Netflow a IPFix jsou technologie používané pro monitorování a analýzu toku sítě. Poskytují nahlédnutí do vzorců síťového provozu, pomáhají při optimalizaci výkonu, řešení problémů a analýze zabezpečení.
Netflow:
Co je Netflow?
Netflowje původní řešení monitorování toku, původně vyvinuté společností Cisco na konci 90. let. Existuje několik různých verzí, ale většina nasazení je založena na Netflow V5 nebo Netflow V9. Zatímco každá verze má různé schopnosti, základní operace zůstává stejná:
Nejprve router, přepínač, firewall nebo jiný typ zařízení zachytí informace o síťové „toky“ - v podstatě sada paketů, které sdílejí společnou sadu charakteristik, jako je zdroj a cílová adresa, zdroj a cílový port a typ protokolu. Poté, co tok prošel spící nebo uplynulo předdefinované množství času, zařízení exportuje záznamy toku do entity známé jako „sběratel toku“.
Konečně, „tok analyzátor“ má smysl pro tyto záznamy a poskytuje poznatky ve formě vizualizace, statistik a podrobných historických a v reálném čase. V praxi jsou sběratelé a analyzátory často jedinou entitou, často kombinovaným do většího řešení monitorování výkonu sítě.
Netflow funguje na základě stavu. Když klientský počítač natáhne server, Netflow začne zachytit a agregovat metadata z toku. Po ukončení relace bude Netflow exportovat jeden kompletní záznam kolektoru.
Ačkoli se stále běžně používá, Netflow V5 má řadu omezení. Exportovaná pole jsou pevná, monitorování je podporováno pouze ve směru vstupu a moderní technologie jako IPv6, MPLS a VXLAN nejsou podporovány. Netflow V9, také označený jako flexibilní Netflow (FNF), řeší některá z těchto omezení a umožňuje uživatelům vytvářet vlastní šablony a přidávat podporu pro novější technologie.
Mnoho prodejců má také vlastní vlastnické implementace Netflow, jako je JFlow z Juniper a Netstream z Huawei. Ačkoli se tato konfigurace může poněkud lišit, tyto implementace často vytvářejí záznamy toku, které jsou kompatibilní s sběrateli a analyzátory Netflow.
Klíčové vlastnosti Netflow:
~ Data toku: NetFlow generuje záznamy toku, které obsahují podrobnosti, jako jsou zdrojové a cílové IP adresy, porty, časová razítka, počet paketů a bajtů a typy protokolu.
~ Monitorování provozu: Netflow poskytuje viditelnost do vzorců síťového provozu, což umožňuje administrátorům identifikovat nejlepší aplikace, koncové body a zdroje provozu.
~Detekce anomálie: Analýzou dat toku může Netflow detekovat anomálie, jako je nadměrné využití šířky pásma, přetížení sítě nebo neobvyklé vzorce provozu.
~ Analýza bezpečnosti: Netflow lze použít k detekci a zkoumání bezpečnostních incidentů, jako jsou útoky distribuovaných popření (DDOS) nebo neautorizované pokusy o přístup.
Netflow verze: Netflow se v průběhu času vyvinul a byly vydány různé verze. Některé pozoruhodné verze zahrnují Netflow V5, Netflow V9 a flexibilní Netflow. Každá verze zavádí vylepšení a další schopnosti.
IPFix:
Co je IPFix?
Standard IETF, který se objevil na začátku roku 2000, je informace o toku internetového protokolu (IPFIX) extrémně podobný Netflow. Ve skutečnosti Netflow V9 sloužil jako základ pro IPFix. Primární rozdíl mezi nimi je, že IPFIX je otevřený standard a mnoho dodavatelů sítí je podporováno mimo Cisco. S výjimkou několika dalších polí přidaných v IPFIX jsou formáty jinak téměř identické. Ve skutečnosti je IPFIX někdy dokonce označován jako „Netflow V10“.
Vzhledem k tomu, že IPFIX má částečně své podobnosti s Netflow, má širokou podporu mezi řešeními pro monitorování sítě a síťovým zařízením.
IPFIX (Internetový protokol Informace o toku exportu) je otevřený standardní protokol vyvinutý společností Internet Engineering Task Force (IETF). Je založen na specifikaci Netflow verze 9 a poskytuje standardizovaný formát pro export záznamů toku ze síťových zařízení.
IPFIX staví na koncepcích Netflow a rozšiřuje je tak, aby nabízí větší flexibilitu a interoperabilitu u různých dodavatelů a zařízení. Představuje koncept šablon, což umožňuje dynamickou definici struktury a obsahu záznamů toku. To umožňuje zahrnutí vlastních polí, podporu nových protokolů a rozšiřitelnost.
Klíčové vlastnosti IPFIX:
~ Přístup založený na šabloně: IPFIX používá šablony k definování struktury a obsahu záznamů toku a nabízí flexibilitu při přizpůsobování různých datových polí a informací o specifickém pro protokol.
~ Interoperabilita: IPFix je otevřený standard a zajišťuje konzistentní schopnosti monitorování toku napříč různými dodavateli a zařízeními v síti.
~ Podpora IPv6: IPFix nativně podporuje IPv6, takže je vhodný pro monitorování a analýzu provozu v sítích IPv6.
~Vylepšená bezpečnost: IPFix zahrnuje bezpečnostní funkce, jako je zabezpečení transportní vrstvy (TLS) šifrování a kontroly integrity zpráv, aby se chránila důvěrnost a integritu dat toku během přenosu.
IPFIX je široce podporován různými dodavateli síťových zařízení, což z něj činí prodejce neutrální a široce přijatý výběr pro monitorování toku sítě.
Jaký je tedy rozdíl mezi Netflow a IPFix?
Jednoduchá odpověď je, že NetFlow je proprietární protokol Cisco zavedený kolem roku 1996 a IPFix je jeho standardní body schválený bratr.
Obě protokoly slouží stejnému účelu: umožňují síťovým inženýrům a administrátorům shromažďovat a analyzovat toky IP na úrovni sítě. Společnost Cisco vyvinula Netflow, aby jeho přepínače a směrovače mohly tyto cenné informace vydat. Vzhledem k dominanci zařízení Cisco se Netflow rychle stal de-facto standardem pro analýzu síťového provozu. Konkurenti v oboru si však uvědomili, že použití proprietárního protokolu ovládaného jeho hlavním soupeřem nebylo dobrý nápad, a proto IETF vedl úsilí standardizovat otevřený protokol pro analýzu provozu, který je IPFix.
IPFIX je založena na Netflow verzi 9 a byl původně představen kolem roku 2005, ale trvalo několik let, než získal přijetí průmyslu. V tomto okamžiku jsou tyto dva protokoly v podstatě stejné a ačkoli termín netflow je stále častější, většina implementací (i když ne všechny) jsou kompatibilní se standardem IPFIX.
Zde je tabulka shrnující rozdíly mezi Netflow a IPFix:
| Aspekt | Netflow | IPFix |
|---|---|---|
| Původ | Proprietární technologie vyvinutá společností Cisco | Průmyslový standard protokol založený na verzi Netflow verze 9 |
| Standardizace | Technologie specifická pro Cisco | Otevřený standard definovaný IETF v RFC 7011 |
| Flexibilita | Vyvinuté verze se specifickými funkcemi | Větší flexibilita a interoperabilita napříč prodejci |
| Formát dat | Pakety pevné velikosti | Přístup založený na šabloně pro přizpůsobitelné formáty záznamu toku |
| Podpora šablony | Není podporováno | Dynamické šablony pro flexibilní zahrnutí pole |
| Podpora dodavatele | Primárně zařízení Cisco | Široká podpora napříč prodejci sítí |
| Rozšiřitelnost | Omezené přizpůsobení | Zahrnutí vlastních polí a dat specifických pro aplikaci |
| Rozdíly v protokolu | Varianty specifické pro Cisco | Nativní podpora IPv6, možnosti vylepšeného záznamu toku |
| Bezpečnostní funkce | Omezené bezpečnostní funkce | Šifrování přenosové vrstvy (TLS), integrita zpráv |
Monitorování toku sítěje sběr, analýza a monitorování procházejícího provozu v daném síťovém nebo síťovém segmentu. Cíle se mohou lišit od odstraňování problémů s připojením k plánování budoucí přidělení šířky pásma. Monitorování toku a vzorkování paketů mohou být dokonce užitečné při identifikaci a nápravě bezpečnostních problémů.
Monitorování toku dává sítím sítí dobrou představu o tom, jak síť funguje, a poskytuje informace o celkovém využití, využití aplikací, potenciálním problémům, anomáliím, které mohou signalizovat bezpečnostní hrozby a další. Při monitorování toku toku sítě se používá několik různých standardů a formátů, včetně vývozu informací o toku toku Netflow, SFLOW a internetového protokolu (IPFIX). Každý z nich pracuje poněkud odlišným způsobem, ale všechny se liší od zrcadlení portů a inspekce hlubokého paketu v tom, že nezachycuje obsah každého paketu procházejícího přes port nebo přes spínač. Monitorování toku však poskytuje více informací než SNMP, která je obecně omezena na široké statistiky, jako je celkové použití paketu a šířky pásma.
Srovnávací nástroje toku sítě
| Funkce | Netflow V5 | Netflow V9 | sflow | IPFix |
| Otevřené nebo proprietární | Proprietární | Proprietární | OTEVŘENO | OTEVŘENO |
| Vzorkované nebo založené na toku | Primárně založené na toku; Režim vzorkovaného je k dispozici | Primárně založené na toku; Režim vzorkovaného je k dispozici | Vzorkované | Primárně založené na toku; Režim vzorkovaného je k dispozici |
| Zachycené informace | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. | Kompletní záhlaví paketů, užitečná zatížení částečných paketů | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. |
| Ingress/Egress Monitoring | Pouze vstup | Vstup a výstup | Vstup a výstup | Vstup a výstup |
| Podpora IPv6/VLAN/MPLS | No | Ano | Ano | Ano |
Čas příspěvku: Mar-18-2024
