Ang NetFlow at IPFIX ay parehong mga teknolohiyang ginagamit para sa pagsubaybay at pagsusuri ng daloy ng network.Nagbibigay sila ng mga insight sa mga pattern ng trapiko sa network, na tumutulong sa pag-optimize ng performance, pag-troubleshoot, at pagsusuri sa seguridad.
NetFlow:
Ano ang NetFlow?
NetFloway ang orihinal na solusyon sa pagsubaybay sa daloy, na orihinal na binuo ng Cisco noong huling bahagi ng 1990s.Mayroong ilang iba't ibang bersyon, ngunit karamihan sa mga deployment ay batay sa alinman sa NetFlow v5 o NetFlow v9.Habang ang bawat bersyon ay may iba't ibang mga kakayahan, ang pangunahing operasyon ay nananatiling pareho:
Una, ang isang router, switch, firewall, o ibang uri ng device ay kukuha ng impormasyon sa "mga daloy" ng network - karaniwang isang hanay ng mga packet na nagbabahagi ng isang karaniwang hanay ng mga katangian tulad ng source at destination address, source, at destination port, at protocol uri.Pagkatapos makatulog ang isang daloy o lumipas ang isang paunang natukoy na tagal ng oras, ie-export ng device ang mga talaan ng daloy sa isang entity na kilala bilang isang "flow collector."
Sa wakas, ang isang "flow analyzer" ay may katuturan sa mga talaang iyon, na nagbibigay ng mga insight sa anyo ng mga visualization, istatistika, at detalyadong pag-uulat sa kasaysayan at real-time.Sa pagsasagawa, ang mga collectors at analyzer ay madalas na iisang entity, kadalasang pinagsama sa isang mas malaking network performance monitoring solution.
Ang NetFlow ay gumagana sa isang stateful na batayan.Kapag naabot ng isang client machine ang isang server, magsisimula ang NetFlow sa pagkuha at pagsasama-sama ng metadata mula sa daloy.Matapos wakasan ang session, mag-e-export ang NetFlow ng isang kumpletong record sa kolektor.
Bagama't karaniwan pa rin itong ginagamit, ang NetFlow v5 ay may bilang ng mga limitasyon.Ang mga field na na-export ay naayos, ang pagsubaybay ay sinusuportahan lamang sa direksyon ng pagpasok, at ang mga modernong teknolohiya tulad ng IPv6, MPLS, at VXLAN ay hindi suportado.Ang NetFlow v9, na binansagan din bilang Flexible NetFlow (FNF), ay tumutugon sa ilan sa mga limitasyong ito, na nagpapahintulot sa mga user na bumuo ng mga custom na template at magdagdag ng suporta para sa mga mas bagong teknolohiya.
Maraming vendor ay mayroon ding sariling pagmamay-ari na pagpapatupad ng NetFlow, tulad ng jFlow mula sa Juniper at NetStream mula sa Huawei.Bagama't maaaring medyo naiiba ang pagsasaayos, ang mga pagpapatupad na ito ay kadalasang gumagawa ng mga talaan ng daloy na tugma sa mga kolektor at analisador ng NetFlow.
Mga Pangunahing Tampok ng NetFlow:
~ Data ng Daloy: Bumubuo ang NetFlow ng mga talaan ng daloy na kinabibilangan ng mga detalye gaya ng pinagmulan at patutunguhang mga IP address, port, timestamp, bilang ng packet at byte, at mga uri ng protocol.
~ Pagsubaybay sa Trapiko: Nagbibigay ang NetFlow ng visibility sa mga pattern ng trapiko sa network, na nagpapahintulot sa mga administrator na tukuyin ang mga nangungunang application, endpoint, at pinagmumulan ng trapiko.
~Pagtuklas ng Anomalya: Sa pamamagitan ng pagsusuri ng data ng daloy, maaaring matukoy ng NetFlow ang mga anomalya gaya ng labis na paggamit ng bandwidth, pagsisikip ng network, o hindi pangkaraniwang mga pattern ng trapiko.
~ Pagsusuri sa Seguridad: Maaaring gamitin ang NetFlow upang makita at imbestigahan ang mga insidente sa seguridad, tulad ng mga distributed denial-of-service (DDoS) na pag-atake o hindi awtorisadong mga pagtatangka sa pag-access.
Mga Bersyon ng NetFlow: Ang NetFlow ay umunlad sa paglipas ng panahon, at iba't ibang bersyon ang inilabas.Kasama sa ilang kilalang bersyon ang NetFlow v5, NetFlow v9, at Flexible NetFlow.Ang bawat bersyon ay nagpapakilala ng mga pagpapahusay at karagdagang mga kakayahan.
IPFIX:
Ano ang IPFIX?
Isang pamantayang IETF na lumitaw noong unang bahagi ng 2000s, ang Internet Protocol Flow Information Export (IPFIX) ay lubos na katulad sa NetFlow.Sa katunayan, ang NetFlow v9 ay nagsilbing batayan para sa IPFIX.Ang pangunahing pagkakaiba sa pagitan ng dalawa ay ang IPFIX ay isang bukas na pamantayan, at sinusuportahan ng maraming networking vendor bukod sa Cisco.Maliban sa ilang karagdagang field na idinagdag sa IPFIX, ang mga format ay halos magkapareho.Sa katunayan, ang IPFIX ay minsan pa ngang tinutukoy bilang "NetFlow v10".
Dahil sa bahagi ng pagkakatulad nito sa NetFlow, tinatangkilik ng IPFIX ang malawak na suporta sa mga solusyon sa pagsubaybay sa network pati na rin sa mga kagamitan sa network.
Ang IPFIX (Internet Protocol Flow Information Export) ay isang open standard protocol na binuo ng Internet Engineering Task Force (IETF).Nakabatay ito sa detalye ng NetFlow Version 9 at nagbibigay ng standardized na format para sa pag-export ng mga flow record mula sa mga network device.
Bumubuo ang IPFIX sa mga konsepto ng NetFlow at pinalawak ang mga ito upang mag-alok ng higit na flexibility at interoperability sa iba't ibang vendor at device.Ipinakilala nito ang konsepto ng mga template, na nagbibigay-daan para sa pabago-bagong kahulugan ng istraktura ng talaan ng daloy at nilalaman.Nagbibigay-daan ito sa pagsasama ng mga custom na field, suporta para sa mga bagong protocol, at extensibility.
Mga Pangunahing Tampok ng IPFIX:
~ Diskarte na Batay sa Template: Gumagamit ang IPFIX ng mga template upang tukuyin ang istraktura at nilalaman ng mga talaan ng daloy, na nag-aalok ng flexibility sa pagtanggap ng iba't ibang field ng data at impormasyong tukoy sa protocol.
~ Interoperability: Ang IPFIX ay isang bukas na pamantayan, na tinitiyak ang pare-parehong kakayahan sa pagsubaybay sa daloy sa iba't ibang networking vendor at device.
~ Suporta sa IPv6: Ang IPFIX ay katutubong sumusuporta sa IPv6, na ginagawa itong angkop para sa pagsubaybay at pagsusuri ng trapiko sa mga IPv6 network.
~Pinahusay na Seguridad: Kasama sa IPFIX ang mga tampok na panseguridad tulad ng Transport Layer Security (TLS) encryption at mga pagsusuri sa integridad ng mensahe upang protektahan ang pagiging kumpidensyal at integridad ng daloy ng data sa panahon ng paghahatid.
Ang IPFIX ay malawak na sinusuportahan ng iba't ibang networking equipment vendor, ginagawa itong isang vendor-neutral at malawak na pinagtibay na pagpipilian para sa network flow monitoring.
Kaya, ano ang pagkakaiba sa pagitan ng NetFlow at IPFIX?
Ang simpleng sagot ay ang NetFlow ay isang Cisco proprietary protocol na ipinakilala noong 1996 at ang IPFIX ay ang standards body na naaprubahan nitong kapatid.
Ang parehong mga protocol ay nagsisilbi sa parehong layunin: pagpapagana sa mga network engineer at administrator na mangolekta at suriin ang antas ng network ng IP daloy ng trapiko.Binuo ng Cisco ang NetFlow upang mai-output ng mga switch at router nito ang mahalagang impormasyong ito.Dahil sa pangingibabaw ng Cisco gear, mabilis na naging de-facto standard ang NetFlow para sa pagsusuri sa trapiko ng network.Gayunpaman, napagtanto ng mga kakumpitensya sa industriya na ang paggamit ng proprietary protocol na kinokontrol ng pangunahing karibal nito ay hindi magandang ideya at samakatuwid ang IETF ay nanguna sa pagsisikap na gawing pamantayan ang isang bukas na protocol para sa pagsusuri sa trapiko, na IPFIX.
Ang IPFIX ay batay sa NetFlow na bersyon 9 at orihinal na ipinakilala noong 2005 ngunit tumagal ng ilang taon upang makuha ang pag-aampon sa industriya.Sa puntong ito, ang dalawang protocol ay halos pareho at kahit na ang terminong NetFlow ay mas laganap pa rin ang karamihan sa mga pagpapatupad (bagaman hindi lahat) ay tugma sa pamantayan ng IPFIX.
Narito ang isang talahanayan na nagbubuod sa mga pagkakaiba sa pagitan ng NetFlow at IPFIX:
| Aspeto | NetFlow | IPFIX |
|---|---|---|
| Pinagmulan | Proprietary na teknolohiya na binuo ng Cisco | Industry-standard na protocol batay sa NetFlow Bersyon 9 |
| Standardisasyon | teknolohiyang partikular sa Cisco | Buksan ang pamantayan na tinukoy ng IETF sa RFC 7011 |
| Kakayahang umangkop | Mga nagbagong bersyon na may mga partikular na feature | Higit na flexibility at interoperability sa mga vendor |
| Format ng Data | Fixed-size na mga packet | Nakabatay sa template na diskarte para sa nako-customize na mga format ng talaan ng daloy |
| Suporta sa Template | Hindi suportado | Mga dynamic na template para sa flexible na pagsasama ng field |
| Suporta sa Vendor | Pangunahin ang mga aparatong Cisco | Malawak na suporta sa buong networking vendor |
| Extensibility | Limitadong pagpapasadya | Pagsasama ng mga custom na field at data na tukoy sa application |
| Mga Pagkakaiba sa Protocol | Mga variation na partikular sa Cisco | Suporta ng katutubong IPv6, pinahusay na mga opsyon sa talaan ng daloy |
| Katangian ng seguridad | Limitadong mga tampok sa seguridad | Transport Layer Security (TLS) encryption, integridad ng mensahe |
Pagsubaybay sa Daloy ng Networkay ang pagkolekta, pagsusuri, at pagsubaybay ng trapiko na dumadaan sa isang partikular na network o segment ng network.Maaaring mag-iba ang mga layunin mula sa pag-troubleshoot ng mga isyu sa koneksyon hanggang sa pagpaplano ng paglalaan ng bandwidth sa hinaharap.Ang pagsubaybay sa daloy at packet sampling ay maaaring maging kapaki-pakinabang sa pagtukoy at pag-aayos ng mga isyu sa seguridad.
Ang pagsubaybay sa daloy ay nagbibigay sa mga networking team ng magandang ideya kung paano gumagana ang isang network, na nagbibigay ng mga insight sa pangkalahatang paggamit, paggamit ng application, mga potensyal na bottleneck, mga anomalya na maaaring magpahiwatig ng mga banta sa seguridad, at higit pa.Mayroong ilang iba't ibang pamantayan at format na ginagamit sa pagsubaybay sa daloy ng network, kabilang ang NetFlow, sFlow, at Internet Protocol Flow Information Export (IPFIX).Ang bawat isa ay gumagana sa isang bahagyang naiibang paraan, ngunit ang lahat ay naiiba sa port mirroring at malalim na packet inspection dahil hindi nila nakukuha ang mga nilalaman ng bawat packet na dumadaan sa isang port o sa pamamagitan ng switch.Gayunpaman, ang pagsubaybay sa daloy ay nagbibigay ng higit pang impormasyon kaysa sa SNMP, na karaniwang limitado sa malawak na istatistika tulad ng pangkalahatang paggamit ng packet at bandwidth.
Pinaghambing ang Mga Tool sa Daloy ng Network
| Tampok | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Bukas o Pagmamay-ari | Pagmamay-ari | Pagmamay-ari | Bukas | Bukas |
| Sample o Flow Based | Pangunahing Batay sa Daloy;Available ang Sampled Mode | Pangunahing Batay sa Daloy;Available ang Sampled Mode | Na-sample | Pangunahing Batay sa Daloy;Available ang Sampled Mode |
| Nakuha ang impormasyon | Metadata at istatistikal na impormasyon, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Metadata at istatistikal na impormasyon, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Mga Kumpletong Packet Header, Mga Bahagyang Packet Payload | Metadata at istatistikal na impormasyon, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa |
| Pagsubaybay sa Ingress/Egress | Ingress Lamang | Ingress at Egress | Ingress at Egress | Ingress at Egress |
| Suporta sa IPv6/VLAN/MPLS | No | Oo | Oo | Oo |
Oras ng post: Mar-18-2024
