NetFlow og IPFIX eru báðar tækni sem notaðar eru til að fylgjast með og greina netflæði. Þær veita innsýn í netumferðarmynstur, sem hjálpar til við afköstabestun, bilanaleit og öryggisgreiningu.
NetFlow:
Hvað er NetFlow?
NetFlower upprunalega lausnin fyrir flæðiseftirlit, upphaflega þróuð af Cisco seint á tíunda áratugnum. Nokkrar mismunandi útgáfur eru til, en flestar uppsetningar eru byggðar á annað hvort NetFlow v5 eða NetFlow v9. Þó að hver útgáfa hafi mismunandi eiginleika, er grunnaðgerðin sú sama:
Í fyrsta lagi mun leið, rofi, eldveggur eða önnur gerð tækis safna upplýsingum um „flæði“ netsins – í grundvallaratriðum safn pakka sem deila sameiginlegum eiginleikum eins og uppruna- og áfangastað, uppruna- og áfangastaðsgátt og samskiptareglugerð. Eftir að flæði hefur farið í dvala eða fyrirfram skilgreindur tími er liðinn, mun tækið flytja flæðisfærslurnar út til aðila sem kallast „flæðissafnari“.
Að lokum greinir „flæðisgreinir“ þessar skrár og veitir innsýn í formi sjónrænna framsetninga, tölfræði og ítarlegrar sögulegrar skýrslugerðar og rauntímaskýrslugerðar. Í reynd eru safnarar og greiningartæki oft ein heild, oft sameinuð í stærri lausn fyrir eftirlit með netafköstum.
NetFlow starfar á stöðubundnum grunni. Þegar biðlaravél hefur samband við netþjón byrjar NetFlow að safna og safna lýsigögnum úr flæðinu. Eftir að fundinum lýkur flytur NetFlow út eina heildarfærslu til safnarans.
Þótt NetFlow v5 sé enn almennt notað hefur það fjölda takmarkana. Reitirnir sem eru fluttir út eru fastir, eftirlit er aðeins stutt í inntaksátt og nútíma tækni eins og IPv6, MPLS og VXLAN eru ekki studd. NetFlow v9, einnig þekkt sem Flexible NetFlow (FNF), tekur á sumum af þessum takmörkunum og gerir notendum kleift að búa til sérsniðin sniðmát og bæta við stuðningi fyrir nýrri tækni.
Margir framleiðendur bjóða einnig upp á sínar eigin sérútgáfur af NetFlow, eins og jFlow frá Juniper og NetStream frá Huawei. Þó að stillingarnar geti verið nokkuð mismunandi, þá framleiða þessar útfærslur oft flæðisskrár sem eru samhæfar við NetFlow safnara og greiningartæki.
Helstu eiginleikar NetFlow:
~ FlæðigögnNetFlow býr til flæðisfærslur sem innihalda upplýsingar eins og IP-tölur uppruna og áfangastaðar, tengi, tímastimpla, pakka- og bætitölu og gerðir samskiptareglna.
~ UmferðareftirlitNetFlow veitir innsýn í netumferðarmynstur, sem gerir kerfisstjórum kleift að bera kennsl á helstu forrit, endapunkta og umferðaruppsprettur.
~FráviksgreiningMeð því að greina flæðigögn getur NetFlow greint frávik eins og óhóflega bandvíddarnotkun, netþröng eða óvenjuleg umferðarmynstur.
~ ÖryggisgreiningHægt er að nota NetFlow til að greina og rannsaka öryggisatvik, svo sem dreifðar þjónustuneitunarárásir (DDoS) eða óheimilar aðgangstilraunir.
NetFlow útgáfurNetFlow hefur þróast með tímanum og mismunandi útgáfur hafa verið gefnar út. Meðal þekktustu útgáfunnar eru NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver útgáfa kynnir úrbætur og viðbótarmöguleika.
IPFIX:
Hvað er IPFIX?
Internet Protocol Flow Information Export (IPFIX), IETF staðall sem kom fram snemma á fyrsta áratug 21. aldar, er mjög líkur NetFlow. Reyndar var NetFlow v9 grunnurinn að IPFIX. Helsti munurinn á þessum tveimur er að IPFIX er opinn staðall og er studdur af mörgum netframleiðendum fyrir utan Cisco. Fyrir utan nokkra viðbótarreiti sem bætt hefur verið við í IPFIX eru sniðin að öðru leyti nánast eins. Reyndar er IPFIX stundum jafnvel kallað „NetFlow v10“.
Að hluta til vegna líktleika við NetFlow nýtur IPFIX mikils stuðnings meðal netvöktunarlausna sem og netbúnaðar.
IPFIX (Internet Protocol Flow Information Export) er opinn staðlaður samskiptareglubúnaður þróaður af Internet Engineering Task Force (IETF). Hann byggir á NetFlow útgáfu 9 forskriftinni og býður upp á staðlað snið fyrir útflutning flæðisskráa frá nettækjum.
IPFIX byggir á hugmyndafræði NetFlow og víkkar hana út til að bjóða upp á meiri sveigjanleika og samvirkni milli mismunandi framleiðenda og tækja. Það kynnir hugmyndina um sniðmát, sem gerir kleift að skilgreina uppbyggingu og innihald flæðisfærslna á breytilegan hátt. Þetta gerir kleift að taka með sérsniðna reiti, styðja nýjar samskiptareglur og auka möguleika.
Helstu eiginleikar IPFIX:
~ Sniðmátsbundin aðferðIPFIX notar sniðmát til að skilgreina uppbyggingu og innihald flæðisfærslna, sem býður upp á sveigjanleika í að koma til móts við mismunandi gagnareiti og upplýsingar sem eru sértækar fyrir samskiptareglur.
~ SamvirkniIPFIX er opinn staðall sem tryggir samræmda flæðiseftirlitsgetu á milli mismunandi netframleiðenda og tækja.
~ IPv6 stuðningurIPFIX styður IPv6 innfæddan, sem gerir það hentugt til að fylgjast með og greina umferð í IPv6 netum.
~Aukið öryggiIPFIX inniheldur öryggiseiginleika eins og dulkóðun með flutningslagi (TLS) og athuganir á heilleika skilaboða til að vernda trúnað og heilleika flæðisgagna meðan á sendingu stendur.
IPFIX er víða stutt af ýmsum framleiðendum netbúnaðar, sem gerir það að hlutlausum valkosti fyrir eftirlit með netflæði.
Svo, hver er munurinn á NetFlow og IPFIX?
Einfalda svarið er að NetFlow er einkaleyfisbundin samskiptaregla frá Cisco sem kynnt var til sögunnar um 1996 og IPFIX er bróðir hennar sem er samþykktur af staðlastofnunum.
Báðar samskiptareglurnar þjóna sama tilgangi: að gera netverkfræðingum og stjórnendum kleift að safna og greina IP-umferðarflæði á netstigi. Cisco þróaði NetFlow svo að rofar og beinar þeirra gætu sent frá sér þessar verðmætu upplýsingar. Miðað við yfirburði Cisco-búnaðar varð NetFlow fljótt staðallinn fyrir greiningu á netumferð. Hins vegar gerðu keppinautar í greininni sér grein fyrir því að það væri ekki góð hugmynd að nota sérstakt samskiptareglu sem helsti keppinauturinn stjórnaði og því leiddi IETF viðleitni til að staðla opna samskiptareglu fyrir umferðargreiningu, sem er IPFIX.
IPFIX byggir á NetFlow útgáfu 9 og var upphaflega kynnt til sögunnar um árið 2005 en það tók nokkur ár að ná vinsældum í greininni. Á þessum tímapunkti eru samskiptareglurnar tvær í raun þær sömu og þó að hugtakið NetFlow sé enn algengara eru flestar útfærslur (þó ekki allar) samhæfar IPFIX staðlinum.
Hér er tafla sem dregur saman muninn á NetFlow og IPFIX:
| Þáttur | NetFlow | IPFIX |
|---|---|---|
| Uppruni | Sérhæfð tækni þróuð af Cisco | Staðlað samskiptareglur byggðar á NetFlow útgáfu 9 |
| Staðlun | Cisco-sértæk tækni | Opinn staðall skilgreindur af IETF í RFC 7011 |
| Sveigjanleiki | Þróaðar útgáfur með sérstökum eiginleikum | Meiri sveigjanleiki og samvirkni milli söluaðila |
| Gagnasnið | Pakkar með fastri stærð | Sniðmátbyggð aðferð fyrir sérsniðin snið flæðisskráa |
| Stuðningur við sniðmát | Ekki stutt | Kvik sniðmát fyrir sveigjanlega inntöku reita |
| Stuðningur við söluaðila | Aðallega Cisco tæki | Víðtækur stuðningur hjá netframleiðendum |
| Stækkanleiki | Takmörkuð sérstilling | Innifalið sérsniðnir reiti og forritasértæk gögn |
| Mismunur á samskiptareglum | Cisco-sértækar útgáfur | Innbyggður IPv6 stuðningur, bættir valkostir fyrir flæðisskráningu |
| Öryggiseiginleikar | Takmarkaðar öryggisaðgerðir | Dulkóðun flutningslagsöryggis (TLS), heilleiki skilaboða |
Eftirlit með netflæðier söfnun, greining og eftirlit með umferð sem fer um tiltekið net eða nethluta. Markmiðin geta verið allt frá því að leysa vandamál með tengingu til að skipuleggja framtíðarúthlutun bandbreiddar. Flæðiseftirlit og pakkasýnataka geta jafnvel verið gagnleg til að bera kennsl á og lagfæra öryggisvandamál.
Flæðiseftirlit gefur netteymum góða hugmynd um hvernig net starfar og veitir innsýn í heildarnýtingu, notkun forrita, hugsanlega flöskuhálsa, frávik sem geta bent til öryggisógna og fleira. Nokkrir mismunandi staðlar og snið eru notuð í flæðiseftirliti netsins, þar á meðal NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hvert og eitt þeirra virkar á aðeins annan hátt, en þau eru öll frábrugðin portspeglun og djúpri pakkaskoðun að því leyti að þau fanga ekki innihald allra pakka sem fara yfir port eða í gegnum rofa. Hins vegar veitir flæðiseftirlit meiri upplýsingar en SNMP, sem er almennt takmarkað við almenna tölfræði eins og heildarnotkun pakka og bandbreiddar.
Netflæðisverkfæri borin saman
| Eiginleiki | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Opið eða einkaleyfisbundið | Eiginfjárfestir | Eiginfjárfestir | Opið | Opið |
| Sýnishorn eða flæðisbundið | Aðallega flæðisbundið; úrtaksstilling er í boði | Aðallega flæðisbundið; úrtaksstilling er í boði | Úrtak | Aðallega flæðisbundið; úrtaksstilling er í boði |
| Upplýsingar teknar | Lýsigögn og tölfræðilegar upplýsingar, þar á meðal flutt bæti, tengiteljarar og svo framvegis | Lýsigögn og tölfræðilegar upplýsingar, þar á meðal flutt bæti, tengiteljarar og svo framvegis | Heilir pakkahausar, hlutapakkningar | Lýsigögn og tölfræðilegar upplýsingar, þar á meðal flutt bæti, tengiteljarar og svo framvegis |
| Eftirlit með inn-/útgöngu | Aðeins innkoma | Inngangur og útgangur | Inngangur og útgangur | Inngangur og útgangur |
| IPv6/VLAN/MPLS stuðningur | No | Já | Já | Já |
Birtingartími: 18. mars 2024
