NetFlow і IPFIX — гэта тэхналогіі, якія выкарыстоўваюцца для маніторынгу і аналізу сеткавага патоку. Яны даюць уяўленне аб заканамернасцях сеткавага трафіку, дапамагаючы ў аптымізацыі прадукцыйнасці, ліквідацыі непаладак і аналізе бяспекі.
NetFlow:
Што такое NetFlow?
NetFlow— гэта арыгінальнае рашэнне для маніторынгу патокаў, першапачаткова распрацаванае Cisco ў канцы 1990-х гадоў. Існуе некалькі розных версій, але большасць разгортванняў заснаваныя на NetFlow v5 або NetFlow v9. Хоць кожная версія мае розныя магчымасці, асноўныя аперацыі застаюцца нязменнымі:
Спачатку маршрутызатар, камутатар, брандмаўэр або іншая прылада будзе фіксаваць інфармацыю аб сеткавых «патоках» — гэта ў асноўным набор пакетаў, якія маюць агульны набор характарыстык, такіх як адрас крыніцы і прызначэння, порт крыніцы і прызначэння, а таксама тып пратакола. Пасля таго, як паток пераходзіць у спячы рэжым або пасля заканчэння зададзенага часу прылада экспартуе запісы патокаў у аб'ект, вядомы як «калектар патокаў».
Нарэшце, «аналізатар патоку» надае сэнс гэтым запісам, прадастаўляючы інфармацыю ў выглядзе візуалізацыі, статыстыкі і падрабязных гістарычных справаздач у рэжыме рэальнага часу. На практыцы калектары і аналізатары часта ўяўляюць сабой адзінае цэлае, якое часта аб'ядноўваецца ў больш шырокае рашэнне для маніторынгу прадукцыйнасці сеткі.
NetFlow працуе на аснове адсочвання стану. Калі кліенцкая машына звязваецца з серверам, NetFlow пачынае захопліваць і агрэгаваць метададзеныя з патоку. Пасля завяршэння сеансу NetFlow экспартуе адзін поўны запіс у калектар.
Нягледзячы на тое, што NetFlow v5 усё яшчэ шырока выкарыстоўваецца, ён мае шэраг абмежаванняў. Экспартаваныя палі фіксаваныя, маніторынг падтрымліваецца толькі ў напрамку ўваходу, а сучасныя тэхналогіі, такія як IPv6, MPLS і VXLAN, не падтрымліваюцца. NetFlow v9, таксама вядомы як Flexible NetFlow (FNF), вырашае некаторыя з гэтых абмежаванняў, дазваляючы карыстальнікам ствараць уласныя шаблоны і дадаючы падтрымку для новых тэхналогій.
Многія пастаўшчыкі таксама маюць свае ўласныя рэалізацыі NetFlow, такія як jFlow ад Juniper і NetStream ад Huawei. Нягледзячы на тое, што канфігурацыя можа некалькі адрознівацца, гэтыя рэалізацыі часта ствараюць запісы патоку, сумяшчальныя з калектарамі і аналізатарамі NetFlow.
Асноўныя асаблівасці NetFlow:
~ Дадзеныя патокуNetFlow генеруе запісы патоку, якія ўключаюць такія звесткі, як IP-адрасы крыніцы і прызначэння, парты, часовыя меткі, колькасць пакетаў і байтаў, а таксама тыпы пратаколаў.
~ Маніторынг трафікуNetFlow забяспечвае бачнасць заканамернасцей сеткавага трафіку, дазваляючы адміністратарам вызначаць найбольш частыя праграмы, канчатковыя кропкі і крыніцы трафіку.
~Выяўленне анамалійАналізуючы дадзеныя патоку, NetFlow можа выяўляць такія анамаліі, як празмернае выкарыстанне прапускной здольнасці, перагрузка сеткі або незвычайныя мадэлі трафіку.
~ Аналіз бяспекіNetFlow можна выкарыстоўваць для выяўлення і расследавання інцыдэнтаў бяспекі, такіх як размеркаваныя атакі тыпу адмовы ў абслугоўванні (DDoS) або спробы несанкцыянаванага доступу.
Версіі NetFlowNetFlow з цягам часу развіваўся, і былі выпушчаныя розныя версіі. Сярод найбольш вядомых версій — NetFlow v5, NetFlow v9 і Flexible NetFlow. Кожная версія ўносіць паляпшэнні і дадатковыя магчымасці.
IPFIX:
Што такое IPFIX?
Стандарт IETF, які з'явіўся ў пачатку 2000-х гадоў, Internet Protocol Flow Information Export (IPFIX), надзвычай падобны на NetFlow. Фактычна, NetFlow v9 паслужыў асновай для IPFIX. Асноўнае адрозненне паміж імі заключаецца ў тым, што IPFIX з'яўляецца адкрытым стандартам і падтрымліваецца многімі пастаўшчыкамі сеткавага абсталявання, акрамя Cisco. За выключэннем некалькіх дадатковых палёў, дададзеных у IPFIX, фарматы ў астатнім амаль ідэнтычныя. Насамрэч, IPFIX часам нават называюць «NetFlow v10».
Часткова з-за падабенства з NetFlow, IPFIX карыстаецца шырокай падтрымкай сярод рашэнняў для маніторынгу сетак, а таксама сеткавага абсталявання.
IPFIX (экспарт інфармацыі аб патоку Інтэрнэт-пратаколу) — гэта адкрыты стандартны пратакол, распрацаваны Спецыяльнай групай па інжынерыі Інтэрнэту (IETF). Ён заснаваны на спецыфікацыі NetFlow версіі 9 і забяспечвае стандартызаваны фармат для экспарту запісаў патокаў з сеткавых прылад.
IPFIX грунтуецца на канцэпцыях NetFlow і пашырае іх, каб забяспечыць большую гнуткасць і ўзаемадзеянне паміж рознымі пастаўшчыкамі і прыладамі. Ён уводзіць канцэпцыю шаблонаў, што дазваляе дынамічна вызначаць структуру і змест запісаў патоку. Гэта дазваляе ўключаць карыстальніцкія палі, падтрымліваць новыя пратаколы і пашыраць магчымасці.
Асноўныя характарыстыкі IPFIX:
~ Падыход на аснове шаблонаўIPFIX выкарыстоўвае шаблоны для вызначэння структуры і зместу запісаў патокаў, што забяспечвае гнуткасць у размяшчэнні розных палёў дадзеных і інфармацыі, спецыфічнай для пратакола.
~ УзаемадзеяннеIPFIX — гэта адкрыты стандарт, які забяспечвае паслядоўныя магчымасці маніторынгу патоку паміж рознымі пастаўшчыкамі сетак і прыладамі.
~ Падтрымка IPv6IPFIX убудавана падтрымлівае IPv6, што робіць яго прыдатным для маніторынгу і аналізу трафіку ў сетках IPv6.
~Палепшаная бяспекаIPFIX уключае такія функцыі бяспекі, як шыфраванне Transport Layer Security (TLS) і праверку цэласнасці паведамленняў, для абароны канфідэнцыяльнасці і цэласнасці дадзеных патоку падчас перадачы.
IPFIX шырока падтрымліваецца рознымі пастаўшчыкамі сеткавага абсталявання, што робіць яго незалежна ад пастаўшчыка і шырока распаўсюджаным выбарам для маніторынгу сеткавага патоку.
Дык у чым розніца паміж NetFlow і IPFIX?
Просты адказ заключаецца ў тым, што NetFlow — гэта ўласны пратакол Cisco, прадстаўлены прыкладна ў 1996 годзе, а IPFIX — яго брат, зацверджаны органам па стандартызацыі.
Абодва пратаколы служаць адной і той жа мэце: дазваляюць сеткавым інжынерам і адміністратарам збіраць і аналізаваць патокі IP-трафіку на ўзроўні сеткі. Cisco распрацавала NetFlow, каб яе камутатары і маршрутызатары маглі выводзіць гэтую каштоўную інфармацыю. Улічваючы дамінаванне абсталявання Cisco, NetFlow хутка стаў фактычным стандартам для аналізу сеткавага трафіку. Аднак канкурэнты ў галіны зразумелі, што выкарыстанне запатэнтаванага пратакола, які кантралюецца яго галоўным канкурэнтам, не з'яўляецца добрай ідэяй, і таму IETF узначаліла намаганні па стандартызацыі адкрытага пратакола для аналізу трафіку, якім з'яўляецца IPFIX.
IPFIX заснаваны на NetFlow версіі 9 і быў першапачаткова прадстаўлены каля 2005 года, але спатрэбілася некалькі гадоў, каб атрымаць прызнанне ў галіны. На дадзены момант гэтыя два пратаколы па сутнасці аднолькавыя, і хоць тэрмін NetFlow усё яшчэ больш распаўсюджаны, большасць рэалізацый (хоць і не ўсе) сумяшчальныя са стандартам IPFIX.
Вось табліца, якая падсумоўвае адрозненні паміж NetFlow і IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Паходжанне | Уласная тэхналогія, распрацаваная Cisco | Стандартны пратакол галіны на аснове NetFlow версіі 9 |
| Стандартызацыя | Тэхналогія, спецыяльна прызначаная для Cisco | Адкрыты стандарт, вызначаны IETF у RFC 7011 |
| Гнуткасць | Палепшаныя версіі са спецыфічнымі функцыямі | Большая гнуткасць і ўзаемадзеянне паміж пастаўшчыкамі |
| Фармат дадзеных | Пакеты фіксаванага памеру | Падыход на аснове шаблонаў для наладжвальных фарматаў запісаў патокаў |
| Падтрымка шаблонаў | Не падтрымліваецца | Дынамічныя шаблоны для гнуткага ўключэння палёў |
| Падтрымка пастаўшчыкоў | У асноўным прылады Cisco | Шырокая падтрымка сярод пастаўшчыкоў сеткавых прылад |
| Пашыральнасць | Абмежаваная налада | Уключэнне карыстальніцкіх палёў і дадзеных, спецыфічных для прыкладання |
| Розніца ў пратаколах | Варыянты, спецыфічныя для Cisco | Убудаваная падтрымка IPv6, пашыраныя параметры запісу патоку |
| Функцыі бяспекі | Абмежаваныя функцыі бяспекі | Шыфраванне Transport Layer Security (TLS), цэласнасць паведамленняў |
Маніторынг патоку ў сетцы— гэта збор, аналіз і маніторынг трафіку, які праходзіць праз пэўную сетку або сегмент сеткі. Мэты могуць вар'іравацца ад ліквідацыі праблем з падключэннем да планавання размеркавання прапускной здольнасці ў будучыні. Маніторынг патоку і выбарка пакетаў могуць быць карыснымі нават для выяўлення і ліквідацыі праблем бяспекі.
Маніторынг патоку дае сеткавым камандам добрае ўяўленне аб тым, як працуе сетка, даючы інфармацыю аб агульным выкарыстанні, выкарыстанні праграм, патэнцыйных вузкіх месцах, анамаліях, якія могуць сігналізаваць аб пагрозах бяспецы, і г.д. Існуе некалькі розных стандартаў і фарматаў, якія выкарыстоўваюцца ў маніторынгу сеткавага патоку, у тым ліку NetFlow, sFlow і Internet Protocol Flow Information Export (IPFIX). Кожны з іх працуе крыху па-рознаму, але ўсе яны адрозніваюцца ад люстравання партоў і глыбокай праверкі пакетаў тым, што яны не фіксуюць змесціва кожнага пакета, які праходзіць праз порт або праз камутатар. Аднак маніторынг патоку дае больш інфармацыі, чым SNMP, які звычайна абмяжоўваецца шырокай статыстыкай, такой як агульнае выкарыстанне пакетаў і прапускной здольнасці.
Параўнанне інструментаў для сеткавага патоку
| Асаблівасць | NetFlow версіі 5 | NetFlow версіі 9 | sFlow | IPFIX |
| Адкрыты або запатэнтаваны | Уласная | Уласная | Адкрыта | Адкрыта |
| Выбарка або на аснове патоку | У асноўным на аснове патоку; даступны рэжым дыскрэтызацыі | У асноўным на аснове патоку; даступны рэжым дыскрэтызацыі | Узор | У асноўным на аснове патоку; даступны рэжым дыскрэтызацыі |
| Захопленая інфармацыя | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсаў і г.д. | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсаў і г.д. | Поўныя загалоўкі пакетаў, частковыя карысныя нагрузкі пакетаў | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсаў і г.д. |
| Маніторынг уваходу/выхаду | Толькі ўваход | Уваход і выхад | Уваход і выхад | Уваход і выхад |
| Падтрымка IPv6/VLAN/MPLS | No | Так | Так | Так |
Час публікацыі: 18 сакавіка 2024 г.
