Hver er munurinn á NetFlow og IPFIX fyrir netflæðiseftirlitið?

NetFlow og IPFIX eru bæði tækni sem notuð er til að fylgjast með og greina flæði netkerfisins. Þeir veita innsýn í netumferðarmynstur, aðstoða við hagræðingu afkasta, bilanaleit og öryggisgreiningu.

NetFlow:

Hvað er NetFlow?

NetFlower upprunalega flæðivöktunarlausnin, upphaflega þróuð af Cisco seint á tíunda áratugnum. Nokkrar mismunandi útgáfur eru til, en flestar dreifingar eru byggðar á annað hvort NetFlow v5 eða NetFlow v9. Þó að hver útgáfa hafi mismunandi möguleika, er grunnaðgerðin sú sama:

Í fyrsta lagi mun beini, rofi, eldveggur eða önnur tegund tækis fanga upplýsingar um "flæði" netsins - í grundvallaratriðum pakkasett sem deila sameiginlegum einkennum eins og uppruna- og áfangastað, uppruna og áfangastað og samskiptareglur gerð. Eftir að flæði hefur farið í dvala eða fyrirfram ákveðinn tími hefur liðið mun tækið flytja flæðisskrárnar út til aðila sem kallast „flæðisafnari“.

Að lokum hefur „flæðisgreiningartæki“ skilning á þessum skrám, sem veitir innsýn í formi sjónmynda, tölfræði og ítarlegrar sögulegrar skýrslugerðar og rauntímaskýrslu. Í reynd eru safnarar og greiningartæki oft ein heild, oft sameinuð í stærri netkerfiseftirlitslausn.

NetFlow starfar á opinberum grundvelli. Þegar biðlaravél nær til netþjóns mun NetFlow byrja að fanga og safna saman lýsigögnum úr flæðinu. Eftir að lotunni er slitið mun NetFlow flytja eina heila skrá til safnarans.

Þó að það sé enn almennt notað, hefur NetFlow v5 ýmsar takmarkanir. Reitirnir sem fluttir eru út eru fastir, eftirlit er aðeins stutt í inngöngustefnu og nútímatækni eins og IPv6, MPLS og VXLAN er ekki studd. NetFlow v9, einnig merkt sem Flexible NetFlow (FNF), tekur á sumum þessara takmarkana, sem gerir notendum kleift að smíða sérsniðin sniðmát og bæta við stuðningi við nýrri tækni.

Margir seljendur hafa einnig sínar eigin útfærslur á NetFlow, eins og jFlow frá Juniper og NetStream frá Huawei. Þó að uppsetningin geti verið nokkuð frábrugðin, framleiða þessar útfærslur oft flæðisskrár sem eru samhæfar NetFlow safnara og greiningartækjum.

Helstu eiginleikar NetFlow:

~ Flæðisgögn: NetFlow býr til flæðisskrár sem innihalda upplýsingar eins og uppruna- og áfangastað IP-tölur, gáttir, tímastimpla, pakka- og bætafjölda og samskiptareglur.

~ Umferðareftirlit: NetFlow veitir sýnileika í netumferðarmynstri, sem gerir stjórnendum kleift að bera kennsl á helstu forrit, endapunkta og umferðaruppsprettur.

~Fráviksgreining: Með því að greina flæðisgögn getur NetFlow greint frávik eins og of mikla bandbreiddarnýtingu, netþrengingar eða óvenjuleg umferðarmynstur.

~ Öryggisgreining: NetFlow er hægt að nota til að greina og rannsaka öryggisatvik, svo sem dreifða afneitun-af-þjónustu (DDoS) árásir eða óheimilar aðgangstilraunir.

NetFlow útgáfur: NetFlow hefur þróast með tímanum og mismunandi útgáfur hafa verið gefnar út. Sumar athyglisverðar útgáfur eru NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver útgáfa kynnir endurbætur og viðbótarmöguleika.

IPFIX:

Hvað er IPFIX?

IETF staðall sem kom fram í byrjun 2000, Internet Protocol Flow Information Export (IPFIX) er mjög svipaður NetFlow. Reyndar þjónaði NetFlow v9 sem grunnur fyrir IPFIX. Aðalmunurinn á þessu tvennu er sá að IPFIX er opinn staðall og er studdur af mörgum netframleiðendum fyrir utan Cisco. Að undanskildum nokkrum reitum til viðbótar sem bætt er við í IPFIX eru sniðin að öðru leyti næstum eins. Reyndar er IPFIX stundum jafnvel nefnt „NetFlow v10“.

Að hluta til vegna líkinga sinna við NetFlow nýtur IPFIX víðtæks stuðnings meðal netvöktunarlausna sem og netbúnaðar.

IPFIX (Internet Protocol Flow Information Export) er opin staðlað siðareglur þróuð af Internet Engineering Task Force (IETF). Það er byggt á NetFlow útgáfu 9 forskriftinni og veitir staðlað snið til að flytja út flæðisskrár úr nettækjum.

IPFIX byggir á hugmyndum NetFlow og stækkar þau til að bjóða upp á meiri sveigjanleika og samvirkni milli mismunandi söluaðila og tækja. Það kynnir hugtakið sniðmát, sem gerir kleift að skilgreina flæðisuppbyggingu og innihald. Þetta gerir kleift að hafa sérsniðna reiti, stuðning við nýjar samskiptareglur og stækkanleika.

Helstu eiginleikar IPFIX:

~ Sniðmátamiðuð nálgun: IPFIX notar sniðmát til að skilgreina uppbyggingu og innihald flæðisskráa, sem býður upp á sveigjanleika til að taka á móti mismunandi gagnasviðum og samskiptasértækum upplýsingum.

~ Samvirkni: IPFIX er opinn staðall, sem tryggir samræmda flæðivöktunargetu á milli mismunandi netframleiðenda og tækja.

~ IPv6 stuðningur: IPFIX styður innbyggt IPv6, sem gerir það hentugt til að fylgjast með og greina umferð í IPv6 netkerfum.

~Aukið öryggi: IPFIX inniheldur öryggiseiginleika eins og Transport Layer Security (TLS) dulkóðun og eftirlit með heiðarleika skilaboða til að vernda trúnað og heilleika flæðigagna meðan á sendingu stendur.

IPFIX er víða studd af ýmsum netbúnaðarframleiðendum, sem gerir það að söluaðilahlutlausu og almennu vali fyrir netflæðiseftirlit.

 

Svo, hver er munurinn á NetFlow og IPFIX?

Einfalda svarið er að NetFlow er sérsniðin siðareglur Cisco sem kynnt var í kringum 1996 og IPFIX er bróðir þess sem er samþykktur af staðlastofnun.

Báðar samskiptareglur þjóna sama tilgangi: að gera netverkfræðingum og stjórnendum kleift að safna og greina IP umferðarflæði á netstigi. Cisco þróaði NetFlow þannig að rofar og beinar þess gætu gefið út þessar dýrmætu upplýsingar. Í ljósi yfirburða Cisco-búnaðar varð NetFlow fljótt að raunverulegur staðall fyrir netumferðargreiningu. Samt sem áður gerðu samkeppnisaðilar sér grein fyrir því að það var ekki góð hugmynd að nota sérsamskiptareglur sem stjórnað var af aðalkeppinauti sínum og þess vegna leiddi IETF tilraun til að staðla opna samskiptareglur fyrir umferðargreiningu, sem er IPFIX.

IPFIX er byggt á NetFlow útgáfu 9 og var upphaflega kynnt í kringum 2005 en tók nokkur ár að fá upptöku iðnaðarins. Á þessum tímapunkti eru samskiptareglurnar tvær í meginatriðum þær sömu og þó hugtakið NetFlow sé enn algengara eru flestar útfærslur (þó ekki allar) samhæfðar við IPFIX staðalinn.

Hér er tafla sem dregur saman muninn á NetFlow og IPFIX:

Hluti NetFlow IPFIX
Uppruni Sértækni þróuð af Cisco Staðlaðar samskiptareglur byggðar á NetFlow útgáfu 9
Stöðlun Cisco sértæk tækni Opinn staðall skilgreindur af IETF í RFC 7011
Sveigjanleiki Þróaðar útgáfur með sérstökum eiginleikum Meiri sveigjanleiki og samvirkni milli framleiðenda
Gagnasnið Pakkar í föstri stærð Sniðmátatengd nálgun fyrir sérhannaðar flæðiskráningarsnið
Stuðningur við sniðmát Ekki stutt Kvik sniðmát fyrir sveigjanlegt svæðisinnihald
Stuðningur söluaðila Fyrst og fremst Cisco tæki Víðtækur stuðningur á milli netframleiðenda
Stækkanleiki Takmörkuð aðlögun Innifaling sérsniðinna reita og umsóknarsértæk gögn
Bókunarmunur Cisco-sértæk afbrigði Innfæddur IPv6 stuðningur, auknir flæðiskráningarvalkostir
Öryggiseiginleikar Takmarkaðar öryggiseiginleikar Transport Layer Security (TLS) dulkóðun, heiðarleiki skilaboða

Vöktun netflæðiser söfnun, greining og eftirlit með umferð sem fer um tiltekið net eða nethluta. Markmiðin geta verið breytileg frá því að leysa vandamál tengd tengingum til að skipuleggja úthlutun bandbreiddar í framtíðinni. Flæðiseftirlit og pakkasýni geta jafnvel verið gagnleg til að bera kennsl á og lagfæra öryggisvandamál.

Flæðivöktun gefur netteymum góða hugmynd um hvernig net virkar, veitir innsýn í heildarnotkun, notkun forrita, hugsanlega flöskuhálsa, frávik sem geta gefið til kynna öryggisógnir og fleira. Það eru nokkrir mismunandi staðlar og snið notuð í netflæðiseftirliti, þar á meðal NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hver virkar á svolítið annan hátt, en allir eru aðgreindir frá portspeglun og djúpri pakkaskoðun að því leyti að þeir fanga ekki innihald hvers pakka sem fer yfir port eða í gegnum rofa. Hins vegar veitir flæðivöktun meiri upplýsingar en SNMP, sem er almennt takmörkuð við víðtæka tölfræði eins og heildar pakka- og bandbreiddarnotkun.

Netflæðisverkfæri borið saman

Eiginleiki NetFlow v5 NetFlow v9 sFlæði IPFIX
Opið eða einkaleyfi Eignaréttur Eignaréttur Opið Opið
Sýnishorn eða flæði byggt Aðallega flæði byggt; Sýnishorn er fáanlegt Aðallega flæði byggt; Sýnishorn er fáanlegt Sýnishorn Aðallega flæði byggt; Sýnishorn er fáanlegt
Upplýsingar teknar Lýsigögn og tölfræðilegar upplýsingar, þ.mt bæti flutt, tengiteljarar og svo framvegis Lýsigögn og tölfræðilegar upplýsingar, þ.mt bæti flutt, tengiteljarar og svo framvegis Heill pakkahausar, hleðsla pakka að hluta Lýsigögn og tölfræðilegar upplýsingar, þ.mt bæti flutt, tengiteljarar og svo framvegis
Vöktun á inn-/útgöngum Aðeins Ingress Ingress og Egress Ingress og Egress Ingress og Egress
Stuðningur við IPv6/VLAN/MPLS No

Pósttími: 18. mars 2024