NetFlow og IPFIX er begge teknologier, der bruges til netværksstrømningsovervågning og analyse. De giver indsigt i netværkstrafikmønstre, der hjælper med præstationsoptimering, fejlfinding og sikkerhedsanalyse.
Netflow:
Hvad er Netflow?
Netflower den originale flowovervågningsløsning, oprindeligt udviklet af Cisco i slutningen af 1990'erne. Der findes flere forskellige versioner, men de fleste implementeringer er baseret på enten Netflow V5 eller Netflow V9. Mens hver version har forskellige muligheder, forbliver den grundlæggende operation den samme:
Først vil en router, switch, firewall eller en anden type enhed fange information om netværket "flyder" - dybest set et sæt pakker, der deler et fælles sæt egenskaber som kilde- og destinationsadresse, kilde og destinationsport og protokoltype. Efter at en strøm er gået i dvale eller en foruddefineret tid er gået, eksporterer enheden flowregistret til en enhed, der er kendt som en "flowsamler".
Endelig giver en "flowanalysator" mening om disse poster, hvilket giver indsigt i form af visualiseringer, statistik og detaljerede historiske og realtidsrapportering. I praksis er samlere og analysatorer ofte en enkelt enhed, der ofte kombineres til en større overvågning af netværkspræstation.
Netflow opererer på et statligt grundlag. Når en klientmaskine når ud til en server, begynder NetFlow at fange og samle metadata fra strømmen. Når sessionen er afsluttet, eksporterer NetFlow en enkelt komplet rekord til samleren.
Selvom det stadig er almindeligt anvendt, har NetFlow V5 en række begrænsninger. De eksporterede felter er faste, overvågning understøttes kun i indtrængningsretningen, og moderne teknologier som IPv6, MPLS og VXLAN understøttes ikke. Netflow V9, også mærket som fleksibel NetFlow (FNF), adresserer nogle af disse begrænsninger, hvilket giver brugerne mulighed for at opbygge brugerdefinerede skabeloner og tilføje support til nyere teknologier.
Mange leverandører har også deres egne proprietære implementeringer af Netflow, såsom JFlow fra Juniper og Netstream fra Huawei. Selvom konfigurationen kan variere noget, producerer disse implementeringer ofte flowregistre, der er kompatible med NetFlow -samlere og analysatorer.
Nøglefunktioner i NetFlow:
~ Flowdata: NetFlow genererer flow -poster, der inkluderer detaljer såsom kilde- og destinations -IP -adresser, porte, tidsstempler, pakke- og byte -tællinger og protokoltyper.
~ Trafikovervågning: NetFlow giver synlighed i netværkstrafikmønstre, der giver administratorer mulighed for at identificere topapplikationer, slutpunkter og trafikkilder.
~Anomali -detektion: Ved at analysere flowdata kan NetFlow registrere afvigelser, såsom overdreven båndbreddeudnyttelse, netværksstopning eller usædvanlige trafikmønstre.
~ Sikkerhedsanalyse: NetFlow kan bruges til at opdage og undersøge sikkerhedshændelser, såsom distribueret benægtelse af service (DDoS) -angreb eller uautoriserede adgangsforsøg.
Netflow -versioner: Netflow har udviklet sig over tid, og forskellige versioner er blevet frigivet. Nogle bemærkelsesværdige versioner inkluderer NetFlow V5, NetFlow V9 og fleksibel NetFlow. Hver version introducerer forbedringer og yderligere muligheder.
Ipfix:
Hvad er ipfix?
En IETF -standard, der opstod i de tidlige 2000'ere, er Internet Protocol Flow Information Export (IPFIX) meget lig NetFlow. Faktisk tjente Netflow V9 som grundlag for IPFIX. Den primære forskel mellem de to er, at IPFIX er en åben standard og understøttes af mange netværksleverandører bortset fra Cisco. Med undtagelse af et par yderligere felter, der er tilføjet i IPFIX, er formaterne ellers næsten identiske. Faktisk omtales IPFIX undertiden endda ”Netflow V10”.
På grund af sine ligheder med NetFlow nyder IPFIX bred support blandt netværksovervågningsløsninger såvel som netværksudstyr.
IPFIX (Internet Protocol Flow Information Export) er en åben standardprotokol udviklet af Internet Engineering Task Force (IETF). Det er baseret på NetFlow version 9 -specifikationen og giver et standardiseret format til eksport af flowregistre fra netværksenheder.
IPFIX bygger på begreberne NetFlow og udvider dem til at tilbyde mere fleksibilitet og interoperabilitet på tværs af forskellige leverandører og enheder. Det introducerer begrebet skabeloner, der giver mulighed for dynamisk definition af flowrekordstruktur og indhold. Dette muliggør inkludering af brugerdefinerede felter, support til nye protokoller og udvidelighed.
Nøglefunktioner i IPFIX:
~ Skabelonbaseret tilgang: IPFIX bruger skabeloner til at definere strukturen og indholdet af flowregistreringer og tilbyder fleksibilitet i at imødekomme forskellige datafelter og protokolspecifik information.
~ Interoperabilitet: IPFIX er en åben standard, der sikrer ensartede flowovervågningsfunktioner på tværs af forskellige netværksleverandører og enheder.
~ IPv6 support: IPFIX støtter naturligt IPv6, hvilket gør det velegnet til overvågning og analyse af trafik i IPv6 -netværk.
~Forbedret sikkerhed: IPFIX inkluderer sikkerhedsfunktioner såsom transportlagssikkerhed (TLS) kryptering og meddelelsesintegritetskontrol for at beskytte fortroligheden og integriteten af strømningsdata under transmission.
IPFIX understøttes bredt af forskellige leverandører af netværksudstyr, hvilket gør det til en leverandørneutralt og bredt vedtaget valg til netværksstrømningsovervågning.
Så hvad er forskellen mellem NetFlow og IPFIX?
Det enkle svar er, at NetFlow er en Cisco -proprietær protokol, der blev introduceret omkring 1996, og IPFIX er dens standarder, der er godkendt bror.
Begge protokoller tjener det samme formål: at gøre det muligt for netværksingeniører og administratorer at indsamle og analysere IP -trafikstrømme på netværksniveau. Cisco udviklede NetFlow, så dens switches og routere kunne udsende denne værdifulde information. I betragtning af Dominansen af Cisco Gear blev Netflow hurtigt DE-facto-standarden for netværkstrafikanalyse. Industrikonkurrenter indså imidlertid, at det ikke var en god idé at bruge en proprietær protokol kontrolleret af sin hovedrival ikke var en god idé, og derfor førte IETF en indsats for at standardisere en åben protokol til trafikanalyse, som er IPFIX.
IPFIX er baseret på NetFlow version 9 og blev oprindeligt introduceret omkring 2005, men tog et antal år at få industrioptagelse. På dette tidspunkt er de to protokoller i det væsentlige de samme, og selvom udtrykket NetFlow stadig er mere udbredt, er de fleste implementeringer (dog ikke alle) kompatible med IPFIX -standarden.
Her er en tabel, der opsummerer forskellene mellem NetFlow og IPFIX:
| Aspekt | Netflow | Ipfix |
|---|---|---|
| Oprindelse | Proprietær teknologi udviklet af Cisco | Industristandard-protokol baseret på Netflow version 9 |
| Standardisering | Cisco-specifik teknologi | Åben standard defineret af IETF i RFC 7011 |
| Fleksibilitet | Udviklede versioner med specifikke funktioner | Større fleksibilitet og interoperabilitet på tværs af leverandører |
| Dataformat | Pakker med fast størrelse | Skabelonbaseret tilgang til tilpassede flow-postformater |
| Skabelonstøtte | Ikke understøttet | Dynamiske skabeloner til fleksibel feltindeslutning |
| Leverandørstøtte | Primært Cisco -enheder | Bred support på tværs af netværksleverandører |
| Udvidelighed | Begrænset tilpasning | Inkludering af brugerdefinerede felter og applikationsspecifikke data |
| Protokolforskelle | Cisco-specifikke variationer | Indfødt IPv6 -support, forbedrede flowrekordindstillinger |
| Sikkerhedsfunktioner | Begrænsede sikkerhedsfunktioner | Transportlagssikkerhed (TLS) kryptering, meddelelsesintegritet |
NetværksstrømningsovervågningEr samling, analyse og overvågning af trafik, der krydser et givet netværk eller netværkssegment. Målene kan variere fra fejlfinding af forbindelsesproblemer til planlægning af fremtidig tildeling af båndbredde. Flowovervågning og prøveudtagning af pakke kan endda være nyttigt til at identificere og afhjælpe sikkerhedsproblemer.
Flowovervågning giver netværksteam en god idé om, hvordan et netværk fungerer, giver indsigt i den samlede udnyttelse, anvendelse af anvendelse, potentielle flaskehalse, afvigelser, der kan signalere sikkerhedstrusler og mere. Der er flere forskellige standarder og formater, der bruges i netværksstrømningsovervågning, herunder NetFlow, SFLOW og Internet Protocol Flow Information Export (IPFIX). Hver arbejder på en lidt anden måde, men alle adskiller sig fra portspejling og dyb pakkeinspektion, idet de ikke fanger indholdet af hver pakke, der passerer over en port eller gennem en switch. Flowovervågning giver imidlertid mere information end SNMP, som generelt er begrænset til bred statistik som samlet pakke og båndbreddebrug.
Netværksstrømningsværktøjer sammenlignet
| Funktion | Netflow V5 | Netflow V9 | Sflow | Ipfix |
| Åben eller proprietær | Proprietær | Proprietær | Åben | Åben |
| Samplet eller flowbaseret | Primært flowbaseret; Prøvet tilstand er tilgængelig | Primært flowbaseret; Prøvet tilstand er tilgængelig | Samplet | Primært flowbaseret; Prøvet tilstand er tilgængelig |
| Oplysninger, der er fanget | Metadata og statistiske oplysninger, herunder bytes overført, interface tællere og så videre | Metadata og statistiske oplysninger, herunder bytes overført, interface tællere og så videre | Komplette pakkeoverskrifter, delvis pakke -nyttelast | Metadata og statistiske oplysninger, herunder bytes overført, interface tællere og så videre |
| Ingress/udgangsovervågning | Kun indtrængen | Ingress og udgang | Ingress og udgang | Ingress og udgang |
| IPv6/VLAN/MPLS support | No | Ja | Ja | Ja |
Posttid: Mar-18-2024
