Netflow un IPFIX ir gan tehnoloģijas, ko izmanto tīkla plūsmas uzraudzībai, gan analīzei. Tie sniedz ieskatu tīkla trafika modeļos, palīdzības optimizēšanai, problēmu novēršanai un drošības analīzei.
Netflow:
Kas ir Netflow?
Tīkla plēveir sākotnējais plūsmas uzraudzības risinājums, kuru sākotnēji izstrādāja Cisco 1990. gadu beigās. Pastāv vairākas dažādas versijas, bet vairums izvietojumu ir balstīti uz NetFlow V5 vai NetFlow V9. Kaut arī katrai versijai ir atšķirīgas iespējas, pamatkonce paliek tā pati:
Pirmkārt, maršrutētājs, slēdzis, ugunsmūris vai cita veida ierīce tver informāciju tīklā “plūsmas” - būtībā pakešu komplektā, kam ir kopīgs raksturlielumu kopums, piemēram, avota un mērķa adrese, avota un mērķa ports, kā arī protokola tips. Pēc tam, kad plūsma ir bijusi pasīvāka vai ir pagājusi iepriekš noteikts laiks, ierīce eksportēs plūsmas ierakstus uz vienību, kas pazīstama kā “plūsmas kolekcionārs”.
Visbeidzot, “plūsmas analizatoram” ir izpratne par šiem ierakstiem, sniedzot ieskatu vizualizāciju, statistikas un detalizētu vēsturisko un reālā laika pārskatu veidā. Praksē kolekcionāri un analizatori bieži ir viena entītija, ko bieži apvieno lielākā tīkla veiktspējas uzraudzības risinājumā.
Netflow darbojas uz stāvokļa. Kad klienta mašīna nonāk pie servera, NetFlow sāks uztvert un apkopot metadatus no plūsmas. Pēc sesijas pārtraukšanas NetFlow eksportēs vienu pilnīgu rekordu uz kolekcionāru.
Lai arī to joprojām parasti izmanto, Netflow V5 ir vairāki ierobežojumi. Eksportētie lauki ir fiksēti, uzraudzība tiek atbalstīta tikai iekļūšanas virzienā, un mūsdienu tehnoloģijas, piemēram, IPv6, MPLS un VXLAN, netiek atbalstītas. Netflow V9, kas tiek dēvēts arī par elastīgu Netflow (FNF), pievēršas dažiem no šiem ierobežojumiem, ļaujot lietotājiem izveidot pielāgotas veidnes un pievienot atbalstu jaunākām tehnoloģijām.
Daudziem pārdevējiem ir arī sava patentētā NetFlow ieviešana, piemēram, JFLOW no kadiķu un Netstream no Huawei. Lai arī konfigurācija var nedaudz atšķirties, šīs ieviešanas bieži rada plūsmas ierakstus, kas ir saderīgi ar NetFlow kolekcionāriem un analizatoriem.
Netflow galvenās iezīmes:
~ Plūsmas dati: NetFlow ģenerē plūsmas ierakstus, kas ietver tādas informācijas, piemēram, avota un mērķa IP adreses, porti, laika zīmogi, pakešu un baitu skaits un protokola veidi.
~ Satiksmes uzraudzība: NetFlow nodrošina redzamību tīkla trafika modeļos, ļaujot administratoriem noteikt labākās lietojumprogrammas, parametrus un trafika avotus.
~Anomālijas noteikšana: Analizējot plūsmas datus, NetFlow var noteikt anomālijas, piemēram, pārmērīgu joslas platuma izmantošanu, tīkla sastrēgumus vai neparastus trafika modeļus.
~ Drošības analīze: NetFlow var izmantot, lai noteiktu un izpētītu drošības incidentus, piemēram, izplatītus pakalpojumu atteikuma (DDOS) uzbrukumus vai neatļautu piekļuves mēģinājumus.
Netflow versijas: Netflow laika gaitā ir attīstījies, un ir izlaistas dažādas versijas. Dažās ievērojamās versijās ietilpst NetFlow V5, NetFlow V9 un elastīga NetFlow. Katra versija ievieš uzlabojumus un papildu iespējas.
IPFIX:
Kas ir ipfix?
IETF standarts, kas parādījās 2000. gadu sākumā, interneta protokola plūsmas informācijas eksports (IPFIX) ir ārkārtīgi līdzīgs NetFlow. Faktiski Netflow V9 kalpoja par pamatu IPFIX. Galvenā atšķirība starp abiem ir tā, ka IPFIX ir atvērts standarts, un to atbalsta daudzi tīkla pārdevēji, izņemot Cisco. Izņemot dažus papildu laukus, kas pievienoti IPFIX, formāti citādi ir gandrīz identiski. Faktiski IPFIX dažreiz pat tiek saukts par “NetFlow V10”.
Daļēji pateicoties līdzībai ar NetFlow, IPFIX bauda plašu atbalstu tīkla uzraudzības risinājumu, kā arī tīkla aprīkojuma starpā.
IPFIX (Interneta protokola plūsmas informācijas eksports) ir atvērts standarta protokols, ko izstrādājusi interneta inženierzinātņu darba grupa (IETF). Tas ir balstīts uz NetFlow 9. versijas specifikāciju un nodrošina standartizētu formātu plūsmas ierakstu eksportēšanai no tīkla ierīcēm.
IPFIX balstās uz NetFlow jēdzieniem un paplašina tos, lai piedāvātu lielāku elastību un savietojamību dažādiem pārdevējiem un ierīcēm. Tas ievieš veidņu jēdzienu, ļaujot dinamiski definēt plūsmas ierakstu struktūru un saturu. Tas ļauj iekļaut pielāgotos laukus, atbalstīt jaunus protokolus un paplašināt.
IPFIX galvenās funkcijas:
~ Uz veidni balstīta pieeja: IPFIX izmanto veidnes, lai definētu plūsmas ierakstu struktūru un saturu, piedāvājot elastību dažādu datu lauku un protokola specifiskās informācijas pielāgošanai.
~ Savietojamība: IPFIX ir atvērts standarts, kas nodrošina konsekventas plūsmas uzraudzības iespējas dažādos tīkla pārdevēju un ierīču tīklā.
~ IPv6 atbalsts: IPFIX dabiski atbalsta IPv6, padarot to piemērotu trafika uzraudzībai un analīzei IPv6 tīklos.
~Uzlabota drošība: IPFIX ietver tādas drošības funkcijas kā transporta slāņa drošības (TLS) šifrēšana un ziņojumu integritātes pārbaudes, lai aizsargātu plūsmas datu konfidencialitāti un integritāti pārraides laikā.
IPFIX plaši atbalsta dažādi tīkla aprīkojuma pārdevēji, padarot to par pārdevēju neitrālu un plaši pieņemtu izvēli tīkla plūsmas uzraudzībai.
Tātad, kāda ir atšķirība starp NetFlow un IPFIX?
Vienkārša atbilde ir tāda, ka Netflow ir Cisco patentēts protokols, kas ieviests ap 1996. gadu, un IPFIX ir tā standarta ķermeņa apstiprinātais brālis.
Abi protokoli kalpo vienam un tam pašam mērķim: ļauj tīkla inženieriem un administratoriem savākt un analizēt tīkla līmeņa IP trafika plūsmas. Cisco izstrādāja NetFlow, lai tā slēdži un maršrutētāji varētu izvadīt šo vērtīgo informāciju. Ņemot vērā Cisco pārnesumu dominēšanu, NetFlow ātri kļuva par DEFACTO standartu tīkla trafika analīzei. Tomēr nozares konkurenti saprata, ka patentēta protokola izmantošana, ko kontrolē tā galvenā sāncense, nav laba ideja, un līdz ar to IETF lika censties standartizēt atvērto trafika analīzes protokolu, kas ir IPFIX.
IPFIX ir balstīta uz NetFlow versiju 9 un sākotnēji tika ieviesta ap 2005. gadu, bet nozares pieņemšanas iegūšanai vajadzēja nedaudzus gadus. Šajā brīdī abi protokoli būtībā ir vienādi, un, lai arī termins Netflow joprojām ir izplatītāks, vairums ieviešanu (lai arī ne visi) ir savietojami ar IPFIX standartu.
Šeit ir tabula, kurā apkopota atšķirības starp NetFlow un IPFIX:
| Aspekts | Tīkla plēve | Ipfix |
|---|---|---|
| Izcelsme | Patentēta tehnoloģija, ko izstrādājusi Cisco | Nozares standarta protokols, pamatojoties uz NetFlow versiju 9. |
| Standartizācija | Cisco specifiskā tehnoloģija | Atvērts standarts, ko IETF definēja RFC 7011 |
| Elastība | Attīstītas versijas ar īpašām funkcijām | Lielāka elastība un savietojamība starp pārdevējiem |
| Datu formāts | Fiksēta izmēra paketes | Uz veidni balstīta pieeja pielāgojamiem plūsmas ierakstu formātiem |
| Veidnes atbalsts | Nav atbalstīts | Dinamiskas veidnes elastīgai lauka iekļaušanai |
| Pārdevēja atbalsts | Galvenokārt Cisco ierīces | Plašs atbalsts starp tīkla pārdevējiem |
| Paplašināmība | Ierobežota pielāgošana | Pielāgotu lauku iekļaušana un specifiski lietojumprogrammai |
| Protokola atšķirības | Cisco specifiskās variācijas | Vietējais IPv6 atbalsts, uzlabotas plūsmas ierakstu opcijas |
| Drošības funkcijas | Ierobežotas drošības funkcijas | Transporta slāņa drošības (TLS) šifrēšana, ziņojumu integritāte |
Tīkla plūsmas uzraudzībair trafika savākšana, analīze un uzraudzība, kas šķērso doto tīkla vai tīkla segmentu. Mērķi var atšķirties no savienojamības problēmu novēršanas problēmu līdz plānošanai nākotnes joslas platuma sadalījumam. Plūsmas uzraudzība un pakešu paraugu ņemšana var būt pat noderīga drošības problēmu identificēšanai un novēršanai.
Plūsmas uzraudzība sniedz tīkla komandām labu priekšstatu par tīkla darbību, sniedzot ieskatu vispārējā izmantošanas, lietojumprogrammu izmantošanas, iespējamo sašaurinājumu, anomāliju, kas var liecināt par drošības draudiem, un daudz ko citu. Tīkla plūsmas uzraudzībā tiek izmantoti vairāki dažādi standarti un formāti, ieskaitot NetFlow, SFLOW un interneta protokola plūsmas informācijas eksportu (IPFIX). Katrs darbojas nedaudz savādāk, bet visi ir atšķirīgi no porta spoguļa un dziļas pakešu pārbaudes, jo tie neaptver katras paketes saturu, kas iet virs porta vai caur slēdzi. Tomēr plūsmas uzraudzība sniedz vairāk informācijas nekā SNMP, kas parasti aprobežojas ar plašu statistiku, piemēram, kopējo pakešu un joslas platuma izmantošanu.
Tīkla plūsmas rīki salīdzināti
| Iezīmēt | Netflow V5 | Netflow V9 | sena | Ipfix |
| Atvērts vai patentēts | Patentēts | Patentēts | Atvērt | Atvērt |
| Uz paraugu vai plūsmu balstīta uz plūsmu | Galvenokārt balstīta uz plūsmu; Paraugu režīms ir pieejams | Galvenokārt balstīta uz plūsmu; Paraugu režīms ir pieejams | Paraugs | Galvenokārt balstīta uz plūsmu; Paraugu režīms ir pieejams |
| Satverta informācija | Metadati un statistiskā informācija, ieskaitot pārsūtītos baitus, interfeisa skaitītājus un tā tālāk | Metadati un statistiskā informācija, ieskaitot pārsūtītos baitus, interfeisa skaitītājus un tā tālāk | Pilnīgas pakešu galvenes, daļēja pakešu kravas | Metadati un statistiskā informācija, ieskaitot pārsūtītos baitus, interfeisa skaitītājus un tā tālāk |
| Iekļūšana/izejas uzraudzība | Tikai iekļūšana | Iekļūšana un izeja | Iekļūšana un izeja | Iekļūšana un izeja |
| IPv6/VLAN/MPLS atbalsts | No | Jā | Jā | Jā |
Pasta laiks: 18.-1824. Marts
