Kāda ir atšķirība starp NetFlow un IPFIX tīkla plūsmas uzraudzībai?

NetFlow un IPFIX ir tehnoloģijas, ko izmanto tīkla plūsmas uzraudzībai un analīzei. Tie sniedz ieskatu tīkla trafika modeļos, palīdzot veiktspējas optimizēšanā, problēmu novēršanā un drošības analīzē.

NetFlow:

Kas ir NetFlow?

NetFlowir oriģinālais plūsmas uzraudzības risinājums, ko sākotnēji izstrādāja Cisco 1990. gadu beigās. Pastāv vairākas dažādas versijas, taču lielākā daļa izvietojumu ir balstīti uz NetFlow v5 vai NetFlow v9. Lai gan katrai versijai ir dažādas iespējas, pamatdarbība paliek nemainīga:

Pirmkārt, maršrutētājs, slēdzis, ugunsmūris vai cita veida ierīce uztvers informāciju par tīkla "plūsmām" — būtībā pakešu kopu, kurām ir kopīgs raksturlielumu kopums, piemēram, avota un mērķa adrese, avota un mērķa ports un protokols. veids. Kad plūsma ir neaktivizēta vai pagājis iepriekš noteikts laiks, ierīce eksportēs plūsmas ierakstus uz entītiju, kas pazīstama kā “plūsmas savācējs”.

Visbeidzot, "plūsmas analizators" sniedz jēgu šiem ierakstiem, sniedzot ieskatu vizualizāciju, statistikas un detalizētu vēsturisko un reāllaika pārskatu veidā. Praksē savācēji un analizatori bieži ir viena vienība, kas bieži tiek apvienota lielākā tīkla veiktspējas uzraudzības risinājumā.

NetFlow darbojas uz statusa pamata. Kad klienta iekārta sazinās ar serveri, NetFlow sāks tvert un apkopot plūsmas metadatus. Pēc sesijas pārtraukšanas NetFlow eksportēs vienu pilnīgu ierakstu uz savācēju.

Lai gan NetFlow v5 joprojām tiek plaši izmantots, tam ir vairāki ierobežojumi. Eksportētie lauki ir fiksēti, uzraudzība tiek atbalstīta tikai ieejas virzienā, un modernās tehnoloģijas, piemēram, IPv6, MPLS un VXLAN, netiek atbalstītas. NetFlow v9, kas apzīmēts arī kā Flexible NetFlow (FNF), novērš dažus no šiem ierobežojumiem, ļaujot lietotājiem izveidot pielāgotas veidnes un pievienojot atbalstu jaunākām tehnoloģijām.

Daudziem pārdevējiem ir arī savas patentētās NetFlow implementācijas, piemēram, jFlow no Juniper un NetStream no Huawei. Lai gan konfigurācija var nedaudz atšķirties, šīs ieviešanas bieži rada plūsmas ierakstus, kas ir saderīgi ar NetFlow kolektoriem un analizatoriem.

Galvenās NetFlow funkcijas:

~ Plūsmas dati: NetFlow ģenerē plūsmas ierakstus, kas ietver tādu informāciju kā avota un galamērķa IP adreses, porti, laikspiedoli, pakešu un baitu skaits un protokolu veidi.

~ Satiksmes uzraudzība: NetFlow nodrošina tīkla trafika modeļu redzamību, ļaujot administratoriem identificēt populārākās lietojumprogrammas, galapunktus un trafika avotus.

~Anomāliju noteikšana: Analizējot plūsmas datus, NetFlow var atklāt anomālijas, piemēram, pārmērīgu joslas platuma izmantošanu, tīkla pārslodzi vai neparastus trafika modeļus.

~ Drošības analīze: NetFlow var izmantot, lai atklātu un izmeklētu drošības incidentus, piemēram, izplatītus pakalpojumu atteikuma (DDoS) uzbrukumus vai nesankcionētas piekļuves mēģinājumus.

NetFlow versijas: NetFlow laika gaitā ir attīstījies, un ir izlaistas dažādas versijas. Dažas ievērojamas versijas ietver NetFlow v5, NetFlow v9 un Flexible NetFlow. Katra versija ievieš uzlabojumus un papildu iespējas.

IPFIX:

Kas ir IPFIX?

IETF standarts, kas parādījās 2000. gadu sākumā, interneta protokola plūsmas informācijas eksportēšana (IPFIX) ir ļoti līdzīgs NetFlow. Faktiski NetFlow v9 kalpoja par IPFIX pamatu. Galvenā atšķirība starp abiem ir tā, ka IPFIX ir atvērts standarts, un to atbalsta daudzi tīkla pārdevēji, izņemot Cisco. Izņemot dažus papildu laukus, kas pievienoti IPFIX, formāti citādi ir gandrīz identiski. Faktiski IPFIX dažreiz pat tiek saukts par “NetFlow v10”.

Daļēji tā līdzības ar NetFlow dēļ IPFIX bauda plašu atbalstu starp tīkla uzraudzības risinājumiem, kā arī tīkla aprīkojumu.

IPFIX (Internet Protocol Flow Information Export) ir atvērtā standarta protokols, ko izstrādājusi Internet Engineering Task Force (IETF). Tā ir balstīta uz NetFlow 9. versijas specifikāciju un nodrošina standartizētu formātu plūsmas ierakstu eksportēšanai no tīkla ierīcēm.

IPFIX balstās uz NetFlow koncepcijām un paplašina tās, lai piedāvātu lielāku elastību un savietojamību starp dažādiem piegādātājiem un ierīcēm. Tas ievieš veidņu jēdzienu, ļaujot dinamiski definēt plūsmas ieraksta struktūru un saturu. Tas nodrošina pielāgotu lauku iekļaušanu, jaunu protokolu atbalstu un paplašināmību.

Galvenās IPFIX iezīmes:

~ Uz veidnēm balstīta pieeja: IPFIX izmanto veidnes, lai definētu plūsmas ierakstu struktūru un saturu, piedāvājot elastību, pielāgojot dažādus datu laukus un protokolam specifisku informāciju.

~ Sadarbspēja: IPFIX ir atvērts standarts, kas nodrošina konsekventas plūsmas uzraudzības iespējas dažādiem tīkla pārdevējiem un ierīcēm.

~ IPv6 atbalsts: IPFIX sākotnēji atbalsta IPv6, padarot to piemērotu trafika uzraudzībai un analīzei IPv6 tīklos.

~Uzlabota drošība: IPFIX ietver drošības līdzekļus, piemēram, transporta slāņa drošības (TLS) šifrēšanu un ziņojumu integritātes pārbaudes, lai aizsargātu plūsmas datu konfidencialitāti un integritāti pārraides laikā.

IPFIX plaši atbalsta dažādi tīkla iekārtu pārdevēji, padarot to par pārdevējiem neitrālu un plaši pieņemtu izvēli tīkla plūsmas uzraudzībai.

 

Tātad, kāda ir atšķirība starp NetFlow un IPFIX?

Vienkāršā atbilde ir tāda, ka NetFlow ir Cisco patentēts protokols, kas ieviests ap 1996. gadu, un IPFIX ir tā standartu iestādes apstiprinātais brālis.

Abi protokoli kalpo vienam un tam pašam mērķim: ļauj tīkla inženieriem un administratoriem apkopot un analizēt tīkla līmeņa IP trafika plūsmas. Cisco izstrādāja NetFlow, lai tā slēdži un maršrutētāji varētu izvadīt šo vērtīgo informāciju. Ņemot vērā Cisco rīku dominējošo stāvokli, NetFlow ātri kļuva par tīkla trafika analīzes de facto standartu. Tomēr nozares konkurenti saprata, ka izmantot patentētu protokolu, ko kontrolē tās galvenais konkurents, nebija laba ideja, un tāpēc IETF vadīja centienus standartizēt atvērto protokolu satiksmes analīzei, kas ir IPFIX.

IPFIX ir balstīta uz NetFlow 9. versiju, un sākotnēji tika ieviesta ap 2005. gadu, taču pagāja daži gadi, līdz tas tika ieviests nozarē. Šobrīd abi protokoli būtībā ir vienādi, un, lai gan termins NetFlow joprojām ir izplatītāks, lielākā daļa ieviešanu (lai gan ne visas) ir saderīgas ar IPFIX standartu.

Šeit ir tabula, kurā apkopotas atšķirības starp NetFlow un IPFIX:

Aspekts NetFlow IPFIX
Izcelsme Patentēta tehnoloģija, ko izstrādājusi Cisco Nozares standarta protokols, kura pamatā ir NetFlow 9. versija
Standartizācija Cisco specifiska tehnoloģija Atvērts standarts, ko IETF definējis RFC 7011
Elastīgums Attīstītas versijas ar īpašām funkcijām Lielāka elastība un savietojamība starp piegādātājiem
Datu formāts Fiksēta izmēra paketes Uz veidnēm balstīta pieeja pielāgojamiem plūsmas ierakstu formātiem
Veidņu atbalsts Nav atbalstīts Dinamiskas veidnes elastīgai lauka iekļaušanai
Pārdevēja atbalsts Galvenokārt Cisco ierīces Plašs atbalsts starp tīkla pārdevējiem
Paplašināmība Ierobežota pielāgošana Pielāgotu lauku un lietojumprogrammas datu iekļaušana
Protokolu atšķirības Cisco specifiskas variācijas Vietējais IPv6 atbalsts, uzlabotas plūsmas ierakstīšanas iespējas
Drošības līdzekļi Ierobežoti drošības līdzekļi Transport Layer Security (TLS) šifrēšana, ziņojumu integritāte

Tīkla plūsmas uzraudzībair trafika vākšana, analīze un uzraudzība, kas šķērso noteiktu tīklu vai tīkla segmentu. Mērķi var atšķirties no savienojamības problēmu novēršanas līdz nākotnes joslas platuma piešķiršanas plānošanai. Plūsmas uzraudzība un pakešu paraugu ņemšana var būt pat noderīga drošības problēmu identificēšanā un novēršanā.

Plūsmas uzraudzība sniedz tīkla komandām labu priekšstatu par tīkla darbību, sniedzot ieskatu vispārējā lietošanā, lietojumprogrammu lietošanā, iespējamās vājās vietās, anomālijās, kas var liecināt par drošības apdraudējumiem, un daudz ko citu. Tīkla plūsmas uzraudzībā tiek izmantoti vairāki dažādi standarti un formāti, tostarp NetFlow, sFlow un interneta protokola plūsmas informācijas eksportēšana (IPFIX). Katrs no tiem darbojas nedaudz atšķirīgā veidā, taču tie visi atšķiras no porta spoguļošanas un dziļās pakešu pārbaudes, jo tie neuztver katras paketes saturu, kas iet caur portu vai slēdzi. Tomēr plūsmas uzraudzība sniedz vairāk informācijas nekā SNMP, kas parasti attiecas tikai uz plašu statistiku, piemēram, kopējo pakešu un joslas platuma izmantošanu.

Tīkla plūsmas rīku salīdzinājums

Funkcija NetFlow v5 NetFlow v9 s Plūsma IPFIX
Atvērts vai Patentēts Patentēts Patentēts Atvērt Atvērt
Paraugi vai plūsmas pamatā Pamatā galvenokārt uz plūsmu; Ir pieejams izlases režīms Pamatā galvenokārt uz plūsmu; Ir pieejams izlases režīms Izlasē Pamatā galvenokārt uz plūsmu; Ir pieejams izlases režīms
Informācija iegūta Metadati un statistikas informācija, tostarp pārsūtītie baiti, interfeisa skaitītāji un tā tālāk Metadati un statistikas informācija, tostarp pārsūtītie baiti, interfeisa skaitītāji un tā tālāk Pilnīgas pakešu galvenes, daļējas pakešu slodzes Metadati un statistikas informācija, tostarp pārsūtītie baiti, interfeisa skaitītāji un tā tālāk
Ieejas/izplūdes uzraudzība Tikai iekļūšana Ieeja un izeja Ieeja un izeja Ieeja un izeja
IPv6/VLAN/MPLS atbalsts No

Izlikšanas laiks: 18-2024. gada marts