NetFlow a IPFIX sú technológie používané na monitorovanie a analýzu sieťového toku. Poskytujú prehľad o vzorcoch sieťovej prevádzky, pomáhajú pri optimalizácii výkonu, riešení problémov a analýze bezpečnosti.
NetFlow:
Čo je NetFlow?
NetFlowje originálne riešenie monitorovania toku, pôvodne vyvinuté spoločnosťou Cisco koncom 90. rokov 20. storočia. Existuje niekoľko rôznych verzií, ale väčšina nasadení je založená na NetFlow v5 alebo NetFlow v9. Aj keď má každá verzia iné možnosti, základná operácia zostáva rovnaká:
Po prvé, smerovač, prepínač, firewall alebo iný typ zariadenia zachytí informácie o sieťových „tokoch“ – v podstate súbor paketov, ktoré zdieľajú spoločnú sadu charakteristík, ako je zdrojová a cieľová adresa, zdrojový a cieľový port a protokol. typu. Po tom, čo tok prejde do režimu spánku alebo po uplynutí vopred definovaného času, zariadenie exportuje záznamy toku do entity známej ako „zberač toku“.
Napokon, „analyzátor toku“ dáva týmto záznamom zmysel a poskytuje prehľad vo forme vizualizácií, štatistík a podrobných historických správ a správ v reálnom čase. V praxi sú kolektory a analyzátory často jedinou entitou, často kombinovanou do väčšieho riešenia monitorovania výkonu siete.
NetFlow funguje na stavovom základe. Keď sa klientsky počítač dostane k serveru, NetFlow začne zachytávať a agregovať metadáta z toku. Po ukončení relácie NetFlow exportuje jeden úplný záznam do kolektora.
Hoci sa NetFlow v5 stále bežne používa, má množstvo obmedzení. Exportované polia sú pevné, monitorovanie je podporované iba v smere vstupu a moderné technológie ako IPv6, MPLS a VXLAN nie sú podporované. NetFlow v9, tiež označovaný ako Flexible NetFlow (FNF), rieši niektoré z týchto obmedzení, umožňuje používateľom vytvárať vlastné šablóny a pridávať podporu pre novšie technológie.
Mnoho predajcov má tiež svoje vlastné implementácie NetFlow, ako napríklad jFlow od Juniper a NetStream od Huawei. Aj keď sa konfigurácia môže trochu líšiť, tieto implementácie často vytvárajú záznamy toku, ktoré sú kompatibilné s kolektormi a analyzátormi NetFlow.
Kľúčové vlastnosti NetFlow:
~ Dáta toku: NetFlow generuje záznamy toku, ktoré obsahujú podrobnosti, ako sú zdrojové a cieľové IP adresy, porty, časové značky, počet paketov a bajtov a typy protokolov.
~ Monitorovanie dopravy: NetFlow poskytuje prehľad o vzorcoch sieťovej prevádzky a umožňuje správcom identifikovať najlepšie aplikácie, koncové body a zdroje prevádzky.
~Detekcia anomálií: Analýzou údajov o toku môže NetFlow odhaliť anomálie, ako je nadmerné využitie šírky pásma, preťaženie siete alebo nezvyčajné vzorce prevádzky.
~ Analýza bezpečnosti: NetFlow je možné použiť na detekciu a vyšetrenie bezpečnostných incidentov, ako sú distribuované útoky odmietnutia služby (DDoS) alebo pokusy o neoprávnený prístup.
Verzie NetFlow: NetFlow sa postupom času vyvíjal a boli vydané rôzne verzie. Niektoré pozoruhodné verzie zahŕňajú NetFlow v5, NetFlow v9 a Flexible NetFlow. Každá verzia prináša vylepšenia a ďalšie možnosti.
IPFIX:
Čo je IPFIX?
Štandard IETF, ktorý sa objavil na začiatku roku 2000, Internet Protocol Flow Information Export (IPFIX) je veľmi podobný NetFlow. V skutočnosti NetFlow v9 slúžil ako základ pre IPFIX. Hlavný rozdiel medzi nimi je v tom, že IPFIX je otvorený štandard a okrem spoločnosti Cisco ho podporujú mnohí predajcovia sietí. S výnimkou niekoľkých ďalších polí pridaných v IPFIX sú formáty inak takmer identické. V skutočnosti sa IPFIX niekedy dokonca označuje ako „NetFlow v10“.
Čiastočne vďaka svojej podobnosti s NetFlow má IPFIX širokú podporu medzi riešeniami na monitorovanie siete, ako aj sieťovými zariadeniami.
IPFIX (Internet Protocol Flow Information Export) je otvorený štandardný protokol vyvinutý organizáciou Internet Engineering Task Force (IETF). Je založený na špecifikácii NetFlow verzie 9 a poskytuje štandardizovaný formát na export záznamov toku zo sieťových zariadení.
IPFIX stavia na konceptoch NetFlow a rozširuje ich, aby ponúkal väčšiu flexibilitu a interoperabilitu medzi rôznymi dodávateľmi a zariadeniami. Zavádza koncept šablón, umožňujúcich dynamickú definíciu štruktúry a obsahu záznamov toku. To umožňuje zahrnutie vlastných polí, podporu nových protokolov a rozšíriteľnosť.
Kľúčové vlastnosti IPFIX:
~ Prístup založený na šablóne: IPFIX používa šablóny na definovanie štruktúry a obsahu záznamov toku, čím ponúka flexibilitu pri prijímaní rôznych dátových polí a informácií špecifických pre protokol.
~ Interoperabilita: IPFIX je otvorený štandard, ktorý zabezpečuje konzistentné možnosti monitorovania toku medzi rôznymi sieťovými predajcami a zariadeniami.
~ Podpora IPv6: IPFIX natívne podporuje IPv6, vďaka čomu je vhodný na monitorovanie a analýzu prevádzky v sieťach IPv6.
~Vylepšená bezpečnosť: IPFIX obsahuje bezpečnostné funkcie, ako je šifrovanie Transport Layer Security (TLS) a kontroly integrity správ na ochranu dôvernosti a integrity dát toku počas prenosu.
IPFIX je široko podporovaný rôznymi dodávateľmi sieťových zariadení, čo z neho robí neutrálnu a široko prijímanú voľbu pre monitorovanie sieťového toku.
Aký je teda rozdiel medzi NetFlow a IPFIX?
Jednoduchá odpoveď je, že NetFlow je proprietárny protokol Cisco predstavený okolo roku 1996 a IPFIX je jeho štandardným bratom schváleným orgánom.
Oba protokoly slúžia rovnakému účelu: umožňujú sieťovým inžinierom a správcom zhromažďovať a analyzovať toky IP prevádzky na úrovni siete. Spoločnosť Cisco vyvinula NetFlow, aby jej prepínače a smerovače mohli poskytovať tieto cenné informácie. Vzhľadom na dominanciu zariadení Cisco sa NetFlow rýchlo stal de facto štandardom pre analýzu sieťovej prevádzky. Konkurenti v odvetví si však uvedomili, že používanie proprietárneho protokolu kontrolovaného jeho hlavným rivalom nebol dobrý nápad, a preto IETF viedla úsilie o štandardizáciu otvoreného protokolu pre analýzu prevádzky, ktorým je IPFIX.
IPFIX je založený na NetFlow verzii 9 a bol pôvodne predstavený okolo roku 2005, ale trvalo niekoľko rokov, kým získal priemysel. V tomto bode sú dva protokoly v podstate rovnaké a hoci pojem NetFlow je stále rozšírenejší, väčšina implementácií (aj keď nie všetky) je kompatibilná so štandardom IPFIX.
Tu je tabuľka, v ktorej sú zhrnuté rozdiely medzi NetFlow a IPFIX:
Aspekt | NetFlow | IPFIX |
---|---|---|
Pôvod | Patentovaná technológia vyvinutá spoločnosťou Cisco | Priemyselný štandardný protokol založený na NetFlow verzie 9 |
Štandardizácia | Cisco-špecifická technológia | Otvorený štandard definovaný IETF v RFC 7011 |
Flexibilita | Vyvinuté verzie so špecifickými funkciami | Väčšia flexibilita a interoperabilita medzi dodávateľmi |
Formát údajov | Balíky s pevnou veľkosťou | Prístup založený na šablónach pre prispôsobiteľné formáty záznamov toku |
Podpora šablón | Nie je podporované | Dynamické šablóny pre flexibilné zahrnutie polí |
Podpora predajcu | Primárne zariadenia Cisco | Široká podpora medzi sieťovými predajcami |
Rozšíriteľnosť | Obmedzené prispôsobenie | Zahrnutie vlastných polí a údajov špecifických pre aplikáciu |
Rozdiely v protokoloch | Variácie špecifické pre Cisco | Natívna podpora IPv6, rozšírené možnosti záznamu toku |
Bezpečnostné funkcie | Obmedzené bezpečnostné funkcie | Šifrovanie Transport Layer Security (TLS), integrita správ |
Monitorovanie toku sieteje zhromažďovanie, analýza a monitorovanie prevádzky prechádzajúcej danou sieťou alebo segmentom siete. Ciele sa môžu líšiť od riešenia problémov s pripojením až po plánovanie budúceho prideľovania šírky pásma. Monitorovanie toku a vzorkovanie paketov môže byť dokonca užitočné pri identifikácii a náprave bezpečnostných problémov.
Monitorovanie toku poskytuje sieťovým tímom dobrú predstavu o tom, ako sieť funguje, poskytuje prehľad o celkovom využití, používaní aplikácií, potenciálnych prekážkach, anomáliách, ktoré môžu signalizovať bezpečnostné hrozby a ďalšie. Existuje niekoľko rôznych štandardov a formátov používaných pri monitorovaní toku siete, vrátane NetFlow, sFlow a Internet Protocol Flow Information Export (IPFIX). Každý z nich funguje trochu iným spôsobom, ale všetky sa líšia od zrkadlenia portov a hĺbkovej kontroly paketov v tom, že nezachytávajú obsah každého paketu prechádzajúceho cez port alebo prepínač. Monitorovanie toku však poskytuje viac informácií ako SNMP, ktoré je vo všeobecnosti obmedzené na široké štatistiky, ako je celkové využitie paketov a šírky pásma.
Porovnanie nástrojov toku siete
Funkcia | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Otvorené alebo proprietárne | Vlastnícky | Vlastnícky | OTVORENÉ | OTVORENÉ |
Na základe vzorky alebo prietoku | Primárne založený na toku; K dispozícii je režim vzorkovania | Primárne založený na toku; K dispozícii je režim vzorkovania | Vzorkované | Primárne založený na toku; K dispozícii je režim vzorkovania |
Zachytené informácie | Metaúdaje a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď | Metaúdaje a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď | Kompletné hlavičky paketov, čiastočné užitočné zaťaženia paketov | Metaúdaje a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď |
Monitorovanie vstupu/výstupu | Ingress Only | Vstup a výstup | Vstup a výstup | Vstup a výstup |
Podpora IPv6/VLAN/MPLS | No | áno | áno | áno |
Čas odoslania: 18. marca 2024