Netflow in IPFIX sta tako tehnologiji, ki se uporabljajo za spremljanje in analizo omrežnega pretoka. Omogočajo vpogled v vzorce omrežnega prometa, ki pomagajo pri optimizaciji uspešnosti, odpravljanju napak in analizi varnosti.
Netflow:
Kaj je Netflow?
Netflowje originalna rešitev za spremljanje pretoka, ki jo je prvotno razvil Cisco v poznih devetdesetih. Obstaja več različnih različic, vendar večina uvajanj temelji na Netflow V5 ali Netflow V9. Medtem ko ima vsaka različica različne zmogljivosti, osnovna operacija ostaja enaka:
Prvič, usmerjevalnik, stikalo, požarni zid ali druga vrsta naprave bodo zajemali informacije na omrežju "tok" - v bistvu nabor paketov, ki imajo skupni nabor značilnosti, kot so vir in ciljni naslov, vir in ciljni vrata ter vrsta protokola. Potem ko je tok miroval ali vnaprej določena količina časa, bo naprava izvozila zapise pretoka v subjekt, znano kot "zbiralnik pretoka".
Nazadnje je "analizator pretoka" smiselno za te zapise, ki zagotavlja vpogled v obliki vizualizacij, statistike in podrobnega zgodovinskega in realnega poročanja. V praksi so zbiralci in analizatorji pogosto eno samo subjekt, ki se pogosto združuje v večjo rešitev za spremljanje uspešnosti omrežja.
Netflow deluje na splošno. Ko odjemalski stroj stopi na strežnik, bo Netflow začel zajemati in združevati metapodatke iz toka. Po prekinitvi seje bo Netflow izvozil en celoten zapis v zbiralci.
Čeprav se še vedno pogosto uporablja, ima Netflow V5 številne omejitve. Izvožena polja so fiksirana, spremljanje je podprto samo v smeri vdora, sodobne tehnologije, kot so IPv6, MPLS in VXLAN, pa niso podprte. Netflow V9, ki je označen tudi kot prilagodljiv Netflow (FNF), obravnava nekatere od teh omejitev, kar uporabnikom omogoča, da sestavijo predloge po meri in dodajo podporo novejšim tehnologijam.
Številni prodajalci imajo tudi svoje lastniške izvedbe Netflow, kot sta JFLOW iz Juniperja in Netstream iz Huaweija. Čeprav se konfiguracija lahko nekoliko razlikuje, te izvedbe pogosto proizvajajo zapise o pretoku, ki so združljivi z zbiralci in analizatorji Netflow.
Ključne značilnosti Netflowa:
~ Podatki o pretoku: Netflow ustvarja zapise o pretoku, ki vključujejo podrobnosti, kot so vir in ciljni naslovi IP, vrata, časovne žige, število paketov in bajtov ter vrste protokolov.
~ Spremljanje prometa: Netflow zagotavlja vidnost v vzorcih omrežnega prometa, kar omogoča skrbnikom, da prepoznajo najvišje aplikacije, končne točke in vire prometa.
~Zaznavanje anomalije: Z analizo podatkov pretoka lahko Netflow zazna nepravilnosti, kot so prekomerna uporaba pasovne širine, omrežna zastoja ali nenavadni prometni vzorci.
~ Varnostna analiza: Netflow se lahko uporablja za odkrivanje in raziskovanje varnostnih incidentov, kot so napadi za zavrnitev storitve (DDOS) ali nepooblaščeni poskusi dostopa.
Netflow različice: Netflow se je sčasoma razvil in izdane so bile različne različice. Nekatere pomembne različice vključujejo Netflow V5, Netflow V9 in prilagodljivo Netflow. Vsaka različica uvaja izboljšave in dodatne zmogljivosti.
Ipfix:
Kaj je ipfix?
Standard IETF, ki se je pojavil v začetku 2000 -ih, je izvoz informacij o pretoku internetnih protokola (IPFIX) izjemno podoben Netflowu. Dejansko je Netflow V9 služil kot osnova za IPFIX. Primarna razlika med obema je, da je IPFIX odprt standard, poleg Cisco pa ga podpirajo številni prodajalci omrežja. Z izjemo nekaj dodatnih polj, dodanih v IPFIX, so formati sicer skoraj enaki. Pravzaprav se IPFIX včasih imenuje "Netflow V10".
Delno zaradi podobnosti z Netflowom IPFIX uživa široko podporo med rešitvami za spremljanje omrežja in omrežno opremo.
IPFIX (Internet Protocol Information Information Insform Export) je odprt standardni protokol, ki ga je razvila delovna skupina za internetni inženiring (IETF). Temelji na specifikaciji Netflow različice 9 in ponuja standardizirano obliko za izvoz zapisov o pretoku iz omrežnih naprav.
IPFIX temelji na konceptih Netflowa in jih razširi, da ponuja večjo prilagodljivost in interoperabilnost pri različnih prodajalcih in napravah. Uvaja koncept predloge, kar omogoča dinamično opredelitev strukture in vsebine zapisov pretoka. To omogoča vključitev polj po meri, podporo za nove protokole in razširljivost.
Ključne značilnosti IPFIX -a:
~ Pristop, ki temelji na predlogi: IPFIX uporablja predloge za določitev strukture in vsebine zapisov o pretoku, ki ponuja prilagodljivost pri sprejemu različnih podatkovnih polj in protokol, specifičnih za informacije.
~ Interoperabilnost: IPFIX je odprt standard, ki zagotavlja dosledne zmogljivosti spremljanja pretoka pri različnih prodajalcih in napravah omrežja.
~ Podpora IPv6: IPFIX izvorno podpira IPv6, zaradi česar je primeren za spremljanje in analizo prometa v omrežjih IPv6.
~Izboljšana varnost: IPFIX vključuje varnostne funkcije, kot so šifriranje prometne plasti (TLS) in preverjanja celovitosti sporočil za zaščito zaupnosti in celovitosti podatkov o pretoku med prenosom.
IPFIX široko podpirajo različni prodajalci omrežne opreme, zaradi česar je prodajalec nevtralen in široko sprejeta izbira za spremljanje omrežnega pretoka.
Kakšna je torej razlika med Netflowom in IPFIX?
Preprost odgovor je, da je Netflow lastniški protokol Cisco, predstavljen okoli leta 1996, IPFIX pa brat, ki ga je odobril svoj standard.
Oba protokola služita istemu namenu: omrežnim inženirjem in skrbnikom omogoča zbiranje in analizo prometnih tokov na ravni omrežja. Cisco je razvil Netflow, tako da bi lahko njena dragocena informacija in usmerjevalniki pripravili te dragocene informacije. Glede na prevlado Cisco Gear je Netflow hitro postal defakto standard za analizo omrežnega prometa. Vendar so konkurenti v industriji spoznali, da uporaba lastniškega protokola, ki ga nadzira njegov glavni tekmec, ni dobra ideja, zato je IETF vodil prizadevanje za standardizacijo odprtega protokola za analizo prometa, ki je IPFIX.
IPFIX temelji na Netflow različici 9 in je bil prvotno uveden okoli leta 2005, vendar je potreboval nekaj let, da je pridobil sprejetje industrije. Na tej točki sta dva protokola v bistvu enaka, in čeprav je izraz Netflow še vedno bolj razširjena večina izvedb (čeprav ne vse), je združljiva s standardom IPFIX.
Tu je tabela, ki povzema razlike med Netflowom in IPFIX:
| Vidik | Netflow | Ipfix |
|---|---|---|
| Izvor | Lastniška tehnologija, ki jo je razvil Cisco | Protokol v industriji, ki temelji na različici Netflow 9 |
| Standardizacija | Cisco-specifična tehnologija | Odprti standard, ki ga definira IETF v RFC 7011 |
| Prilagodljivost | Razvite različice s posebnimi lastnostmi | Večja prilagodljivost in interoperabilnost pri prodajalcih |
| Oblika podatkov | Paketi s fiksno velikostjo | Pristop, ki temelji na predlogi za prilagodljive formate zapisov pretoka |
| Podpora predloge | Ni podprto | Dinamične predloge za prilagodljivo vključitev polja |
| Podpora za prodajalca | Predvsem Cisco naprave | Široka podpora pri prodajalcih omrežij |
| Razširljivost | Omejena prilagoditev | Vključitev polj po meri in podatkov, specifičnih za aplikacijo |
| Razlike v protokolu | KISCO specifične različice | Native IPv6 podpora, izboljšane možnosti zapisa toka |
| Varnostne funkcije | Omejene varnostne funkcije | Šifriranje transportne plasti (TLS), celovitost sporočil |
Spremljanje omrežnega pretokaAli je zbirka, analiza in spremljanje prometa, ki prečka dani omrežni ali omrežni segment. Cilji se lahko razlikujejo od odpravljanja težav s povezljivostjo do načrtovanja prihodnje razporeditve pasovne širine. Spremljanje pretoka in vzorčenje paketov sta lahko celo koristna pri prepoznavanju in sanaciji varnostnih vprašanj.
Spremljanje pretoka daje mrežnim skupinam dobro predstavo o tem, kako omrežje deluje, saj omogoča vpogled v splošno uporabo, uporabo uporabe, potencialna ozka grla, anomalije, ki lahko signalizirajo varnostne grožnje in še več. Pri spremljanju omrežnega pretoka je več različnih standardov in formatov, vključno z izvozom informacij o pretoku Netflow, SFlow in Internet Protocol (IPFIX). Vsak deluje na nekoliko drugačen način, vendar se vsi razlikujejo od zrcaljenja vrat in globokega pregleda paketov, saj ne zajemajo vsebine vsakega paketa, ki prehaja čez vrata ali skozi stikalo. Vendar pa spremljanje pretoka zagotavlja več informacij kot SNMP, ki je na splošno omejen na široke statistike, kot je celotna uporaba paketov in pasovne širine.
Orodja za omrežni pretok v primerjavi
| Značilnost | Netflow V5 | Netflow V9 | sflow | Ipfix |
| Odprto ali lastniško | Lastniški | Lastniški | Odprt | Odprt |
| Vzorčen ali pretok | Predvsem pretok; Na voljo je vzorčen način | Predvsem pretok; Na voljo je vzorčen način | Vzorčen | Predvsem pretok; Na voljo je vzorčen način |
| Zajete informacije | Metapodatki in statistični podatki, vključno z prenesenimi bajti, vmesniki in tako naprej | Metapodatki in statistični podatki, vključno z prenesenimi bajti, vmesniki in tako naprej | Popolne glave paketov, delne paketne obremenitve | Metapodatki in statistični podatki, vključno z prenesenimi bajti, vmesniki in tako naprej |
| Spremljanje vdora/izstopa | Samo vdor | Vdor in izstop | Vdor in izstop | Vdor in izstop |
| Podpora IPv6/VLAN/MPLS | No | DA | DA | DA |
Čas objave: MAR-18-2024
