NetFlow og IPFIX er begge teknologier som brukes for nettverksflytovervåking og analyse. De gir innsikt i nettverkstrafikkmønstre, og hjelper til med ytelsesoptimalisering, feilsøking og sikkerhetsanalyse.
NetFlow:
Hva er NetFlow?
NetFlower den originale flytovervåkingsløsningen, opprinnelig utviklet av Cisco på slutten av 1990-tallet. Det finnes flere forskjellige versjoner, men de fleste distribusjoner er basert på enten NetFlow v5 eller NetFlow v9. Mens hver versjon har forskjellige muligheter, forblir den grunnleggende operasjonen den samme:
For det første vil en ruter, svitsj, brannmur eller en annen type enhet fange opp informasjon om nettverkets "flyter" - i utgangspunktet et sett med pakker som deler et felles sett med egenskaper som kilde- og destinasjonsadresse, kilde og destinasjonsport og protokoll type. Etter at en strøm har gått i dvale eller en forhåndsdefinert tid har gått, vil enheten eksportere strømningspostene til en enhet kjent som en "strømningssamler".
Til slutt gir en "flytanalysator" mening med disse postene, og gir innsikt i form av visualiseringer, statistikk og detaljert historisk og sanntidsrapportering. I praksis er samlere og analysatorer ofte en enkelt enhet, ofte kombinert til en større nettverksytelsesovervåkingsløsning.
NetFlow opererer på et statlig grunnlag. Når en klientmaskin når ut til en server, vil NetFlow begynne å fange opp og samle metadata fra flyten. Etter at økten er avsluttet, vil NetFlow eksportere en enkelt komplett post til innsamleren.
Selv om det fortsatt er mye brukt, har NetFlow v5 en rekke begrensninger. Feltene som eksporteres er faste, overvåking støttes bare i inngående retning, og moderne teknologier som IPv6, MPLS og VXLAN støttes ikke. NetFlow v9, også merket som Flexible NetFlow (FNF), adresserer noen av disse begrensningene, og lar brukere bygge tilpassede maler og legge til støtte for nyere teknologier.
Mange leverandører har også sine egne proprietære implementeringer av NetFlow, som jFlow fra Juniper og NetStream fra Huawei. Selv om konfigurasjonen kan variere noe, produserer disse implementeringene ofte flytposter som er kompatible med NetFlow-samlere og -analysatorer.
Hovedfunksjoner til NetFlow:
~ Flytdata: NetFlow genererer flytposter som inkluderer detaljer som kilde- og destinasjons-IP-adresser, porter, tidsstempler, pakke- og bytetellinger og protokolltyper.
~ Trafikkovervåking: NetFlow gir innsyn i nettverkstrafikkmønstre, slik at administratorer kan identifisere toppapplikasjoner, endepunkter og trafikkkilder.
~Anomalideteksjon: Ved å analysere flytdata kan NetFlow oppdage uregelmessigheter som overdreven båndbreddeutnyttelse, nettverksoverbelastning eller uvanlige trafikkmønstre.
~ Sikkerhetsanalyse: NetFlow kan brukes til å oppdage og undersøke sikkerhetshendelser, for eksempel distribuert denial-of-service (DDoS)-angrep eller uautoriserte tilgangsforsøk.
NetFlow-versjoner: NetFlow har utviklet seg over tid, og forskjellige versjoner har blitt utgitt. Noen bemerkelsesverdige versjoner inkluderer NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver versjon introduserer forbedringer og tilleggsfunksjoner.
IPFIX:
Hva er IPFIX?
En IETF-standard som dukket opp på begynnelsen av 2000-tallet, Internet Protocol Flow Information Export (IPFIX) er ekstremt lik NetFlow. Faktisk fungerte NetFlow v9 som grunnlaget for IPFIX. Den primære forskjellen mellom de to er at IPFIX er en åpen standard, og støttes av mange nettverksleverandører bortsett fra Cisco. Med unntak av noen få tilleggsfelt lagt til i IPFIX, er formatene ellers nesten identiske. Faktisk blir IPFIX noen ganger til og med referert til som "NetFlow v10".
Delvis på grunn av likhetene med NetFlow, nyter IPFIX bred støtte blant nettverksovervåkingsløsninger så vel som nettverksutstyr.
IPFIX (Internet Protocol Flow Information Export) er en åpen standardprotokoll utviklet av Internet Engineering Task Force (IETF). Den er basert på NetFlow versjon 9-spesifikasjonen og gir et standardisert format for eksport av flytposter fra nettverksenheter.
IPFIX bygger på konseptene til NetFlow og utvider dem for å tilby mer fleksibilitet og interoperabilitet på tvers av forskjellige leverandører og enheter. Den introduserer konseptet med maler, noe som muliggjør dynamisk definisjon av flytpoststruktur og innhold. Dette muliggjør inkludering av tilpassede felt, støtte for nye protokoller og utvidbarhet.
Hovedfunksjoner til IPFIX:
~ Mal-basert tilnærming: IPFIX bruker maler for å definere strukturen og innholdet i flytposter, og tilbyr fleksibilitet når det gjelder å imøtekomme forskjellige datafelt og protokollspesifikk informasjon.
~ Interoperabilitet: IPFIX er en åpen standard som sikrer konsistente flytovervåkingsmuligheter på tvers av ulike nettverksleverandører og -enheter.
~ IPv6-støtte: IPFIX støtter naturlig IPv6, noe som gjør den egnet for overvåking og analyse av trafikk i IPv6-nettverk.
~Forbedret sikkerhet: IPFIX inkluderer sikkerhetsfunksjoner som Transport Layer Security (TLS)-kryptering og meldingsintegritetskontroller for å beskytte konfidensialiteten og integriteten til flytdata under overføring.
IPFIX er bredt støttet av ulike leverandører av nettverksutstyr, noe som gjør det til et leverandørnøytralt og bredt brukt valg for nettverksflytovervåking.
Så, hva er forskjellen mellom NetFlow og IPFIX?
Det enkle svaret er at NetFlow er en egenutviklet Cisco-protokoll som ble introdusert rundt 1996, og IPFIX er dens standardorgan godkjente bror.
Begge protokollene tjener samme formål: å gjøre det mulig for nettverksingeniører og administratorer å samle inn og analysere IP-trafikkstrømmer på nettverksnivå. Cisco utviklet NetFlow slik at switchene og ruterne kunne sende ut denne verdifulle informasjonen. Gitt dominansen til Cisco-utstyr, ble NetFlow raskt de-facto-standarden for nettverkstrafikkanalyse. Bransjekonkurrenter innså imidlertid at bruk av en proprietær protokoll kontrollert av hovedrivalen ikke var en god idé, og derfor ledet IETF et forsøk på å standardisere en åpen protokoll for trafikkanalyse, som er IPFIX.
IPFIX er basert på NetFlow versjon 9 og ble opprinnelig introdusert rundt 2005, men det tok noen år å få industriadopsjon. På dette tidspunktet er de to protokollene i hovedsak de samme, og selv om begrepet NetFlow fortsatt er mer utbredt, er de fleste implementeringer (men ikke alle) kompatible med IPFIX-standarden.
Her er en tabell som oppsummerer forskjellene mellom NetFlow og IPFIX:
Aspekt | NetFlow | IPFIX |
---|---|---|
Opprinnelse | Proprietær teknologi utviklet av Cisco | Bransjestandardprotokoll basert på NetFlow versjon 9 |
Standardisering | Cisco-spesifikk teknologi | Åpen standard definert av IETF i RFC 7011 |
Fleksibilitet | Utviklede versjoner med spesifikke funksjoner | Større fleksibilitet og interoperabilitet på tvers av leverandører |
Dataformat | Pakker med fast størrelse | Malbasert tilnærming for tilpassbare flytpostformater |
Malstøtte | Støttes ikke | Dynamiske maler for fleksibel feltinkludering |
Leverandørstøtte | Primært Cisco-enheter | Bred støtte på tvers av nettverksleverandører |
Utvidbarhet | Begrenset tilpasning | Inkludering av tilpassede felt og applikasjonsspesifikke data |
Protokollforskjeller | Cisco-spesifikke variasjoner | Innebygd IPv6-støtte, forbedrede flytregistreringsalternativer |
Sikkerhetsfunksjoner | Begrensede sikkerhetsfunksjoner | Transport Layer Security (TLS)-kryptering, meldingsintegritet |
Nettverksflytovervåkinger innsamling, analyse og overvåking av trafikk som krysser et gitt nettverk eller nettverkssegment. Målene kan variere fra feilsøking av tilkoblingsproblemer til planlegging av fremtidig båndbreddetildeling. Flytovervåking og pakkeprøvetaking kan til og med være nyttig for å identifisere og rette opp sikkerhetsproblemer.
Flytovervåking gir nettverksteam en god idé om hvordan et nettverk fungerer, og gir innsikt i generell bruk, applikasjonsbruk, potensielle flaskehalser, uregelmessigheter som kan signalisere sikkerhetstrusler og mer. Det er flere forskjellige standarder og formater som brukes i nettverksflytovervåking, inkludert NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hver fungerer på en litt annen måte, men alle skiller seg fra portspeiling og dyp pakkeinspeksjon ved at de ikke fanger opp innholdet i hver pakke som går over en port eller gjennom en svitsj. Flytovervåking gir imidlertid mer informasjon enn SNMP, som vanligvis er begrenset til bred statistikk som total pakke- og båndbreddebruk.
Nettverksflytverktøy sammenlignet
Trekk | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Åpen eller proprietær | Proprietær | Proprietær | Åpne | Åpne |
Samplet eller flytbasert | Primært strømningsbasert; Samplemodus er tilgjengelig | Primært strømningsbasert; Samplemodus er tilgjengelig | Samplet | Primært strømningsbasert; Samplemodus er tilgjengelig |
Informasjon fanget | Metadata og statistisk informasjon, inkludert byte som er overført, grensesnitttellere og så videre | Metadata og statistisk informasjon, inkludert byte som er overført, grensesnitttellere og så videre | Komplette pakkehoder, delvise pakkenyttelaster | Metadata og statistisk informasjon, inkludert byte som er overført, grensesnitttellere og så videre |
Ingress/Egress Monitoring | Kun ingress | Inngang og utgang | Inngang og utgang | Inngang og utgang |
Støtte for IPv6/VLAN/MPLS | No | Ja | Ja | Ja |
Innleggstid: 18. mars 2024