NetFlow i Ipfix su obje tehnologije koje se koriste za nadzor i analizu mrežnog protoka. Oni pružaju uvid u obrasce mrežnog prometa, pomažući u optimizaciji performansi, rješavanju problema i sigurnosnom analizi.
NetFlow:
Što je NetFlow?
Netmogje izvorno rješenje za praćenje protoka, koje je Cisco izvorno razvio krajem 1990 -ih. Postoji nekoliko različitih verzija, ali većina implementacija temelji se na NetFlow V5 ili NetFlow V9. Iako svaka verzija ima različite mogućnosti, osnovna operacija ostaje ista:
Prvo, usmjerivač, prekidač, vatrozid ili druga vrsta uređaja uhvatit će informacije na mreži "protoci" - u osnovi skup paketa koji dijele zajednički skup karakteristika poput izvora i odredišne adrese, izvora i odredišnog priključka i vrste protokola. Nakon što je protok propao ili je prošlo unaprijed definirano vrijeme, uređaj će izvesti evidencije protoka u entitet poznat kao "kolekcionar protoka".
Konačno, "analizator protoka" ima smisla za te zapise, pružajući uvide u obliku vizualizacije, statistike i detaljnog povijesnog i izvještavanja u stvarnom vremenu. U praksi su kolekcionari i analizatori često jedan entitet, često kombinirani u veće rješenje za nadzor mrežnih performansi.
NetFlow djeluje na državnoj osnovi. Kad klijentski stroj dosegne poslužitelj, NetFlow će početi snimati i agregirati metapodate iz protoka. Nakon prekida sesije, NetFlow će izvesti jedan kompletan zapis u kolekcionar.
Iako se još uvijek obično koristi, NetFlow V5 ima brojna ograničenja. Izvedena polja su fiksna, praćenje je podržano samo u smjeru ulazak, a moderne tehnologije poput IPv6, MPLS i VXLAN nisu podržane. NetFlow V9, također markiran kao fleksibilni NetFlow (FNF), bavi se nekim od tih ograničenja, omogućujući korisnicima da izgrade prilagođene predloške i dodaju podršku novijim tehnologijama.
Mnogi dobavljači također imaju vlastite implementacije NetFlow -a, kao što su JFlow iz Junipera i Netstream iz Huaweija. Iako se konfiguracija može donekle razlikovati, ove implementacije često stvaraju zapise protoka koji su kompatibilni s kolekcionarima i analizatorima NetFlow.
Ključne značajke NetFlow -a:
~ Podaci o protoku: NetFlow generira zapise protoka koji uključuju detalje poput izvora i odredišnih IP adresa, priključaka, vremenskih oznaka, broja paketa i bajtova i vrsta protokola.
~ Nadzor prometa: NetFlow pruža vidljivost u obrascima mrežnog prometa, omogućavajući administratorima da identificiraju vrhunske aplikacije, krajnje točke i izvore prometa.
~Otkrivanje anomalije: Analizom podataka o protoku, NetFlow može otkriti anomalije kao što su pretjerano iskorištavanje propusnosti, zagušenja mreže ili neobične prometne obrasce.
~ Sigurnosna analiza: NetFlow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, poput distribuiranih napada uskraćivanja usluge (DDOS) ili neovlaštenih pokušaja pristupa.
NetFlow verzije: NetFlow se s vremenom razvijao i objavljene su različite verzije. Neke zapažene verzije uključuju NetFlow V5, NetFlow V9 i fleksibilni NetFlow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
Ipfix:
Što je ipfix?
IETF standard koji se pojavio početkom 2000 -ih, izvoz podataka o protoku Internet protokola (IPFIX) izuzetno je sličan NetFlow -u. U stvari, NetFlow V9 poslužio je kao osnova za IPFIX. Primarna razlika između njih dvojice je u tome što je IPFIX otvoren standard, a podržavaju ga mnogi dobavljači umrežavanja osim Ciscoa. S izuzetkom nekoliko dodatnih polja dodanih u ipfixu, formati su inače gotovo identični. U stvari, ipfix se ponekad čak naziva i "NetFlow V10".
Zahvaljujući svojim sličnostima s NetFlowom, IPFIX uživa široku podršku među rješenjima za nadzor mreže kao i mrežnu opremu.
IPFIX (Internet Protocol Information Export) otvoreni je standardni protokol koji je razvila radna skupina Internet Engineering (IETF). Temelji se na specifikaciji NetFlow verzije 9 i pruža standardizirani format za izvoz zapisa protoka s mrežnih uređaja.
Ipfix se temelji na konceptima NetFlow -a i proširuje ih kako bi ponudio veću fleksibilnost i interoperabilnost kod različitih dobavljača i uređaja. Uvodi koncept predložaka, omogućavajući dinamičku definiciju strukture i sadržaja zapisa protoka. To omogućava uključivanje prilagođenih polja, podršku novim protokolima i proširivosti.
Ključne značajke ipfixa:
~ Pristup temeljen na predlošku: Ipfix koristi predloške za definiranje strukture i sadržaja zapisa o protoku, nudeći fleksibilnost u smještaju različitih polja podataka i informacijama specifičnim za protokol.
~ Interoperabilnost: Ipfix je otvoreni standard, osiguravajući konzistentne mogućnosti praćenja protoka u različitim dobavljačima i uređajima za umrežavanje.
~ IPv6 podrška: Ipfix izvorno podržava IPv6, što ga čini prikladnim za praćenje i analizu prometa u IPv6 mrežama.
~Poboljšana sigurnost: IPFIX uključuje sigurnosne značajke kao što su zaštita prometnih slojeva (TLS) i provjere integriteta poruka kako bi se zaštitila povjerljivost i integritet podataka o protoku tijekom prijenosa.
Ipfix široko podržavaju razni dobavljači opreme za mrežu, što ga čini neutralnim dobavljačem i široko prihvaćenim izborom za nadzor mrežnog protoka.
Dakle, koja je razlika između NetFlow -a i Ipfixa?
Jednostavan odgovor je da je NetFlow vlasnički protokol Ciscova predstavljen oko 1996. godine, a Ipfix je njegov brat odobren od tijela.
Oba protokola služe istoj svrsi: omogućavanje mrežnih inženjera i administratora da prikupljaju i analiziraju promet IP prometa mrežne razine. Cisco je razvio NetFlow tako da su njegovi prekidači i usmjerivači mogli iznijeti ove vrijedne informacije. S obzirom na dominaciju Cisco Gear-a, NetFlow je brzo postao defacto standard za analizu mrežnog prometa. Međutim, konkurenti u industriji shvatili su da korištenje vlasničkog protokola koji kontrolira njegov glavni suparnik nije dobra ideja i stoga je IETF vodio napor da standardizira otvoreni protokol za analizu prometa, što je IPFIX.
IPFIX se temelji na NetFlow verziji 9 i prvotno je predstavljen oko 2005. godine, ali je trebalo nekoliko godina da bi se dobilo usvajanje u industriji. U ovom su trenutku dva protokola u osnovi ista i premda je termin NetFlow još uvijek rasprostranjenija većina implementacija (iako nije sve) kompatibilne sa IPFIX standardnim.
Evo tablice koja sažima razlike između NetFlow -a i Ipfixa:
| Aspekt | Netmog | Ipfix |
|---|---|---|
| Podrijetlo | Vlasnička tehnologija koju je razvio Cisco | Industrijski standardni protokol na temelju NetFlow verzije 9 |
| Standardizacija | Cisco-specifična tehnologija | Otvoreni standard koji je IETF definirao u RFC 7011 |
| Fleksibilnost | Evoluirane verzije s određenim značajkama | Veća fleksibilnost i interoperabilnost među dobavljačima |
| Format podataka | Paketi fiksne veličine | Pristup temeljen na predlošku za prilagodljive formate zapisa protoka |
| Podrška predloška | Nije podržan | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška dobavljača | Prvenstveno Cisco uređaji | Široka podrška među dobavljačima umrežavanja |
| Proširivost | Ograničeno prilagođavanje | Uključivanje prilagođenih polja i podataka specifičnih za aplikaciju |
| Razlike u protokolu | Cisco-specifične varijacije | Native IPv6 podrška, poboljšane mogućnosti zapisa protoka |
| Sigurnosne značajke | Ograničene sigurnosne značajke | Sigurnost transportnog sloja (TLS) šifriranje, integritet poruke |
Nadgledanje mrežnog protokaje prikupljanje, analiza i praćenje prometa koji prolazi na zadanu mrežnu ili mrežni segment. Ciljevi se mogu razlikovati od problema s rješavanjem problema do planiranja buduće raspodjele propusnosti. Nadgledanje protoka i uzorkovanje paketa može biti korisno u identificiranju i popravljanju sigurnosnih problema.
Nadgledanje protoka daje mrežnim timovima dobru predodžbu o tome kako mreža djeluje, pružajući uvid u cjelokupnu upotrebu, upotrebu aplikacije, potencijalna uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i još mnogo toga. Postoji nekoliko različitih standarda i formata koji se koriste u nadzoru mrežnog protoka, uključujući NetFlow, SFLOW i Internet Protocol Informacije o izvozu protoka (IPFIX). Svaki djeluje na nešto drugačiji način, ali svi se razlikuju od zrcaljenja luka i duboke inspekcije paketa po tome što ne snimaju sadržaj svakog paketa koji prolazi preko priključka ili kroz prekidač. Međutim, praćenje protoka pruža više informacija od SNMP -a, što je uglavnom ograničeno na široku statistiku poput cjelokupne upotrebe paketa i propusnosti.
Uspoređeni alati za protok mreže
| Značajka | NetFlow V5 | NetFlow V9 | protok | Ipfix |
| Otvoreni ili vlasnički | Vlasnički | Vlasnički | Otvoriti | Otvoriti |
| Uzorkovani ili temeljeni na protoku | Prvenstveno temeljen na protoku; Dostupan je način uzorka | Prvenstveno temeljen na protoku; Dostupan je način uzorka | Uzorak | Prvenstveno temeljen na protoku; Dostupan je način uzorka |
| Informacije snimljene | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Kompletne zaglavlja paketa, djelomični teret paketa | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje |
| Ulazak/izlazak nadgledanja | Samo ulazak | Ulazak i izlazak | Ulazak i izlazak | Ulazak i izlazak |
| IPv6/VLAN/MPLS podrška | No | Da | Da | Da |
Post Vrijeme: ožujak-18-2024
