Netflow og IPFIX er begge teknologier som brukes til overvåking og analyse av nettverksstrøm. De gir innsikt i nettverkstrafikkmønstre, hjelper til med ytelsesoptimalisering, feilsøking og sikkerhetsanalyse.
Netflow:
Hva er Netflow?
Netflower den opprinnelige strømningsovervåkningsløsningen, opprinnelig utviklet av Cisco på slutten av 1990 -tallet. Flere forskjellige versjoner finnes, men de fleste distribusjoner er basert på enten Netflow V5 eller Netflow V9. Mens hver versjon har forskjellige muligheter, forblir den grunnleggende operasjonen den samme:
Først vil en ruter, bryter, brannmur eller en annen type enhet fange opp informasjon om nettverket "strømmer" - i utgangspunktet et sett med pakker som deler et felles sett med egenskaper som kilde og destinasjonsadresse, kilde og destinasjonsport og protokolltype. Etter at en flyt har gått i dvale eller en forhåndsdefinert tid har gått, vil enheten eksportere flytpostene til en enhet kjent som en "flyt samler".
Til slutt gir en "Flow Analyzer" mening av disse postene, og gir innsikt i form av visualiseringer, statistikk og detaljert historisk og sanntidsrapportering. I praksis er samlere og analysatorer ofte en enkelt enhet, ofte kombinert til en større nettverksytelsesovervåkningsløsning.
Netflow opererer på statlig basis. Når en klientmaskin når ut til en server, vil Netflow begynne å fange og aggregere metadata fra strømmen. Etter at økten er avsluttet, vil Netflow eksportere en komplett rekord til samleren.
Selv om det fremdeles er brukt, har Netflow V5 en rekke begrensninger. Feltene som eksporteres er faste, overvåking støttes bare i inntrengingsretningen, og moderne teknologier som IPv6, MPLS og VXLAN støttes ikke. Netflow V9, også merket som fleksibel Netflow (FNF), adresserer noen av disse begrensningene, slik at brukerne kan bygge tilpassede maler og legge til støtte for nyere teknologier.
Mange leverandører har også sine egne proprietære implementeringer av Netflow, for eksempel JFlow fra Juniper og NetStream fra Huawei. Selv om konfigurasjonen kan variere noe, produserer disse implementeringene ofte strømningsregister som er kompatible med NetFlow -samlere og analysatorer.
Viktige funksjoner i Netflow:
~ Flytdata: Netflow genererer flytjournaler som inkluderer detaljer som IP -adresser, porter, tidsstempler, pakker og byte -tellinger og protokolltyper.
~ Trafikkovervåking: Netflow gir synlighet i nettverkstrafikkmønstre, slik at administratorer kan identifisere toppapplikasjoner, endepunkter og trafikkilder.
~Anomalideteksjon: Ved å analysere flytdata kan Netflow oppdage anomalier som overdreven båndbreddeutnyttelse, nettverkstetting eller uvanlige trafikkmønstre.
~ Sikkerhetsanalyse: Netflow kan brukes til å oppdage og undersøke sikkerhetshendelser, for eksempel distribuerte nekt-av-service (DDoS) angrep eller uautoriserte tilgangsforsøk.
Netflow -versjoner: Netflow har utviklet seg over tid, og forskjellige versjoner er utgitt. Noen bemerkelsesverdige versjoner inkluderer Netflow V5, Netflow V9 og fleksibel Netflow. Hver versjon introduserer forbedringer og tilleggsfunksjoner.
Ipfix:
Hva er ipfix?
En IETF -standard som dukket opp på begynnelsen av 2000 -tallet, Internet Protocol Flow Information Export (IPFIX) er ekstremt lik Netflow. Faktisk fungerte Netflow V9 som grunnlag for IPFIX. Den primære forskjellen mellom de to er at IPFIX er en åpen standard, og støttes av mange nettverksleverandører bortsett fra Cisco. Med unntak av noen få ekstra felt lagt til i IPFIX, er formatene ellers nesten identiske. Faktisk blir IPFIX noen ganger til og med referert til som "Netflow V10".
På grunn av sine likheter med Netflow, har IPFIX stor støtte blant nettverksovervåkningsløsninger samt nettverksutstyr.
IPFIX (Internet Protocol Flow Information Export) er en åpen standardprotokoll utviklet av Internet Engineering Task Force (IETF). Den er basert på NetFlow versjon 9 -spesifikasjonen og gir et standardisert format for eksport av flytposter fra nettverksenheter.
IPFIX bygger på begrepene Netflow og utvider dem til å tilby mer fleksibilitet og interoperabilitet på tvers av forskjellige leverandører og enheter. Den introduserer begrepet maler, noe som gir mulighet for dynamisk definisjon av strømningsregistreringsstruktur og innhold. Dette muliggjør inkludering av tilpassede felt, støtte for nye protokoller og utvidbarhet.
Viktige funksjoner i IPFIX:
~ Malbasert tilnærming: IPFIX bruker maler for å definere strukturen og innholdet i flytjournaler, og tilbyr fleksibilitet i å imøtekomme forskjellige datafelt og protokollspesifikk informasjon.
~ Interoperabilitet: IPFIX er en åpen standard, og sikrer konsistente flytovervåkningsfunksjoner på tvers av forskjellige nettverksleverandører og enheter.
~ IPv6 -støtte: IPFIX støtter Nativt IPv6, noe som gjør det egnet for overvåking og analyse av trafikk i IPv6 -nettverk.
~Forbedret sikkerhet: IPFIX inkluderer sikkerhetsfunksjoner som TLS -kryptering av transportlagssikkerhet (TLS) og meldingsintegritetskontroller for å beskytte konfidensialiteten og integriteten til flytdata under overføring.
IPFIX støttes mye av forskjellige leverandører av nettverksutstyr, noe som gjør det til en leverandørnøytral og bredt vedtatt valg for overvåking av nettverksflyt.
Så, hva er forskjellen mellom Netflow og IPFIX?
Det enkle svaret er at Netflow er en Cisco -proprietær protokoll introdusert rundt 1996 og IPFIX er dens standarder som godkjente bror.
Begge protokollene tjener samme formål: slik at nettverksingeniører og administratorer kan samle inn og analysere IP -trafikkstrømmer på nettverksnivå. Cisco utviklet Netflow slik at bryterne og ruterne kunne sende ut denne verdifulle informasjonen. Gitt dominansen av Cisco Gear, ble Netflow raskt de-facto-standarden for nettverkstrafikkanalyse. Imidlertid innså bransjekonkurrenter at bruk av en proprietær protokoll som ble kontrollert av sin viktigste rival ikke var en god idé, og dermed ledet IETF et forsøk på å standardisere en åpen protokoll for trafikkanalyse, som er IPFIX.
IPFIX er basert på Netflow versjon 9 og ble opprinnelig introdusert rundt 2005, men tok noen år å få adopsjon i bransjen. På dette tidspunktet er de to protokollene i hovedsak de samme, og selv om begrepet Netflow fortsatt er mer utbredt, er de fleste implementeringer (men ikke alle) kompatible med IPFIX -standarden.
Her er en tabell som oppsummerer forskjellene mellom Netflow og IPFIX:
| Aspekt | Netflow | Ipfix |
|---|---|---|
| Opprinnelse | Proprietær teknologi utviklet av Cisco | Bransjestandardprotokoll basert på Netflow versjon 9 |
| Standardisering | Cisco-spesifikk teknologi | Åpen standard definert av IETF i RFC 7011 |
| Fleksibilitet | Utviklede versjoner med spesifikke funksjoner | Større fleksibilitet og interoperabilitet på tvers av leverandører |
| Dataformat | Pakker med fast størrelse | Malbasert tilnærming for tilpassbare strømningsopptaksformater |
| Malstøtte | Ikke støttet | Dynamiske maler for fleksibel felt inkludering |
| Leverandørstøtte | Først og fremst Cisco -enheter | Bred støtte på tvers av nettverksleverandører |
| Utvidbarhet | Begrenset tilpasning | Inkludering av tilpassede felt og applikasjonsspesifikke data |
| Protokollforskjeller | Cisco-spesifikke variasjoner | Native IPv6 -støtte, forbedrede flytjournalalternativer |
| Sikkerhetsfunksjoner | Begrensede sikkerhetsfunksjoner | Transport Layer Security (TLS) Kryptering, Melding Integritet |
Nettverksflytovervåkinger innsamling, analyse og overvåking av trafikk som krysser et gitt nettverks- eller nettverkssegment. Målene kan variere fra feilsøking av tilkoblingsproblemer til planlegging av fremtidig båndbreddeallokering. Flytovervåkning og prøvetaking av pakke kan til og med være nyttig for å identifisere og sanere sikkerhetsproblemer.
Flow Monitoring gir nettverksteam en god ide om hvordan et nettverk opererer, og gir innsikt i generell utnyttelse, bruk av applikasjoner, potensielle flaskehalser, anomalier som kan signalisere sikkerhetstrusler og mer. Det er flere forskjellige standarder og formater som brukes i nettverksstrømovervåking, inkludert NetFlow, SFLOW og Internet Protocol Flow Information Export (IPFIX). Hver fungerer på en litt annen måte, men alle er forskjellige fra portspeiling og dyp pakkeinspeksjon ved at de ikke fanger innholdet i hver pakke som passerer over en port eller gjennom en bryter. Imidlertid gir flytovervåking mer informasjon enn SNMP, som generelt er begrenset til bred statistikk som total pakke og båndbreddebruk.
Nettverksflytverktøy sammenlignet
| Trekk | Netflow v5 | Netflow v9 | Sflow | Ipfix |
| Åpen eller proprietær | Proprietær | Proprietær | Åpne | Åpne |
| Samplet eller flytbasert | Først og fremst flytbasert; Samplet -modus er tilgjengelig | Først og fremst flytbasert; Samplet -modus er tilgjengelig | Prøvetatt | Først og fremst flytbasert; Samplet -modus er tilgjengelig |
| Informasjon fanget | Metadata og statistisk informasjon, inkludert overført byte, grensesnitttellere og så videre | Metadata og statistisk informasjon, inkludert overført byte, grensesnitttellere og så videre | Komplette pakkeoverskrifter, delvis pakke nyttelast | Metadata og statistisk informasjon, inkludert overført byte, grensesnitttellere og så videre |
| Ingress/Egress Monitoring | Bare inntrengning | Inntrengning og egress | Inntrengning og egress | Inntrengning og egress |
| IPv6/VLAN/MPLS -støtte | No | Ja | Ja | Ja |
Post Time: Mar-18-2024
