NetFlow og IPFIX er begge teknologier som brukes til overvåking og analyse av nettverksflyt. De gir innsikt i nettverkstrafikkmønstre, noe som hjelper til med ytelsesoptimalisering, feilsøking og sikkerhetsanalyse.
NetFlow:
Hva er NetFlow?
NetFlower den originale løsningen for flytovervåking, opprinnelig utviklet av Cisco på slutten av 1990-tallet. Det finnes flere forskjellige versjoner, men de fleste implementeringene er basert på enten NetFlow v5 eller NetFlow v9. Selv om hver versjon har forskjellige funksjoner, forblir den grunnleggende operasjonen den samme:
Først vil en ruter, svitsj, brannmur eller en annen type enhet fange opp informasjon om nettverkets «flyter» – i utgangspunktet et sett med pakker som deler et felles sett med egenskaper som kilde- og destinasjonsadresse, kilde- og destinasjonsport og protokolltype. Etter at en flyt har gått i dvale eller en forhåndsdefinert tidsperiode har gått, vil enheten eksportere flytpostene til en enhet kjent som en «flytinnsamler».
Til slutt gir en «flytanalysator» mening til disse postene, og gir innsikt i form av visualiseringer, statistikk og detaljert historisk rapportering og rapportering i sanntid. I praksis er samlere og analysatorer ofte én enhet, ofte kombinert til en større løsning for overvåking av nettverksytelse.
NetFlow opererer på en tilstandsbasert basis. Når en klientmaskin kontakter en server, vil NetFlow begynne å fange og aggregere metadata fra flyten. Etter at økten er avsluttet, vil NetFlow eksportere én komplett post til samleren.
Selv om NetFlow v5 fortsatt er vanlig i bruk, har den en rekke begrensninger. Feltene som eksporteres er faste, overvåking støttes kun i inngangsretningen, og moderne teknologier som IPv6, MPLS og VXLAN støttes ikke. NetFlow v9, også merket som Flexible NetFlow (FNF), adresserer noen av disse begrensningene, slik at brukere kan bygge tilpassede maler og legge til støtte for nyere teknologier.
Mange leverandører har også sine egne proprietære implementeringer av NetFlow, som for eksempel jFlow fra Juniper og NetStream fra Huawei. Selv om konfigurasjonen kan variere noe, produserer disse implementeringene ofte flytposter som er kompatible med NetFlow-innsamlere og -analysatorer.
Viktige funksjoner i NetFlow:
~ FlytdataNetFlow genererer flytposter som inkluderer detaljer som kilde- og destinasjons-IP-adresser, porter, tidsstempler, pakke- og byteantall og protokolltyper.
~ TrafikkovervåkingNetFlow gir innsikt i nettverkstrafikkmønstre, slik at administratorer kan identifisere de viktigste applikasjonene, endepunktene og trafikkildene.
~AnomalideteksjonVed å analysere flytdata kan NetFlow oppdage avvik som overdreven båndbreddeutnyttelse, nettverksbelastning eller uvanlige trafikkmønstre.
~ SikkerhetsanalyseNetFlow kan brukes til å oppdage og undersøke sikkerhetshendelser, for eksempel distribuerte tjenestenektangrep (DDoS) eller uautoriserte tilgangsforsøk.
NetFlow-versjonerNetFlow har utviklet seg over tid, og forskjellige versjoner har blitt utgitt. Noen bemerkelsesverdige versjoner inkluderer NetFlow v5, NetFlow v9 og Flexible NetFlow. Hver versjon introduserer forbedringer og tilleggsfunksjoner.
IPFIX:
Hva er IPFIX?
Internet Protocol Flow Information Export (IPFIX), en IETF-standard som dukket opp tidlig på 2000-tallet, er ekstremt lik NetFlow. Faktisk var NetFlow v9 grunnlaget for IPFIX. Hovedforskjellen mellom de to er at IPFIX er en åpen standard, og støttes av mange nettverksleverandører bortsett fra Cisco. Med unntak av noen få ekstra felt lagt til i IPFIX, er formatene ellers nesten identiske. Faktisk blir IPFIX noen ganger til og med referert til som «NetFlow v10».
Delvis på grunn av likhetene med NetFlow, har IPFIX bred støtte blant nettverksovervåkingsløsninger så vel som nettverksutstyr.
IPFIX (Internet Protocol Flow Information Export) er en åpen standardprotokoll utviklet av Internet Engineering Task Force (IETF). Den er basert på NetFlow versjon 9-spesifikasjonen og gir et standardisert format for eksport av flytposter fra nettverksenheter.
IPFIX bygger på konseptene til NetFlow og utvider dem for å tilby mer fleksibilitet og interoperabilitet på tvers av ulike leverandører og enheter. Den introduserer konseptet med maler, som muliggjør dynamisk definisjon av flytpoststruktur og innhold. Dette muliggjør inkludering av tilpassede felt, støtte for nye protokoller og utvidbarhet.
Viktige funksjoner i IPFIX:
~ Malbasert tilnærmingIPFIX bruker maler for å definere strukturen og innholdet i flytposter, noe som gir fleksibilitet i å tilpasse seg ulike datafelt og protokollspesifikk informasjon.
~ InteroperabilitetIPFIX er en åpen standard som sikrer konsistente flytovervåkingsmuligheter på tvers av ulike nettverksleverandører og enheter.
~ IPv6-støtteIPFIX støtter IPv6 direkte, noe som gjør den egnet for overvåking og analyse av trafikk i IPv6-nettverk.
~Forbedret sikkerhetIPFIX inkluderer sikkerhetsfunksjoner som Transport Layer Security (TLS)-kryptering og meldingsintegritetskontroller for å beskytte konfidensialiteten og integriteten til flytdata under overføring.
IPFIX støttes i stor grad av ulike leverandører av nettverksutstyr, noe som gjør det til et leverandørnøytralt og bredt brukt valg for overvåking av nettverksflyt.
Så, hva er forskjellen mellom NetFlow og IPFIX?
Det enkle svaret er at NetFlow er en Cisco-proprietær protokoll introdusert rundt 1996, og IPFIX er dens standardiseringsgodkjente bror.
Begge protokollene tjener samme formål: å gjøre det mulig for nettverksingeniører og administratorer å samle inn og analysere IP-trafikkstrømmer på nettverksnivå. Cisco utviklet NetFlow slik at svitsjer og rutere kunne sende ut denne verdifulle informasjonen. Gitt dominansen til Cisco-utstyr, ble NetFlow raskt de facto-standarden for nettverkstrafikkanalyse. Imidlertid innså konkurrenter i bransjen at det ikke var en god idé å bruke en proprietær protokoll kontrollert av hovedrivalen, og derfor ledet IETF et forsøk på å standardisere en åpen protokoll for trafikkanalyse, som er IPFIX.
IPFIX er basert på NetFlow versjon 9 og ble opprinnelig introdusert rundt 2005, men det tok noen år før det ble tatt i bruk i industrien. På dette tidspunktet er de to protokollene i hovedsak de samme, og selv om begrepet NetFlow fortsatt er mer utbredt, er de fleste implementeringene (men ikke alle) kompatible med IPFIX-standarden.
Her er en tabell som oppsummerer forskjellene mellom NetFlow og IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Opprinnelse | Proprietær teknologi utviklet av Cisco | Industristandardprotokoll basert på NetFlow versjon 9 |
| Standardisering | Cisco-spesifikk teknologi | Åpen standard definert av IETF i RFC 7011 |
| Fleksibilitet | Utviklede versjoner med spesifikke funksjoner | Større fleksibilitet og interoperabilitet på tvers av leverandører |
| Dataformat | Pakker med fast størrelse | Malbasert tilnærming for tilpassbare flytpostformater |
| Malstøtte | Ikke støttet | Dynamiske maler for fleksibel feltinkludering |
| Leverandørstøtte | Primært Cisco-enheter | Bred støtte på tvers av nettverksleverandører |
| Utvidbarhet | Begrenset tilpasning | Inkludering av egendefinerte felt og applikasjonsspesifikke data |
| Protokollforskjeller | Cisco-spesifikke variasjoner | Innebygd IPv6-støtte, forbedrede alternativer for flytregistrering |
| Sikkerhetsfunksjoner | Begrensede sikkerhetsfunksjoner | Transport Layer Security (TLS)-kryptering, meldingsintegritet |
Nettverksflytovervåkinger innsamling, analyse og overvåking av trafikk som krysser et gitt nettverk eller nettverkssegment. Målene kan variere fra feilsøking av tilkoblingsproblemer til planlegging av fremtidig båndbreddeallokering. Flytovervåking og pakkesampling kan til og med være nyttige for å identifisere og utbedre sikkerhetsproblemer.
Flytovervåking gir nettverksteam en god ide om hvordan et nettverk fungerer, og gir innsikt i generell utnyttelse, applikasjonsbruk, potensielle flaskehalser, avvik som kan signalisere sikkerhetstrusler og mer. Det finnes flere forskjellige standarder og formater som brukes i nettverksflytovervåking, inkludert NetFlow, sFlow og Internet Protocol Flow Information Export (IPFIX). Hver av dem fungerer på en litt annen måte, men alle er forskjellige fra portspeiling og dyp pakkeinspeksjon ved at de ikke fanger opp innholdet i hver pakke som passerer over en port eller gjennom en svitsj. Flytovervåking gir imidlertid mer informasjon enn SNMP, som vanligvis er begrenset til bred statistikk som generell pakke- og båndbreddebruk.
Nettverksflytverktøy sammenlignet
| Trekk | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Åpen eller proprietær | Proprietær | Proprietær | Åpne | Åpne |
| Samplet eller flytbasert | Primært flytbasert; samplingsmodus er tilgjengelig | Primært flytbasert; samplingsmodus er tilgjengelig | Samplet | Primært flytbasert; samplingsmodus er tilgjengelig |
| Informasjon innhentet | Metadata og statistisk informasjon, inkludert overførte byte, grensesnitttellere og så videre | Metadata og statistisk informasjon, inkludert overførte byte, grensesnitttellere og så videre | Komplette pakkehoder, delvise pakkenyttelaster | Metadata og statistisk informasjon, inkludert overførte byte, grensesnitttellere og så videre |
| Overvåking av inn-/utgang | Kun inntrenging | Inngang og utgang | Inngang og utgang | Inngang og utgang |
| IPv6/VLAN/MPLS-støtte | No | Ja | Ja | Ja |
Publisert: 18. mars 2024
