Ang NetFlow at IPFIX ay parehong mga teknolohiyang ginagamit para sa pagsubaybay at pagsusuri ng daloy ng network. Nagbibigay ang mga ito ng mga insight sa mga pattern ng trapiko sa network, na tumutulong sa pag-optimize ng performance, pag-troubleshoot, at pagsusuri ng seguridad.
NetFlow:
Ano ang NetFlow?
NetFloway ang orihinal na solusyon sa pagsubaybay sa daloy, na orihinal na binuo ng Cisco noong huling bahagi ng dekada 1990. Mayroong iba't ibang bersyon, ngunit karamihan sa mga deployment ay batay sa alinman sa NetFlow v5 o NetFlow v9. Bagama't ang bawat bersyon ay may iba't ibang kakayahan, ang pangunahing operasyon ay nananatiling pareho:
Una, ang isang router, switch, firewall, o iba pang uri ng device ay kukuha ng impormasyon tungkol sa mga "daloy" ng network – karaniwang isang hanay ng mga packet na may parehong katangian tulad ng source at destination address, source, at destination port, at uri ng protocol. Matapos tumigil ang isang flow o lumipas ang isang paunang natukoy na tagal ng panahon, ie-export ng device ang mga flow record sa isang entity na kilala bilang "flow collector".
Panghuli, binibigyang-kahulugan ng isang "flow analyzer" ang mga rekord na iyon, na nagbibigay ng mga insight sa anyo ng mga visualization, statistics, at detalyadong historical at real-time na pag-uulat. Sa pagsasagawa, ang mga collector at analyzer ay kadalasang iisang entity, kadalasang pinagsama sa isang mas malaking solusyon sa pagsubaybay sa performance ng network.
Ang NetFlow ay gumagana sa isang stateful basis. Kapag ang isang client machine ay nakipag-ugnayan sa isang server, sisimulan ng NetFlow ang pagkuha at pagsasama-sama ng metadata mula sa flow. Pagkatapos matapos ang session, ie-export ng NetFlow ang isang kumpletong record sa collector.
Bagama't karaniwan pa rin itong ginagamit, ang NetFlow v5 ay may ilang mga limitasyon. Ang mga field na iniluluwas ay nakapirmi, ang pagsubaybay ay sinusuportahan lamang sa direksyon ng pagpasok, at ang mga modernong teknolohiya tulad ng IPv6, MPLS, at VXLAN ay hindi sinusuportahan. Ang NetFlow v9, na may tatak din bilang Flexible NetFlow (FNF), ay tumutugon sa ilan sa mga limitasyong ito, na nagpapahintulot sa mga user na bumuo ng mga custom na template at nagdaragdag ng suporta para sa mga mas bagong teknolohiya.
Maraming vendor din ang may sarili nilang mga implementasyon ng NetFlow, tulad ng jFlow mula sa Juniper at NetStream mula sa Huawei. Bagama't maaaring medyo magkaiba ang configuration, ang mga implementasyong ito ay kadalasang nakakagawa ng mga flow record na tugma sa mga NetFlow collector at analyzer.
Mga Pangunahing Tampok ng NetFlow:
~ Datos ng DaloyAng NetFlow ay bumubuo ng mga flow record na kinabibilangan ng mga detalye tulad ng mga source at destination IP address, port, timestamp, bilang ng packet at byte, at mga uri ng protocol.
~ Pagsubaybay sa TrapikoNagbibigay ang NetFlow ng kakayahang makita ang mga pattern ng trapiko sa network, na nagbibigay-daan sa mga administrator na matukoy ang mga nangungunang application, endpoint, at pinagmumulan ng trapiko.
~Pagtuklas ng AnomalyaSa pamamagitan ng pagsusuri ng datos ng daloy, matutukoy ng NetFlow ang mga anomalya tulad ng labis na paggamit ng bandwidth, pagsisikip ng network, o mga hindi pangkaraniwang pattern ng trapiko.
~ Pagsusuri ng SeguridadMaaaring gamitin ang NetFlow upang matukoy at imbestigahan ang mga insidente sa seguridad, tulad ng mga distributed denial-of-service (DDoS) na pag-atake o mga hindi awtorisadong pagtatangka ng pag-access.
Mga Bersyon ng NetFlowAng NetFlow ay umunlad sa paglipas ng panahon, at iba't ibang bersyon ang inilabas. Kabilang sa ilang kapansin-pansing bersyon ang NetFlow v5, NetFlow v9, at Flexible NetFlow. Ang bawat bersyon ay nagpapakilala ng mga pagpapahusay at karagdagang kakayahan.
IPFIX:
Ano ang IPFIX?
Ang Internet Protocol Flow Information Export (IPFIX) ay isang pamantayan ng IETF na lumitaw noong mga unang taon ng 2000s, at halos magkapareho ito sa NetFlow. Sa katunayan, ang NetFlow v9 ang nagsilbing batayan para sa IPFIX. Ang pangunahing pagkakaiba sa pagitan ng dalawa ay ang IPFIX ay isang bukas na pamantayan, at sinusuportahan ng maraming networking vendor bukod sa Cisco. Maliban sa ilang karagdagang field na idinagdag sa IPFIX, ang mga format ay halos magkapareho. Sa katunayan, ang IPFIX ay minsan tinutukoy pa nga bilang "NetFlow v10".
Dahil sa pagkakatulad nito sa NetFlow, malawak ang suporta ng IPFIX sa mga solusyon sa pagsubaybay sa network pati na rin sa mga kagamitan sa network.
Ang IPFIX (Internet Protocol Flow Information Export) ay isang bukas na pamantayang protocol na binuo ng Internet Engineering Task Force (IETF). Ito ay batay sa ispesipikasyon ng NetFlow Version 9 at nagbibigay ng isang istandardisadong format para sa pag-export ng mga tala ng daloy mula sa mga device sa network.
Ang IPFIX ay nakabatay sa mga konsepto ng NetFlow at pinalalawak ang mga ito upang mag-alok ng higit na kakayahang umangkop at interoperability sa iba't ibang vendor at device. Ipinakikilala nito ang konsepto ng mga template, na nagbibigay-daan para sa dynamic na kahulugan ng istruktura at nilalaman ng flow record. Nagbibigay-daan ito sa pagsasama ng mga custom na field, suporta para sa mga bagong protocol, at extensibility.
Mga Pangunahing Tampok ng IPFIX:
~ Pamamaraang Batay sa TemplateGumagamit ang IPFIX ng mga template upang tukuyin ang istruktura at nilalaman ng mga talaan ng daloy, na nag-aalok ng kakayahang umangkop sa pagtanggap ng iba't ibang larangan ng datos at impormasyong partikular sa protocol.
~ InteroperabilityAng IPFIX ay isang bukas na pamantayan, na tinitiyak ang pare-parehong kakayahan sa pagsubaybay sa daloy sa iba't ibang mga vendor at device ng networking.
~ Suporta sa IPv6Katutubong sinusuportahan ng IPFIX ang IPv6, kaya angkop ito para sa pagsubaybay at pagsusuri ng trapiko sa mga network ng IPv6.
~Pinahusay na SeguridadKasama sa IPFIX ang mga tampok sa seguridad tulad ng pag-encrypt ng Transport Layer Security (TLS) at mga pagsusuri sa integridad ng mensahe upang protektahan ang pagiging kumpidensyal at integridad ng daloy ng data habang nagpapadala.
Ang IPFIX ay malawakang sinusuportahan ng iba't ibang vendor ng kagamitan sa networking, kaya't ito ay isang vendor-neutral at malawakang ginagamit na pagpipilian para sa pagsubaybay sa daloy ng network.
Kaya, ano ang pagkakaiba ng NetFlow at IPFIX?
Ang simpleng sagot ay ang NetFlow ay isang protocol na pagmamay-ari ng Cisco na ipinakilala noong mga 1996 at ang IPFIX ang kapatid nitong inaprubahan ng mga pamantayan.
Parehong layunin ang parehong protocol: nagbibigay-daan sa mga network engineer at administrator na mangolekta at mag-analisa ng mga daloy ng trapiko sa IP sa antas ng network. Binuo ng Cisco ang NetFlow upang mailabas ng mga switch at router nito ang mahalagang impormasyong ito. Dahil sa pangingibabaw ng mga kagamitan ng Cisco, mabilis na naging de-facto na pamantayan ang NetFlow para sa pagsusuri ng trapiko sa network. Gayunpaman, napagtanto ng mga kakumpitensya sa industriya na ang paggamit ng isang proprietary protocol na kinokontrol ng pangunahing karibal nito ay hindi isang magandang ideya at samakatuwid ay pinangunahan ng IETF ang isang pagsisikap na gawing pamantayan ang isang bukas na protocol para sa pagsusuri ng trapiko, na siyang IPFIX.
Ang IPFIX ay batay sa NetFlow bersyon 9 at orihinal na ipinakilala noong bandang 2005 ngunit inabot ng ilang taon bago nagamit ng industriya. Sa puntong ito, ang dalawang protocol ay halos pareho at kahit na mas laganap pa rin ang terminong NetFlow, karamihan sa mga implementasyon (bagaman hindi lahat) ay tugma sa pamantayan ng IPFIX.
Narito ang isang talahanayan na nagbubuod sa mga pagkakaiba sa pagitan ng NetFlow at IPFIX:
| Aspeto | NetFlow | IPFIX |
|---|---|---|
| Pinagmulan | Teknolohiyang pagmamay-ari na binuo ng Cisco | Protocol na pamantayan ng industriya batay sa NetFlow Bersyon 9 |
| Istandardisasyon | Teknolohiyang partikular sa Cisco | Bukas na pamantayan na tinukoy ng IETF sa RFC 7011 |
| Kakayahang umangkop | Mga pinahusay na bersyon na may mga partikular na tampok | Mas malawak na kakayahang umangkop at interoperability sa iba't ibang vendor |
| Format ng Datos | Mga pakete na may takdang laki | Pamamaraang nakabatay sa template para sa mga napapasadyang format ng talaan ng daloy |
| Suporta sa Template | Hindi sinusuportahan | Mga dinamikong template para sa pagsasama ng flexible na field |
| Suporta sa Nagbebenta | Pangunahing mga aparatong Cisco | Malawak na suporta sa mga networking vendor |
| Pagpapalawak | Limitadong pagpapasadya | Pagsasama ng mga pasadyang field at data na partikular sa application |
| Mga Pagkakaiba sa Protokol | Mga baryasyong partikular sa Cisco | Suporta sa katutubong IPv6, pinahusay na mga opsyon sa talaan ng daloy |
| Mga Tampok ng Seguridad | Limitadong mga tampok sa seguridad | Pag-encrypt ng Transport Layer Security (TLS), integridad ng mensahe |
Pagsubaybay sa Daloy ng Networkay ang pangongolekta, pagsusuri, at pagsubaybay sa trapikong dumadaan sa isang partikular na network o segment ng network. Ang mga layunin ay maaaring mag-iba mula sa pag-troubleshoot ng mga isyu sa koneksyon hanggang sa pagpaplano ng paglalaan ng bandwidth sa hinaharap. Ang pagsubaybay sa daloy at packet sampling ay maaari pang maging kapaki-pakinabang sa pagtukoy at paglutas ng mga isyu sa seguridad.
Ang pagsubaybay sa daloy ay nagbibigay sa mga networking team ng magandang ideya kung paano gumagana ang isang network, na nagbibigay ng mga pananaw sa pangkalahatang paggamit, paggamit ng application, mga potensyal na bottleneck, mga anomalya na maaaring magsenyas ng mga banta sa seguridad, at marami pang iba. Mayroong ilang iba't ibang pamantayan at format na ginagamit sa pagsubaybay sa daloy ng network, kabilang ang NetFlow, sFlow, at Internet Protocol Flow Information Export (IPFIX). Ang bawat isa ay gumagana sa bahagyang magkakaibang paraan, ngunit lahat ay naiiba sa port mirroring at deep packet inspection dahil hindi nila nakukuha ang mga nilalaman ng bawat packet na dumadaan sa isang port o sa isang switch. Gayunpaman, ang pagsubaybay sa daloy ay nagbibigay ng mas maraming impormasyon kaysa sa SNMP, na karaniwang limitado sa malawak na istatistika tulad ng pangkalahatang paggamit ng packet at bandwidth.
Mga Tool sa Daloy ng Network na Inihambing
| Tampok | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Bukas o Pagmamay-ari | Pagmamay-ari | Pagmamay-ari | Bukas | Bukas |
| Naka-sample o Batay sa Daloy | Pangunahing Batay sa Daloy; May Sampled Mode na magagamit | Pangunahing Batay sa Daloy; May Sampled Mode na magagamit | Na-sample | Pangunahing Batay sa Daloy; May Sampled Mode na magagamit |
| Impormasyong Nakuha | Metadata at impormasyong pang-estadistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Metadata at impormasyong pang-estadistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Kumpletong mga Header ng Pakete, Bahagyang mga Payload ng Pakete | Metadata at impormasyong pang-estadistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa |
| Pagsubaybay sa Pagpasok/Paglabas | Pagpasok Lamang | Pagpasok at Paglabas | Pagpasok at Paglabas | Pagpasok at Paglabas |
| Suporta sa IPv6/VLAN/MPLS | No | Oo | Oo | Oo |
Oras ng pag-post: Mar-18-2024
