NetFlow і IPFIX - гэта тэхналогіі, якія выкарыстоўваюцца для маніторынгу і аналізу сеткавых патокаў. Яны даюць інфармацыю аб мадэлях сеткавага трафіку, дапамагаючы ў аптымізацыі прадукцыйнасці, ліквідацыі непаладак і аналізе бяспекі.
NetFlow:
Што такое NetFlow?
NetFlowгэта арыгінальнае рашэнне для маніторынгу патокаў, першапачаткова распрацаванае Cisco у канцы 1990-х. Існуе некалькі розных версій, але большасць разгортванняў заснавана на NetFlow v5 або NetFlow v9. Хоць кожная версія мае розныя магчымасці, асноўныя дзеянні застаюцца нязменнымі:
Па-першае, маршрутызатар, камутатар, брандмаўэр або іншы тып прылады будуць захопліваць інфармацыю аб сеткавых "патоках" - у асноўным набор пакетаў, якія падзяляюць агульны набор характарыстык, такіх як адрас крыніцы і прызначэння, порт крыніцы і прызначэння і пратакол тыпу. Пасля таго, як паток спыніўся або пройдзе загадзя зададзены прамежак часу, прылада будзе экспартаваць запісы патоку ў аб'ект, вядомы як «калектар патоку».
Нарэшце, «аналізатар патоку» асэнсоўвае гэтыя запісы, даючы разуменне ў выглядзе візуалізацыі, статыстыкі і падрабязных гістарычных справаздач і справаздач у рэжыме рэальнага часу. На практыцы калектары і аналізатары часта ўяўляюць сабой адно цэлае, часта аб'яднанае ў большае рашэнне для маніторынгу прадукцыйнасці сеткі.
NetFlow працуе на аснове стану. Калі кліенцкая машына звяртаецца да сервера, NetFlow пачне захоп і агрэгацыю метададзеных з патоку. Пасля завяршэння сеанса NetFlow экспартуе адзіны поўны запіс у калектар.
Нягледзячы на тое, што NetFlow v5 па-ранейшаму шырока выкарыстоўваецца, ён мае шэраг абмежаванняў. Экспартаваныя палі фіксаваныя, маніторынг падтрымліваецца толькі ў напрамку ўваходу, а сучасныя тэхналогіі, такія як IPv6, MPLS і VXLAN, не падтрымліваюцца. NetFlow v9, таксама пазначаны як Flexible NetFlow (FNF), ліквідуе некаторыя з гэтых абмежаванняў, дазваляючы карыстальнікам ствараць уласныя шаблоны і дадаючы падтрымку новых тэхналогій.
Многія пастаўшчыкі таксама маюць уласныя запатэнтаваныя рэалізацыі NetFlow, такія як jFlow ад Juniper і NetStream ад Huawei. Хоць канфігурацыя можа некалькі адрознівацца, гэтыя рэалізацыі часта ствараюць запісы патоку, якія сумяшчальныя з калектарамі і аналізатарамі NetFlow.
Асноўныя характарыстыкі NetFlow:
~ Дадзеныя патоку: NetFlow стварае запісы патоку, якія ўключаюць такія дэталі, як IP-адрасы крыніцы і прызначэння, парты, пазнакі часу, колькасць пакетаў і байтаў і тыпы пратаколаў.
~ Маніторынг трафіку: NetFlow забяспечвае бачнасць мадэляў сеткавага трафіку, дазваляючы адміністратарам ідэнтыфікаваць асноўныя прыкладанні, канчатковыя кропкі і крыніцы трафіку.
~Выяўленне анамалій: Аналізуючы дадзеныя патоку, NetFlow можа выяўляць анамаліі, такія як празмернае выкарыстанне паласы прапускання, перагрузка сеткі або незвычайныя схемы трафіку.
~ Аналіз бяспекі: NetFlow можна выкарыстоўваць для выяўлення і расследавання інцыдэнтаў бяспекі, такіх як размеркаваныя атакі адмовы ў абслугоўванні (DDoS) або спробы несанкцыянаванага доступу.
Версіі NetFlow: NetFlow развіваўся з цягам часу, і былі выпушчаныя розныя версіі. Некаторыя вядомыя версіі ўключаюць NetFlow v5, NetFlow v9 і Flexible NetFlow. Кожная версія змяшчае ўдасканаленні і дадатковыя магчымасці.
IPFIX:
Што такое IPFIX?
Стандарт IETF, які з'явіўся ў пачатку 2000-х гадоў, Экспарт інфармацыі па пратаколе Інтэрнэту (IPFIX) вельмі падобны на NetFlow. Фактычна NetFlow v9 паслужыў асновай для IPFIX. Асноўнае адрозненне паміж імі заключаецца ў тым, што IPFIX з'яўляецца адкрытым стандартам і падтрымліваецца многімі сеткавымі пастаўшчыкамі, акрамя Cisco. За выключэннем некалькіх дадатковых палёў, дададзеных у IPFIX, фарматы ў астатнім амаль ідэнтычныя. Фактычна IPFIX часам нават называюць «NetFlow v10».
Часткова з-за падабенства з NetFlow IPFIX карыстаецца шырокай падтрымкай сярод рашэнняў для маніторынгу сеткі, а таксама сеткавага абсталявання.
IPFIX (Інтэрнэт-пратакол Flow Information Export) - гэта адкрыты стандартны пратакол, распрацаваны Інжынернай групай Інтэрнэту (IETF). Ён заснаваны на спецыфікацыі NetFlow версіі 9 і забяспечвае стандартызаваны фармат для экспарту запісаў патоку з сеткавых прылад.
IPFIX абапіраецца на канцэпцыі NetFlow і пашырае іх, каб прапанаваць большую гнуткасць і ўзаемадзеянне паміж рознымі пастаўшчыкамі і прыладамі. Ён уводзіць канцэпцыю шаблонаў, якія дазваляюць дынамічна вызначаць структуру і змест запісу патоку. Гэта дазваляе ўключыць карыстальніцкія палі, падтрымку новых пратаколаў і магчымасць пашырэння.
Асноўныя характарыстыкі IPFIX:
~ Шаблонны падыход: IPFIX выкарыстоўвае шаблоны для вызначэння структуры і зместу запісаў патоку, прапаноўваючы гібкасць у размяшчэнні розных палёў даных і інфармацыі, якая залежыць ад пратаколу.
~ Сумяшчальнасць: IPFIX з'яўляецца адкрытым стандартам, які забяспечвае паслядоўныя магчымасці маніторынгу патоку на розных сеткавых пастаўшчыках і прыладах.
~ Падтрымка IPv6: IPFIX першапачаткова падтрымлівае IPv6, што робіць яго прыдатным для маніторынгу і аналізу трафіку ў сетках IPv6.
~Палепшаная бяспека: IPFIX уключае такія функцыі бяспекі, як шыфраванне Transport Layer Security (TLS) і праверка цэласнасці паведамленняў для абароны канфідэнцыяльнасці і цэласнасці патоку дадзеных падчас перадачы.
IPFIX шырока падтрымліваецца рознымі пастаўшчыкамі сеткавага абсталявання, што робіць яго нейтральным да пастаўшчыка і шырока распаўсюджаным выбарам для маніторынгу сеткавага патоку.
Такім чынам, у чым розніца паміж NetFlow і IPFIX?
Адказ просты: NetFlow - гэта ўласны пратакол Cisco, уведзены прыкладна ў 1996 годзе, а IPFIX - яго брат, зацверджаны арганізацыяй па стандартызацыі.
Абодва пратаколы служаць адной і той жа мэты: дазваляюць сеткавым інжынерам і адміністратарам збіраць і аналізаваць патокі IP-трафіку на сеткавым узроўні. Кампанія Cisco распрацавала NetFlow, каб яе камутатары і маршрутызатары маглі выводзіць гэтую каштоўную інфармацыю. Улічваючы дамінаванне абсталявання Cisco, NetFlow хутка стаў дэ-факта стандартам для аналізу сеткавага трафіку. Аднак галіновыя канкурэнты зразумелі, што выкарыстоўваць прапрыетарны пратакол, які кантралюецца яго галоўным канкурэнтам, не з'яўляецца добрай ідэяй, і таму IETF распачаў намаганні па стандартызацыі адкрытага пратаколу для аналізу трафіку, якім з'яўляецца IPFIX.
IPFIX заснаваны на NetFlow версіі 9 і першапачаткова быў прадстаўлены прыкладна ў 2005 годзе, але спатрэбілася некалькі гадоў, каб атрымаць прыняцце ў прамысловасці. На дадзены момант гэтыя два пратаколы па сутнасці аднолькавыя, і хаця тэрмін NetFlow усё яшчэ больш распаўсюджаны, большасць рэалізацый (хоць і не ўсе) сумяшчальныя са стандартам IPFIX.
Вось табліца, якая абагульняе адрозненні паміж NetFlow і IPFIX:
Аспект | NetFlow | IPFIX |
---|---|---|
Паходжанне | Уласная тэхналогія, распрацаваная Cisco | Пратакол галіновага стандарту на аснове NetFlow версіі 9 |
Стандартызацыя | Спецыяльная тэхналогія Cisco | Адкрыты стандарт, вызначаны IETF у RFC 7011 |
Гнуткасць | Палепшаныя версіі са спецыфічнымі функцыямі | Большая гнуткасць і ўзаемадзеянне паміж пастаўшчыкамі |
Фармат дадзеных | Пакеты фіксаванага памеру | Падыход на аснове шаблонаў для наладжвальных фарматаў запісу патоку |
Падтрымка шаблонаў | Не падтрымліваецца | Дынамічныя шаблоны для гнуткага ўключэння поля |
Падтрымка пастаўшчыка | У першую чаргу прылады Cisco | Шырокая падтрымка сеткавых пастаўшчыкоў |
Пашыральнасць | Абмежаваная налада | Уключэнне наладжвальных палёў і даных канкрэтных прыкладанняў |
Адрозненні пратаколаў | Спецыфічныя варыяцыі Cisco | Уласная падтрымка IPv6, пашыраныя параметры запісу патоку |
Функцыі бяспекі | Абмежаваныя функцыі бяспекі | Шыфраванне Transport Layer Security (TLS), цэласнасць паведамленняў |
Маніторынг сеткавага патокугэта збор, аналіз і маніторынг трафіку, які праходзіць па дадзенай сетцы або сегменце сеткі. Мэты могуць вар'іравацца ад ліквідацыі праблем з падключэннем да планавання будучага размеркавання прапускной здольнасці. Маніторынг патоку і выбарка пакетаў могуць нават быць карыснымі для выяўлення і ліквідацыі праблем бяспекі.
Маніторынг патоку дае сеткавым камандам добрае ўяўленне аб тым, як працуе сетка, забяспечваючы ўяўленне аб агульным выкарыстанні, выкарыстанні прыкладанняў, патэнцыйных вузкіх месцах, анамаліях, якія могуць сігналізаваць аб пагрозах бяспецы, і шмат іншага. Існуе некалькі розных стандартаў і фарматаў, якія выкарыстоўваюцца ў маніторынгу сеткавых патокаў, у тым ліку NetFlow, sFlow і Экспарт інфармацыі аб патоку інтэрнэт-пратаколу (IPFIX). Кожны працуе крыху па-рознаму, але ўсе яны адрозніваюцца ад адлюстравання партоў і глыбокай праверкі пакетаў тым, што не захопліваюць змесціва кожнага пакета, які праходзіць праз порт або праз камутатар. Аднак маніторынг патоку дае больш інфармацыі, чым SNMP, які звычайна абмяжоўваецца шырокай статыстыкай, такой як агульнае выкарыстанне пакетаў і прапускной здольнасці.
Параўнанне інструментаў Network Flow
Асаблівасць | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Адкрыты або прапрыетарны | Патэнтаваны | Патэнтаваны | Адкрыты | Адкрыты |
Выбарка або на аснове патоку | У асноўным на аснове патоку; Рэжым выбаркі даступны | У асноўным на аснове патоку; Рэжым выбаркі даступны | Узор | У асноўным на аснове патоку; Рэжым выбаркі даступны |
Інфармацыя захавана | Метададзеныя і статыстычная інфармацыя, уключаючы перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей | Метададзеныя і статыстычная інфармацыя, уключаючы перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей | Поўныя загалоўкі пакетаў, частковая карысная нагрузка пакетаў | Метададзеныя і статыстычная інфармацыя, уключаючы перададзеныя байты, лічыльнікі інтэрфейсу і гэтак далей |
Маніторынг ўваходу/выхаду | Толькі ўваход | Уваход і выхад | Уваход і выхад | Уваход і выхад |
Падтрымка IPv6/VLAN/MPLS | No | так | так | так |
Час публікацыі: 18 сакавіка 2024 г