NetFlow og IPFIX er begge teknologier, der bruges til netværksflowovervågning og -analyse. De giver indsigt i netværkstrafikmønstre, hjælper med ydeevneoptimering, fejlfinding og sikkerhedsanalyse.
NetFlow:
Hvad er NetFlow?
NetFlower den originale flowovervågningsløsning, oprindeligt udviklet af Cisco i slutningen af 1990'erne. Der findes flere forskellige versioner, men de fleste implementeringer er baseret på enten NetFlow v5 eller NetFlow v9. Mens hver version har forskellige muligheder, forbliver den grundlæggende betjening den samme:
For det første vil en router, switch, firewall eller en anden type enhed fange information om netværkets "flows" - dybest set et sæt pakker, der deler et fælles sæt karakteristika som kilde- og destinationsadresse, kilde og destinationsport og protokol type. Efter at et flow er gået i dvale, eller der er gået et foruddefineret tidsrum, eksporterer enheden flowregistreringerne til en enhed kendt som en "flowopsamler".
Endelig giver en "flowanalysator" mening med disse optegnelser og giver indsigt i form af visualiseringer, statistikker og detaljeret historisk og realtidsrapportering. I praksis er samlere og analysatorer ofte en enkelt enhed, ofte kombineret til en større netværksydelsesovervågningsløsning.
NetFlow fungerer på et statsligt grundlag. Når en klientmaskine når ud til en server, begynder NetFlow at fange og aggregere metadata fra flowet. Efter sessionen er afsluttet, eksporterer NetFlow en enkelt komplet post til samleren.
Selvom det stadig er almindeligt brugt, har NetFlow v5 en række begrænsninger. De eksporterede felter er faste, overvågning understøttes kun i indgangsretningen, og moderne teknologier som IPv6, MPLS og VXLAN understøttes ikke. NetFlow v9, også mærket som Flexible NetFlow (FNF), adresserer nogle af disse begrænsninger, hvilket giver brugerne mulighed for at bygge brugerdefinerede skabeloner og tilføje understøttelse af nyere teknologier.
Mange leverandører har også deres egne proprietære implementeringer af NetFlow, såsom jFlow fra Juniper og NetStream fra Huawei. Selvom konfigurationen kan variere noget, producerer disse implementeringer ofte flowregistreringer, der er kompatible med NetFlow-samlere og -analysatorer.
Nøglefunktioner i NetFlow:
~ Flow data: NetFlow genererer flowregistreringer, der inkluderer detaljer såsom kilde- og destinations-IP-adresser, porte, tidsstempler, pakke- og bytetællinger og protokoltyper.
~ Trafikovervågning: NetFlow giver synlighed i netværkstrafikmønstre, hvilket giver administratorer mulighed for at identificere topapplikationer, slutpunkter og trafikkilder.
~Anomali detektion: Ved at analysere flowdata kan NetFlow registrere uregelmæssigheder såsom overdreven båndbreddeudnyttelse, netværksoverbelastning eller usædvanlige trafikmønstre.
~ Sikkerhedsanalyse: NetFlow kan bruges til at opdage og undersøge sikkerhedshændelser, såsom distribuerede denial-of-service (DDoS)-angreb eller uautoriserede adgangsforsøg.
NetFlow-versioner: NetFlow har udviklet sig over tid, og forskellige versioner er blevet frigivet. Nogle bemærkelsesværdige versioner inkluderer NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver version introducerer forbedringer og yderligere muligheder.
IPFIX:
Hvad er IPFIX?
En IETF-standard, der dukkede op i begyndelsen af 2000'erne, Internet Protocol Flow Information Export (IPFIX) ligner meget NetFlow. Faktisk fungerede NetFlow v9 som grundlaget for IPFIX. Den primære forskel mellem de to er, at IPFIX er en åben standard og understøttes af mange netværksleverandører bortset fra Cisco. Med undtagelse af nogle få ekstra felter tilføjet i IPFIX, er formaterne ellers næsten identiske. Faktisk bliver IPFIX nogle gange endda omtalt som "NetFlow v10".
Til dels på grund af dets ligheder med NetFlow, nyder IPFIX bred støtte blandt netværksovervågningsløsninger såvel som netværksudstyr.
IPFIX (Internet Protocol Flow Information Export) er en åben standardprotokol udviklet af Internet Engineering Task Force (IETF). Den er baseret på NetFlow Version 9-specifikationen og giver et standardiseret format til eksport af flowregistreringer fra netværksenheder.
IPFIX bygger på koncepterne fra NetFlow og udvider dem til at tilbyde mere fleksibilitet og interoperabilitet på tværs af forskellige leverandører og enheder. Den introducerer begrebet skabeloner, hvilket giver mulighed for dynamisk definition af flowpoststruktur og indhold. Dette muliggør inkludering af brugerdefinerede felter, understøttelse af nye protokoller og udvidelsesmuligheder.
Nøglefunktioner i IPFIX:
~ Skabelonbaseret tilgang: IPFIX bruger skabeloner til at definere strukturen og indholdet af flowregistreringer, hvilket giver fleksibilitet til at rumme forskellige datafelter og protokolspecifik information.
~ Interoperabilitet: IPFIX er en åben standard, der sikrer ensartede flowovervågningsfunktioner på tværs af forskellige netværksleverandører og -enheder.
~ IPv6 support: IPFIX understøtter naturligt IPv6, hvilket gør den velegnet til overvågning og analyse af trafik i IPv6-netværk.
~Forbedret sikkerhed: IPFIX inkluderer sikkerhedsfunktioner såsom Transport Layer Security (TLS)-kryptering og meddelelsesintegritetstjek for at beskytte fortroligheden og integriteten af flowdata under transmission.
IPFIX er bredt understøttet af forskellige leverandører af netværksudstyr, hvilket gør det til et leverandørneutralt og bredt anvendt valg til netværksflowovervågning.
Så hvad er forskellen mellem NetFlow og IPFIX?
Det enkle svar er, at NetFlow er en proprietær Cisco-protokol, der blev introduceret omkring 1996, og IPFIX er dens standardorgan godkendte bror.
Begge protokoller tjener det samme formål: at gøre det muligt for netværksingeniører og administratorer at indsamle og analysere IP-trafikstrømme på netværksniveau. Cisco udviklede NetFlow, så dets switche og routere kunne udsende denne værdifulde information. I betragtning af Cisco-udstyrets dominans blev NetFlow hurtigt den de-facto standard for netværkstrafikanalyse. Imidlertid indså industriens konkurrenter, at det ikke var en god idé at bruge en proprietær protokol, der kontrolleres af dens største rival, og derfor førte IETF et forsøg på at standardisere en åben protokol til trafikanalyse, som er IPFIX.
IPFIX er baseret på NetFlow version 9 og blev oprindeligt introduceret omkring 2005, men det tog nogle år at få industriens adoption. På dette tidspunkt er de to protokoller stort set de samme, og selvom udtrykket NetFlow stadig er mere udbredt, er de fleste implementeringer (dog ikke alle) kompatible med IPFIX-standarden.
Her er en tabel, der opsummerer forskellene mellem NetFlow og IPFIX:
Aspekt | NetFlow | IPFIX |
---|---|---|
Oprindelse | Proprietær teknologi udviklet af Cisco | Industristandardprotokol baseret på NetFlow Version 9 |
Standardisering | Cisco-specifik teknologi | Åben standard defineret af IETF i RFC 7011 |
Fleksibilitet | Udviklede versioner med specifikke funktioner | Større fleksibilitet og interoperabilitet på tværs af leverandører |
Dataformat | Pakker i fast størrelse | Skabelonbaseret tilgang til brugerdefinerbare flowregistreringsformater |
Skabelon support | Ikke understøttet | Dynamiske skabeloner til fleksibel feltinkludering |
Leverandørsupport | Primært Cisco-enheder | Bred support på tværs af netværksleverandører |
Udvidelsesmuligheder | Begrænset tilpasning | Inkludering af brugerdefinerede felter og applikationsspecifikke data |
Protokol forskelle | Cisco-specifikke variationer | Native IPv6-understøttelse, forbedrede flowregistreringsmuligheder |
Sikkerhedsfunktioner | Begrænsede sikkerhedsfunktioner | Transport Layer Security (TLS) kryptering, meddelelsesintegritet |
Netværksflowovervågninger indsamling, analyse og overvågning af trafik, der krydser et givet netværk eller netværkssegment. Målene kan variere fra fejlfinding af forbindelsesproblemer til planlægning af fremtidig båndbreddeallokering. Flowovervågning og pakkesampling kan endda være nyttig til at identificere og afhjælpe sikkerhedsproblemer.
Flowovervågning giver netværksteams en god idé om, hvordan et netværk fungerer, og giver indsigt i overordnet brug, anvendelse af applikationer, potentielle flaskehalse, uregelmæssigheder, der kan signalere sikkerhedstrusler og meget mere. Der er flere forskellige standarder og formater, der bruges til overvågning af netværksflow, herunder NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hver fungerer på en lidt anderledes måde, men alle adskiller sig fra portspejling og dyb pakkeinspektion ved, at de ikke fanger indholdet af hver pakke, der passerer over en port eller gennem en switch. Flowovervågning giver dog mere information end SNMP, som generelt er begrænset til brede statistikker som overordnet pakke- og båndbreddebrug.
Netværksflowværktøjer sammenlignet
Feature | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Åben eller proprietær | Proprietær | Proprietær | Åben | Åben |
Samplet eller flowbaseret | Primært flowbaseret; Samplet tilstand er tilgængelig | Primært flowbaseret; Samplet tilstand er tilgængelig | Samplet | Primært flowbaseret; Samplet tilstand er tilgængelig |
Opfanget information | Metadata og statistisk information, herunder overførte bytes, grænsefladetællere og så videre | Metadata og statistisk information, herunder overførte bytes, grænsefladetællere og så videre | Komplette pakkeoverskrifter, delvise pakkenyttelaster | Metadata og statistisk information, herunder overførte bytes, grænsefladetællere og så videre |
Indgangs-/udgangsovervågning | Kun indgang | Indgang og udgang | Indgang og udgang | Indgang og udgang |
IPv6/VLAN/MPLS-understøttelse | No | Ja | Ja | Ja |
Post tid: Mar-18-2024