NetFlow og IPFIX er begge teknologier, der bruges til overvågning og analyse af netværksflow. De giver indsigt i netværkstrafikmønstre, hvilket hjælper med ydeevneoptimering, fejlfinding og sikkerhedsanalyse.
NetFlow:
Hvad er NetFlow?
NetFlower den originale flowovervågningsløsning, oprindeligt udviklet af Cisco i slutningen af 1990'erne. Der findes flere forskellige versioner, men de fleste implementeringer er baseret på enten NetFlow v5 eller NetFlow v9. Selvom hver version har forskellige funktioner, forbliver den grundlæggende funktion den samme:
Først vil en router, switch, firewall eller en anden type enhed indsamle information om netværkets "flows" - dybest set et sæt pakker, der deler et fælles sæt af karakteristika som kilde- og destinationsadresse, kilde- og destinationsport samt protokoltype. Når et flow er gået i dvale, eller der er gået en foruddefineret tidsperiode, vil enheden eksportere flowposterne til en enhed kendt som en "flow collector".
Endelig giver en "flowanalysator" mening til disse poster og giver indsigt i form af visualiseringer, statistik og detaljeret historisk rapportering og rapportering i realtid. I praksis er indsamlere og analysatorer ofte én enhed, ofte kombineret i en større løsning til overvågning af netværksydelse.
NetFlow fungerer på en stateful basis. Når en klientmaskine opretter forbindelse til en server, begynder NetFlow at indsamle og aggregere metadata fra flowet. Når sessionen er afsluttet, eksporterer NetFlow en enkelt komplet post til indsamleren.
Selvom NetFlow v5 stadig er almindeligt anvendt, har den en række begrænsninger. De eksporterede felter er faste, overvågning understøttes kun i indgangsretningen, og moderne teknologier som IPv6, MPLS og VXLAN understøttes ikke. NetFlow v9, også kendt som Flexible NetFlow (FNF), adresserer nogle af disse begrænsninger og giver brugerne mulighed for at oprette brugerdefinerede skabeloner og tilføjer understøttelse af nyere teknologier.
Mange leverandører har også deres egne proprietære implementeringer af NetFlow, såsom jFlow fra Juniper og NetStream fra Huawei. Selvom konfigurationen kan variere noget, producerer disse implementeringer ofte flowposter, der er kompatible med NetFlow-indsamlere og -analysatorer.
Nøglefunktioner i NetFlow:
~ FlowdataNetFlow genererer flowposter, der indeholder detaljer såsom kilde- og destinations-IP-adresser, porte, tidsstempler, pakke- og byte-antal og protokoltyper.
~ TrafikovervågningNetFlow giver indsigt i netværkstrafikmønstre, hvilket giver administratorer mulighed for at identificere de vigtigste applikationer, slutpunkter og trafikkilder.
~AnomalidetektionVed at analysere flowdata kan NetFlow registrere uregelmæssigheder såsom overdreven båndbreddeudnyttelse, netværksbelastning eller usædvanlige trafikmønstre.
~ SikkerhedsanalyseNetFlow kan bruges til at opdage og undersøge sikkerhedshændelser, såsom distribuerede denial-of-service (DDoS)-angreb eller uautoriserede adgangsforsøg.
NetFlow-versionerNetFlow har udviklet sig over tid, og forskellige versioner er blevet udgivet. Nogle bemærkelsesværdige versioner inkluderer NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver version introducerer forbedringer og yderligere funktioner.
IPFIX:
Hvad er IPFIX?
Internet Protocol Flow Information Export (IPFIX), en IETF-standard, der opstod i begyndelsen af 2000'erne, minder meget om NetFlow. Faktisk var NetFlow v9 grundlaget for IPFIX. Den primære forskel mellem de to er, at IPFIX er en åben standard, der understøttes af mange netværksleverandører udover Cisco. Med undtagelse af et par ekstra felter tilføjet i IPFIX er formaterne ellers næsten identiske. Faktisk kaldes IPFIX undertiden endda for "NetFlow v10".
Delvist på grund af sine ligheder med NetFlow, nyder IPFIX bred støtte blandt netværksovervågningsløsninger såvel som netværksudstyr.
IPFIX (Internet Protocol Flow Information Export) er en åben standardprotokol udviklet af Internet Engineering Task Force (IETF). Den er baseret på NetFlow version 9-specifikationen og leverer et standardiseret format til eksport af flowposter fra netværksenheder.
IPFIX bygger videre på koncepterne i NetFlow og udvider dem for at tilbyde mere fleksibilitet og interoperabilitet på tværs af forskellige leverandører og enheder. Det introducerer skabelonkonceptet, der muliggør dynamisk definition af flowpoststruktur og -indhold. Dette muliggør inkludering af brugerdefinerede felter, understøttelse af nye protokoller og udvidelsesmuligheder.
Nøglefunktioner i IPFIX:
~ Skabelonbaseret tilgangIPFIX bruger skabeloner til at definere strukturen og indholdet af flowposter, hvilket giver fleksibilitet til at tilpasse sig forskellige datafelter og protokolspecifikke oplysninger.
~ InteroperabilitetIPFIX er en åben standard, der sikrer ensartede flowovervågningsfunktioner på tværs af forskellige netværksleverandører og enheder.
~ IPv6-understøttelseIPFIX understøtter IPv6 nativt, hvilket gør det velegnet til overvågning og analyse af trafik i IPv6-netværk.
~Forbedret sikkerhedIPFIX inkluderer sikkerhedsfunktioner såsom Transport Layer Security (TLS)-kryptering og meddelelsesintegritetskontrol for at beskytte fortroligheden og integriteten af flowdata under transmission.
IPFIX understøttes bredt af forskellige leverandører af netværksudstyr, hvilket gør det til et leverandørneutralt og bredt anvendt valg til overvågning af netværksflow.
Så hvad er forskellen mellem NetFlow og IPFIX?
Det enkle svar er, at NetFlow er en Cisco-proprietær protokol, der blev introduceret omkring 1996, og IPFIX er dens standardiseringsgodkendte bror.
Begge protokoller tjener samme formål: at gøre det muligt for netværksingeniører og administratorer at indsamle og analysere IP-trafikstrømme på netværksniveau. Cisco udviklede NetFlow, så deres switche og routere kunne udsende disse værdifulde oplysninger. I betragtning af Cisco-udstyrs dominans blev NetFlow hurtigt de facto-standarden for netværkstrafikanalyse. Konkurrenter i branchen indså imidlertid, at det ikke var en god idé at bruge en proprietær protokol kontrolleret af dens hovedrival, og derfor ledte IETF en indsats for at standardisere en åben protokol til trafikanalyse, som er IPFIX.
IPFIX er baseret på NetFlow version 9 og blev oprindeligt introduceret omkring 2005, men det tog nogle år at blive udbredt i industrien. På nuværende tidspunkt er de to protokoller stort set de samme, og selvom udtrykket NetFlow stadig er mere udbredt, er de fleste implementeringer (dog ikke alle) kompatible med IPFIX-standarden.
Her er en tabel, der opsummerer forskellene mellem NetFlow og IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Oprindelse | Proprietær teknologi udviklet af Cisco | Industristandardprotokol baseret på NetFlow version 9 |
| Standardisering | Cisco-specifik teknologi | Åben standard defineret af IETF i RFC 7011 |
| Fleksibilitet | Udviklede versioner med specifikke funktioner | Større fleksibilitet og interoperabilitet på tværs af leverandører |
| Dataformat | Pakker med fast størrelse | Skabelonbaseret tilgang til brugerdefinerede flowpostformater |
| Skabelonunderstøttelse | Ikke understøttet | Dynamiske skabeloner til fleksibel feltinkludering |
| Leverandørsupport | Primært Cisco-enheder | Bred support på tværs af netværksleverandører |
| Udvidelsesmuligheder | Begrænset tilpasning | Inkludering af brugerdefinerede felter og applikationsspecifikke data |
| Protokolforskelle | Cisco-specifikke variationer | Indbygget IPv6-understøttelse, forbedrede muligheder for flowoptagelse |
| Sikkerhedsfunktioner | Begrænsede sikkerhedsfunktioner | Transport Layer Security (TLS) kryptering, meddelelsesintegritet |
Netværksflowovervågninger indsamling, analyse og overvågning af trafik, der krydser et givet netværk eller netværkssegment. Målsætningerne kan variere fra fejlfinding af forbindelsesproblemer til planlægning af fremtidig båndbreddeallokering. Flowovervågning og pakkesampling kan endda være nyttige til at identificere og afhjælpe sikkerhedsproblemer.
Flowovervågning giver netværksteams en god idé om, hvordan et netværk fungerer, og giver indsigt i den samlede udnyttelse, applikationsbrug, potentielle flaskehalse, anomalier, der kan signalere sikkerhedstrusler og mere. Der findes flere forskellige standarder og formater, der bruges i netværksflowovervågning, herunder NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hver af dem fungerer på en lidt anden måde, men alle adskiller sig fra portspejling og dyb pakkeinspektion, idet de ikke registrerer indholdet af hver pakke, der passerer over en port eller gennem en switch. Flowovervågning giver dog mere information end SNMP, som generelt er begrænset til bred statistik som den samlede pakke- og båndbreddeforbrug.
Sammenligning af netværksflowværktøjer
| Funktion | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Åben eller proprietær | Proprietær | Proprietær | Åben | Åben |
| Samplet eller flowbaseret | Primært flowbaseret; samplet tilstand er tilgængelig | Primært flowbaseret; samplet tilstand er tilgængelig | Samplet | Primært flowbaseret; samplet tilstand er tilgængelig |
| Oplysninger indsamlet | Metadata og statistiske oplysninger, herunder overførte bytes, grænsefladetællere osv. | Metadata og statistiske oplysninger, herunder overførte bytes, grænsefladetællere osv. | Komplette pakkeoverskrifter, delvise pakkenyttelaster | Metadata og statistiske oplysninger, herunder overførte bytes, grænsefladetællere osv. |
| Overvågning af ind-/udgang | Kun indtrængen | Indgang og udgang | Indgang og udgang | Indgang og udgang |
| IPv6/VLAN/MPLS-understøttelse | No | Ja | Ja | Ja |
Opslagstidspunkt: 18. marts 2024
