu. Galvenā atšķirība starp abiem ir tā, ka IPFIX ir atvērts standarts, un to atbalsta daudzi tīkla pārdevēji, izņemot Cisco. Izņemot dažus papildu laukus, kas pievienoti IPFIX, formāti citādi ir gandrīz identiski. Patiesībā IPFIX dažreiz pat tiek dēvēts par “NetFlow v10”.
Daļēji pateicoties līdzībām ar NetFlow, IPFIX bauda plašu atbalstu gan tīkla uzraudzības risinājumos, gan tīkla iekārtās.
IPFIX (interneta protokola plūsmas informācijas eksports) ir atvērtā standarta protokols, ko izstrādājusi Interneta inženierijas uzdevumu grupa (IETF). Tas ir balstīts uz NetFlow 9. versijas specifikāciju un nodrošina standartizētu formātu plūsmas ierakstu eksportēšanai no tīkla ierīcēm.
IPFIX balstās uz NetFlow koncepcijām un paplašina tās, lai piedāvātu lielāku elastību un sadarbspēju starp dažādiem piegādātājiem un ierīcēm. Tas ievieš veidņu koncepciju, kas ļauj dinamiski definēt plūsmas ierakstu struktūru un saturu. Tas ļauj iekļaut pielāgotus laukus, atbalstīt jaunus protokolus un nodrošināt paplašināmību.
IPFIX galvenās iezīmes:
~ Uz veidnēm balstīta pieejaIPFIX izmanto veidnes, lai definētu plūsmas ierakstu struktūru un saturu, piedāvājot elastību dažādu datu lauku un protokolam specifiskas informācijas izvietošanā.
~ SadarbspējaIPFIX ir atvērts standarts, kas nodrošina konsekventas plūsmas uzraudzības iespējas dažādos tīkla piegādātājos un ierīcēs.
~ IPv6 atbalstsIPFIX sākotnēji atbalsta IPv6, padarot to piemērotu datplūsmas uzraudzībai un analīzei IPv6 tīklos.
~Uzlabota drošībaIPFIX ietver drošības līdzekļus, piemēram, transporta slāņa drošības (TLS) šifrēšanu un ziņojumu integritātes pārbaudes, lai aizsargātu plūsmas datu konfidencialitāti un integritāti pārraides laikā.
IPFIX plaši atbalsta dažādi tīkla iekārtu pārdevēji, padarot to par pārdevēja neitrālu un plaši pieņemtu izvēli tīkla plūsmas uzraudzībai.
Tātad, kāda ir atšķirība starp NetFlow un IPFIX?
Vienkārša atbilde ir tāda, ka NetFlow ir Cisco patentēts protokols, kas tika ieviests ap 1996. gadu, un IPFIX ir tā standartu institūcijas apstiprināts brālis.
Abiem protokoliem ir viens un tas pats mērķis: ļaut tīkla inženieriem un administratoriem apkopot un analizēt tīkla līmeņa IP datplūsmas. Cisco izstrādāja NetFlow, lai tā komutatori un maršrutētāji varētu izvadīt šo vērtīgo informāciju. Ņemot vērā Cisco aprīkojuma dominējošo stāvokli, NetFlow ātri kļuva par faktisko tīkla datplūsmas analīzes standartu. Tomēr nozares konkurenti saprata, ka patentēta protokola, ko kontrolē tā galvenais konkurents, izmantošana nav laba ideja, un tāpēc IETF vadīja centienus standartizēt atvērtu protokolu datplūsmas analīzei, kas ir IPFIX.
IPFIX pamatā ir NetFlow 9. versija, un sākotnēji tas tika ieviests ap 2005. gadu, taču bija nepieciešami vairāki gadi, lai tas iegūtu nozares atzinību. Šobrīd abi protokoli būtībā ir vienādi, un, lai gan termins NetFlow joprojām ir izplatītāks, lielākā daļa ieviešanas gadījumu (lai gan ne visi) ir saderīgi ar IPFIX standartu.
Šeit ir tabula, kurā apkopotas atšķirības starp NetFlow un IPFIX:
| Aspekts | NetFlow | IPFIX |
|---|---|---|
| Izcelsme | Cisco izstrādāta patentēta tehnoloģija | Nozares standarta protokols, kura pamatā ir NetFlow 9. versija |
| Standartizācija | Cisco specifiska tehnoloģija | Atvērtais standarts, ko IETF definējusi RFC 7011 |
| Elastība | Attīstītas versijas ar īpašām funkcijām | Lielāka elastība un sadarbspēja starp piegādātājiem |
| Datu formāts | Fiksēta izmēra paketes | Uz veidnēm balstīta pieeja pielāgojamiem plūsmas ierakstu formātiem |
| Veidņu atbalsts | Nav atbalstīts | Dinamiskas veidnes elastīgai lauku iekļaušanai |
| Pārdevēju atbalsts | Galvenokārt Cisco ierīces | Plašs atbalsts dažādiem tīkla piegādātājiem |
| Paplašināmība | Ierobežota pielāgošana | Pielāgotu lauku un lietojumprogrammai specifisku datu iekļaušana |
| Protokola atšķirības | Cisco specifiskās variācijas | Dzimtais IPv6 atbalsts, uzlabotas plūsmas ierakstīšanas opcijas |
| Drošības funkcijas | Ierobežotas drošības funkcijas | Transporta slāņa drošības (TLS) šifrēšana, ziņojumu integritāte |
Tīkla plūsmas uzraudzībair datplūsmas, kas šķērso noteiktu tīklu vai tīkla segmentu, vākšana, analīze un uzraudzība. Mērķi var atšķirties no savienojamības problēmu novēršanas līdz turpmākās joslas platuma piešķiršanas plānošanai. Plūsmas uzraudzība un pakešu izlase var būt noderīga pat drošības problēmu identificēšanā un novēršanā.
Plūsmas uzraudzība sniedz tīkla komandām labu priekšstatu par tīkla darbību, sniedzot ieskatu kopējā noslodzē, lietojumprogrammu lietošanā, potenciālās vājajās vietās, anomālijās, kas var signalizēt par drošības apdraudējumiem, un citur. Tīkla plūsmas uzraudzībā tiek izmantoti vairāki dažādi standarti un formāti, tostarp NetFlow, sFlow un interneta protokola plūsmas informācijas eksports (IPFIX). Katrs no tiem darbojas nedaudz atšķirīgi, taču visi atšķiras no portu spoguļošanas un dziļās pakešu pārbaudes, jo tie neuztver katras paketes saturu, kas iet caur portu vai komutatoru. Tomēr plūsmas uzraudzība sniedz vairāk informācijas nekā SNMP, kas parasti aprobežojas ar plašu statistiku, piemēram, kopējo pakešu un joslas platuma izmantošanu.
Tīkla plūsmas rīku salīdzinājums
| Funkcija | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Atvērts vai patentēts | Patentēts | Patentēts | Atvērt | Atvērt |
| Paraugu vai plūsmas bāzes | Galvenokārt plūsmas pamatā; ir pieejams paraugu ņemšanas režīms | Galvenokārt plūsmas pamatā; ir pieejams paraugu ņemšanas režīms | Izlase | Galvenokārt plūsmas pamatā; ir pieejams paraugu ņemšanas režīms |
| Iegūtā informācija | Metadati un statistiskā informācija, tostarp pārsūtītie baiti, saskarnes skaitītāji utt. | Metadati un statistiskā informācija, tostarp pārsūtītie baiti, saskarnes skaitītāji utt. | Pilnīgas pakešu galvenes, daļējas pakešu lietderīgās slodzes | Metadati un statistiskā informācija, tostarp pārsūtītie baiti, saskarnes skaitītāji utt. |
| Ieejas/izejas uzraudzība | Tikai ieeja | Ieeja un izeja | Ieeja un izeja | Ieeja un izeja |
| IPv6/VLAN/MPLS atbalsts | No | Jā | Jā | Jā |
Publicēšanas laiks: 2024. gada 18. marts
