NetFlow і IPFIX - гэта тэхналогіі, якія выкарыстоўваюцца для маніторынгу і аналізу сеткі. Яны даюць разуменне мадэляў сеткавага трафіку, дапамагаючы аптымізацыі прадукцыйнасці, ліквідацыі непаладак і аналізу бяспекі.
Netflow:
Што такое Netflow?
Netflowгэта першапачатковае рашэнне для маніторынгу патоку, першапачаткова распрацаванае Cisco ў канцы 1990 -х. Існуе некалькі розных версій, але большасць разгортванняў заснавана альбо на NetFlow V5, альбо на NetFlow V9. Хоць кожная версія мае розныя магчымасці, асноўная аперацыя застаецца ранейшай:
Па -першае, маршрутызатар, перамыкач, брандмаўэр або іншы тып прылады дазволіць фіксаваць інфармацыю ў сетцы "Патокі" - у асноўным набор пакетаў, якія маюць агульны набор характарыстык, такіх як крыніца і адрас прызначэння, крыніца і порт прызначэння і тып пратакола. Пасля таго, як паток у стане спакою, альбо прайшла загадзя зададзеную колькасць часу, прылада будзе экспартаваць запісы патоку ў юрыдычную асобу, вядомая як "калекцыянер патоку".
Нарэшце, "аналізатар патоку" мае сэнс гэтых запісаў, даючы разуменне ў выглядзе візуалізацыі, статыстыкі і падрабязнай гістарычнай справаздачнасці і справаздачнасці ў рэжыме рэальнага часу. На практыцы калекцыянеры і аналізатары часта з'яўляюцца адзіным сутнасцю, часта аб'ядноўваюцца ў больш шырокае рашэнне для маніторынгу сеткі.
Netflow працуе на дзяржаўнай аснове. Калі кліентская машына дабярэцца да сервера, NetFlow пачне захопліваць і агрэгаваць метададзеныя з патоку. Пасля спынення сесіі Netflow будзе экспартаваць у калектар адзін поўны запіс.
Хоць ён усё яшчэ звычайна выкарыстоўваецца, NetFlow V5 мае шэраг абмежаванняў. Паля, экспартаваныя фіксуюцца, маніторынг падтрымліваецца толькі ў кірунку ўваходу, а сучасныя тэхналогіі, такія як IPv6, MPLS і VXLAN, не падтрымліваюцца. NetFlow V9, таксама названы гнуткай Netflow (FNF), закранае некаторыя з гэтых абмежаванняў, што дазваляе карыстальнікам ствараць карыстацкія шаблоны і дадаваць падтрымку новых тэхналогій.
У многіх пастаўшчыкоў таксама ёсць свае ўласныя рэалізацыі NetFlow, напрыклад, JFlow з ядлоўца і NetStream з Huawei. Хоць канфігурацыя можа некалькі адрознівацца, гэтыя рэалізацыі часта ствараюць запісы патоку, сумяшчальныя з калекцыянерамі і аналізатарамі NetFlow.
Асноўныя асаблівасці NetFlow:
~ Дадзеныя пратоку: NetFlow генеруе запісы патоку, якія ўключаюць у сябе дэталі, такія як IP -адрасы крыніцы і прызначэння, парты, часовыя пазнакі, пакет і байт -падлік, і тыпы пратаколаў.
~ Маніторынг дарожнага руху: NetFlow забяспечвае бачнасць у сеткавых мадэлях трафіку, што дазваляе адміністратарам вызначаць вядучыя прыкладанні, канчатковыя кропкі і крыніцы трафіку.
~Выяўленне анамаліі: Аналізуючы дадзеныя патоку, NetFlow можа выяўляць анамаліі, такія як празмерная выкарыстанне прапускной здольнасці, сеткавыя заторы або незвычайныя мадэлі трафіку.
~ Аналіз бяспекі: NetFlow можа быць выкарыстаны для выяўлення і даследавання інцыдэнтаў у сферы бяспекі, такіх як распаўсюджаныя напады адмовы ад абслугоўвання (DDOS) або несанкцыянаваныя спробы доступу.
Версіі NetFlow: NetFlow развіваўся з цягам часу, і былі выпушчаныя розныя версіі. Некаторыя прыкметныя версіі ўключаюць NetFlow V5, NetFlow V9 і гнуткі NetFlow. Кожная версія ўводзіць удасканаленні і дадатковыя магчымасці.
Ipfix:
Што такое ipfix?
Стандарт IETF, які з'явіўся ў пачатку 2000 -х, экспарт інфармацыі пра паток Інтэрнэт -пратакола (IPFIX) надзвычай падобны на NetFlow. На самай справе, NetFlow V9 служыў асновай для IPFIX. Асноўнае адрозненне паміж імі заключаецца ў тым, што IPFIX з'яўляецца адкрытым стандартам і падтрымліваецца многімі пастаўшчыкамі сетак, акрамя Cisco. За выключэннем некалькіх дадатковых палёў, дададзеных у IPFIX, фарматы ў адваротным выпадку амаль аднолькавыя. На самай справе, ipfix часам нават называюць "Netflow v10".
Збольшага дзякуючы падабенству з NetFlow, IPFIX карыстаецца шырокай падтрымкай сярод рашэнняў па маніторынгу сеткі, а таксама сеткавым абсталяваннем.
IPFIX (Export Protocol Flow Information Export) - гэта адкрыты стандартны пратакол, распрацаваны ў Інтэрнэт -інжынернай рабочай групе (IETF). Ён заснаваны на спецыфікацыі версіі NetFlow і забяспечвае стандартызаваны фармат для экспарту запісаў патоку з сеткавых прылад.
IPFIX абапіраецца на паняцці NetFlow і пашырае іх, каб забяспечыць вялікую гнуткасць і ўзаемадзеянне для розных пастаўшчыкоў і прылад. Ён уводзіць канцэпцыю шаблонаў, што дазваляе дынамічна вызначыць структуру і змест патоку. Гэта дазваляе ўключыць карыстацкія палі, падтрымку новых пратаколаў і пашырэнне.
Асноўныя асаблівасці IPFIX:
~ Падыход на аснове шаблона: IPFIX выкарыстоўвае шаблоны для вызначэння структуры і зместу запісаў патоку, прапаноўваючы гнуткасць у размяшчэнні розных палёў дадзеных і пратакольнай інфармацыі.
~ Узаемадзеянне: IPFIX - гэта адкрыты стандарт, які забяспечвае паслядоўныя магчымасці маніторынгу патоку для розных пастаўшчыкоў сетак і прылад.
~ Падтрымка IPv6: IPFIX участку падтрымлівае IPv6, робячы яго прыдатным для маніторынгу і аналізу трафіку ў сетках IPv6.
~Палепшаная бяспека: IPFIX ўключае ў сябе функцыі бяспекі, такія як шыфраванне бяспекі транспартнага ўзроўню (TLS) і праверкі цэласнасці паведамленняў, каб абараніць канфідэнцыяльнасць і цэласнасць дадзеных патоку падчас перадачы.
IPFIX шырока падтрымліваецца рознымі пастаўшчыкамі сеткавага абсталявання, што робіць яго нейтральным пастаўшчыком і шырока прынятым выбарам для маніторынгу патоку сеткі.
Такім чынам, у чым розніца паміж NetFlow і IPFIX?
Просты адказ заключаецца ў тым, што Netflow - гэта ўласны пратакол Cisco, уведзены прыблізна ў 1996 годзе, а Ipfix - гэта яго стандарты, зацверджаны братам.
Абодва пратаколы служаць адной і той жа мэты: уключэнне інжынераў і адміністратараў сеткі збіраць і аналізаваць сеткавыя патокі IP -трафіку. Cisco распрацаваў NetFlow, каб яго перамыкачы і маршрутызатары маглі вывесці гэтую каштоўную інфармацыю. Улічваючы панаванне Cisco Gear, Netflow хутка стаў стандартам DE-Facto для аналізу сеткавага трафіку. Аднак канкурэнты галіны зразумелі, што выкарыстанне ўласнага пратакола, які кантралюецца галоўным канкурэнтам, не было добрай ідэяй, і таму IETF прывяло да намаганняў па стандартызацыі адкрытага пратакола для аналізу трафіку, які з'яўляецца IPFIX.
IPFIX заснаваны на NetFlow версіі 9 і першапачаткова быў прадстаўлены прыблізна ў 2005 годзе, але спатрэбілася некалькі гадоў, каб прыняць усынаўленне галіны. У гэты момант два пратаколы па сутнасці аднолькавыя, і хоць тэрмін NetFlow па -ранейшаму больш распаўсюджаны большасць рэалізацый (хаця і не ўсе) сумяшчальныя са стандартам IPFIX.
Вось табліца, якая абагульняе адрозненні паміж NetFlow і IPFIX:
| Аспект | Netflow | Ipfix |
|---|---|---|
| Паходжанне | Уласныя тэхналогіі, распрацаваныя Cisco | Пратакол галіновага стандарту на аснове NetFlow версіі 9 |
| Стандартызацыя | Cisco-спецыфічная тэхналогія | Адкрыты стандарт, вызначаны IETF у RFC 7011 |
| Гнуткасць | Эвалюцыянаваныя версіі з канкрэтнымі функцыямі | Большая гнуткасць і ўзаемадзеянне для пастаўшчыкоў |
| Фармат дадзеных | Пакеты з фіксаваным памерам | Падыход на аснове шаблона для наладжвальных фарматаў запісу патоку |
| Падтрымка шаблона | Не падтрымліваецца | Дынамічныя шаблоны для гнуткага ўключэння на поле |
| Падтрымка пастаўшчыка | У першую чаргу прылады Cisco | Шырокая падтрымка ў сеткавых прадаўцоў |
| Пашыральнасць | Абмежаваная налада | Уключэнне карыстацкіх палёў і дадзеных, звязаных з прыкладаннем |
| Адрозненні ў пратаколе | Цыска-спецыфічныя варыяцыі | Родная падтрымка IPv6, пашыраныя параметры запісу патоку |
| Асаблівасці бяспекі | Абмежаваныя функцыі бяспекі | Шыфраванне бяспекі транспартнага ўзроўню (TLS), цэласнасць паведамленняў |
Маніторынг патоку сеткігэта калекцыя, аналіз і маніторынг трафіку, які праходзіць па зададзеным сеткавым сегменце або сеткавым сегменце. Мэты могуць вар'іравацца ад праблем ліквідацыі непаладак да планавання будучай прапускной здольнасці. Маніторынг патоку і адбор пакетаў можа быць нават карысным пры выяўленні і ліквідацыі праблем бяспекі.
Маніторынг патоку дае сеткавым камандам добрае ўяўленне пра тое, як працуе сетка, даючы разуменне агульнага выкарыстання, выкарыстання прыкладанняў, патэнцыйных вузкіх месцаў, анамалій, якія могуць сігналізаваць аб пагрозах бяспекі і многае іншае. Існуе некалькі розных стандартаў і фарматаў, якія выкарыстоўваюцца ў маніторынгу патоку сеткі, у тым ліку Export Export Flow -пратакола (IPFIX). Кожны працуе крыху па -іншаму, але ўсе адрозніваюцца ад адлюстравання порта і глыбокага агляду пакетаў у тым, што яны не фіксуюць змесціва кожнага пакета, які праходзіць праз порт альбо праз перамыкач. Аднак маніторынг патоку дае больш інфармацыі, чым SNMP, што, як правіла, абмяжоўваецца шырокай статыстыкай, напрыклад, агульным пакетам і выкарыстаннем прапускной здольнасці.
Параўноўваюцца інструменты сеткавага патоку
| Рыса | Netflow v5 | Netflow v9 | sflow | Ipfix |
| Адкрыты альбо ўласны | Ўласнасць | Ўласнасць | Адкрыты | Адкрыты |
| Узбагачаецца або на аснове патоку | У першую чаргу на аснове патоку; Рэжым, які адбіраецца, даступны | У першую чаргу на аснове патоку; Рэжым, які адбіраецца, даступны | Выбаркі | У першую чаргу на аснове патоку; Рэжым, які адбіраецца, даступны |
| Інфармацыя захоплена | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей | Запоўніце загалоўкі пакетаў, частковыя карысныя нагрузкі | Метададзеныя і статыстычная інфармацыя, у тым ліку перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей |
| Маніторынг праходу/выезду | Толькі ўваход | Ўваход і выход | Ўваход і выход | Ўваход і выход |
| Падтрымка IPv6/VLAN/MPLS | No | Так | Так | Так |
Час паведамлення: сакавік 18-2024
