NetFlow a IPFIX jsou obě technologie používané pro monitorování a analýzu síťového toku. Poskytují přehled o vzorcích síťového provozu, pomáhají při optimalizaci výkonu, odstraňování problémů a analýze zabezpečení.
NetFlow:
Co je NetFlow?
NetFlowje originální řešení pro monitorování toku, původně vyvinuté společností Cisco na konci 90. let. Existuje několik různých verzí, ale většina nasazení je založena buď na NetFlow v5 nebo NetFlow v9. I když má každá verze jiné možnosti, základní operace zůstává stejná:
Za prvé, směrovač, přepínač, firewall nebo jiný typ zařízení zachytí informace o „tocích“ sítě – v podstatě soubor paketů, které sdílejí společnou sadu charakteristik, jako je zdrojová a cílová adresa, zdrojový a cílový port a protokol. typ. Poté, co tok přejde do nečinnosti nebo uplyne předem definovaná doba, zařízení exportuje záznamy toku do entity známé jako „kolektor toku“.
A konečně, „analyzátor toku“ dává těmto záznamům smysl a poskytuje pohledy ve formě vizualizací, statistik a podrobných historických zpráv a zpráv v reálném čase. V praxi jsou kolektory a analyzátory často jedinou entitou, často kombinovanou do většího řešení monitorování výkonu sítě.
NetFlow funguje na stavové bázi. Když se klientský počítač dostane k serveru, NetFlow začne zachycovat a agregovat metadata z toku. Po ukončení relace NetFlow exportuje jeden kompletní záznam do kolektoru.
Ačkoli se NetFlow v5 stále běžně používá, má řadu omezení. Exportovaná pole jsou pevná, monitorování je podporováno pouze ve směru vstupu a moderní technologie jako IPv6, MPLS a VXLAN nejsou podporovány. NetFlow v9, také označovaný jako Flexible NetFlow (FNF), řeší některá z těchto omezení, umožňuje uživatelům vytvářet vlastní šablony a přidávat podporu pro novější technologie.
Mnoho prodejců má také své vlastní proprietární implementace NetFlow, jako je jFlow od Juniper a NetStream od Huawei. Přestože se konfigurace může poněkud lišit, tyto implementace často vytvářejí záznamy toku, které jsou kompatibilní s kolektory a analyzátory NetFlow.
Klíčové vlastnosti NetFlow:
~ Data toku: NetFlow generuje záznamy toku, které obsahují podrobnosti, jako jsou zdrojové a cílové IP adresy, porty, časová razítka, počty paketů a bajtů a typy protokolů.
~ Sledování provozu: NetFlow poskytuje přehled o vzorcích síťového provozu a umožňuje správcům identifikovat nejlepší aplikace, koncové body a zdroje provozu.
~Detekce anomálií: Analýzou dat toku může NetFlow detekovat anomálie, jako je nadměrné využití šířky pásma, přetížení sítě nebo neobvyklé vzorce provozu.
~ Bezpečnostní analýza: NetFlow lze použít k detekci a vyšetřování bezpečnostních incidentů, jako jsou distribuované útoky typu denial-of-service (DDoS) nebo pokusy o neoprávněný přístup.
Verze NetFlow: NetFlow se postupem času vyvíjel a byly vydány různé verze. Některé pozoruhodné verze zahrnují NetFlow v5, NetFlow v9 a Flexible NetFlow. Každá verze přináší vylepšení a další možnosti.
IPFIX:
Co je IPFIX?
Standard IETF, který se objevil na počátku roku 2000, Internet Protocol Flow Information Export (IPFIX) je extrémně podobný NetFlow. Ve skutečnosti NetFlow v9 sloužil jako základ pro IPFIX. Primární rozdíl mezi těmito dvěma je v tom, že IPFIX je otevřený standard a kromě Cisco jej podporuje mnoho síťových prodejců. S výjimkou několika dalších polí přidaných v IPFIX jsou formáty jinak téměř totožné. Ve skutečnosti je IPFIX někdy dokonce označován jako „NetFlow v10“.
Částečně díky své podobnosti s NetFlow se IPFIX těší široké podpoře mezi řešeními pro monitorování sítě i síťovým vybavením.
IPFIX (Internet Protocol Flow Information Export) je otevřený standardní protokol vyvinutý organizací Internet Engineering Task Force (IETF). Je založen na specifikaci NetFlow verze 9 a poskytuje standardizovaný formát pro export záznamů toku ze síťových zařízení.
IPFIX staví na konceptech NetFlow a rozšiřuje je, aby nabídl větší flexibilitu a interoperabilitu napříč různými dodavateli a zařízeními. Zavádí koncept šablon, umožňujících dynamickou definici struktury a obsahu záznamů toku. To umožňuje zahrnutí vlastních polí, podporu nových protokolů a rozšiřitelnost.
Klíčové vlastnosti IPFIX:
~ Přístup založený na šablonách: IPFIX používá šablony k definování struktury a obsahu záznamů toku, což nabízí flexibilitu při přizpůsobení se různým datovým polím a informacím specifickým pro protokol.
~ Interoperabilita: IPFIX je otevřený standard, který zajišťuje konzistentní možnosti monitorování toku napříč různými síťovými prodejci a zařízeními.
~ Podpora IPv6: IPFIX nativně podporuje IPv6, takže je vhodný pro monitorování a analýzu provozu v sítích IPv6.
~Vylepšené zabezpečení: IPFIX obsahuje bezpečnostní funkce, jako je šifrování Transport Layer Security (TLS) a kontroly integrity zpráv, které chrání důvěrnost a integritu tokových dat během přenosu.
IPFIX je široce podporován různými dodavateli síťových zařízení, což z něj činí nezávislou a široce přijímanou volbu pro monitorování síťového toku.
Jaký je tedy rozdíl mezi NetFlow a IPFIX?
Jednoduchá odpověď je, že NetFlow je proprietární protokol společnosti Cisco představený kolem roku 1996 a IPFIX je jeho standardním bratrem schváleným orgánem.
Oba protokoly slouží stejnému účelu: umožňují síťovým inženýrům a správcům shromažďovat a analyzovat toky provozu IP na úrovni sítě. Společnost Cisco vyvinula NetFlow, aby její přepínače a směrovače mohly vydávat tyto cenné informace. Vzhledem k dominanci zařízení Cisco se NetFlow rychle stal de facto standardem pro analýzu síťového provozu. Konkurenti v oboru si však uvědomili, že použití proprietárního protokolu kontrolovaného jeho hlavním rivalem nebyl dobrý nápad, a proto IETF vedla úsilí o standardizaci otevřeného protokolu pro analýzu provozu, kterým je IPFIX.
IPFIX je založen na NetFlow verze 9 a byl původně představen kolem roku 2005, ale trvalo několik let, než získal průmyslové přijetí. V tomto bodě jsou oba protokoly v podstatě stejné a ačkoli termín NetFlow stále převládá, většina implementací (i když ne všechny) je kompatibilní se standardem IPFIX.
Zde je tabulka shrnující rozdíly mezi NetFlow a IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Původ | Patentovaná technologie vyvinutá společností Cisco | Standardní protokol založený na NetFlow verze 9 |
| Standardizace | Technologie specifická pro Cisco | Otevřený standard definovaný IETF v RFC 7011 |
| Flexibilita | Vyspělé verze se specifickými funkcemi | Větší flexibilita a interoperabilita napříč dodavateli |
| Formát dat | Pakety s pevnou velikostí | Přístup založený na šablonách pro přizpůsobitelné formáty záznamů toku |
| Podpora šablon | Není podporováno | Dynamické šablony pro flexibilní zahrnutí polí |
| Podpora dodavatele | Především zařízení Cisco | Široká podpora napříč síťovými prodejci |
| Rozšiřitelnost | Omezené přizpůsobení | Zahrnutí vlastních polí a dat specifických pro aplikaci |
| Rozdíly protokolu | Variace specifické pro Cisco | Nativní podpora IPv6, rozšířené možnosti záznamu toku |
| Bezpečnostní funkce | Omezené bezpečnostní funkce | Šifrování Transport Layer Security (TLS), integrita zpráv |
Sledování toku sítěje shromažďování, analýza a sledování provozu procházejícího danou sítí nebo segmentem sítě. Cíle se mohou lišit od řešení problémů s konektivitou až po plánování budoucí alokace šířky pásma. Monitorování toku a vzorkování paketů může být užitečné i při identifikaci a nápravě bezpečnostních problémů.
Monitorování toků poskytuje síťovým týmům dobrou představu o tom, jak síť funguje, poskytuje přehled o celkovém využití, využití aplikací, potenciálních úzkých hrdlech, anomáliích, které mohou signalizovat bezpečnostní hrozby, a další. V monitorování síťového toku se používá několik různých standardů a formátů, včetně NetFlow, sFlow a Internet Protocol Flow Information Export (IPFIX). Každý funguje trochu jiným způsobem, ale všechny se liší od zrcadlení portů a hloubkové kontroly paketů v tom, že nezachycují obsah každého paketu procházejícího přes port nebo přepínač. Monitorování toku však poskytuje více informací než SNMP, které je obecně omezeno na široké statistiky, jako je celkové využití paketů a šířky pásma.
Porovnání nástrojů síťového toku
| Funkce | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otevřené nebo proprietární | Proprietární | Proprietární | OTEVŘENO | OTEVŘENO |
| Na základě vzorku nebo průtoku | Primárně založeno na toku; K dispozici je režim vzorkování | Primárně založeno na toku; K dispozici je režim vzorkování | Vzorek | Primárně založeno na toku; K dispozici je režim vzorkování |
| Informace zachyceny | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní a tak dále | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní a tak dále | Kompletní záhlaví paketů, částečné zatížení paketů | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní a tak dále |
| Monitorování vstupu/výstupu | Pouze Ingress | Vstup a výstup | Vstup a výstup | Vstup a výstup |
| Podpora IPv6/VLAN/MPLS | No | Ano | Ano | Ano |
Čas odeslání: 18. března 2024
