Ang NetFlow at IPFIX ay parehong mga teknolohiya na ginagamit para sa pagsubaybay at pagsusuri ng daloy ng network. Nagbibigay sila ng mga pananaw sa mga pattern ng trapiko sa network, pagtulong sa pag -optimize ng pagganap, pag -aayos, at pagsusuri ng seguridad.
NetFlow:
Ano ang NetFlow?
Netfloway ang orihinal na solusyon sa pagsubaybay sa daloy, na orihinal na binuo ng Cisco sa huling bahagi ng 1990s. Maraming iba't ibang mga bersyon ang umiiral, ngunit ang karamihan sa mga pag -deploy ay batay sa alinman sa NetFlow V5 o Netflow V9. Habang ang bawat bersyon ay may iba't ibang mga kakayahan, ang pangunahing operasyon ay nananatiling pareho:
Una, ang isang router, switch, firewall, o isa pang uri ng aparato ay makakakuha ng impormasyon sa network na "daloy" - karaniwang isang hanay ng mga packet na nagbabahagi ng isang karaniwang hanay ng mga katangian tulad ng mapagkukunan at patutunguhan na address, mapagkukunan, at patutunguhan na port, at uri ng protocol. Matapos lumipas ang isang daloy o isang paunang natukoy na oras na lumipas, i -export ng aparato ang mga talaan ng daloy sa isang nilalang na kilala bilang isang "daloy ng kolektor".
Sa wakas, ang isang "daloy ng analyzer" ay may katuturan sa mga talaang iyon, na nagbibigay ng mga pananaw sa anyo ng mga visualization, istatistika, at detalyadong pag-uulat sa kasaysayan at real-time. Sa pagsasagawa, ang mga kolektor at analyzer ay madalas na isang solong nilalang, na madalas na pinagsama sa isang mas malaking solusyon sa pagsubaybay sa pagganap ng network.
Ang Netflow ay nagpapatakbo sa isang stateful na batayan. Kapag ang isang makina ng kliyente ay umabot sa isang server, ang NetFlow ay magsisimulang makuha at pinagsama -samang metadata mula sa daloy. Matapos matapos ang session, mai -export ng Netflow ang isang kumpletong record sa kolektor.
Kahit na karaniwang ginagamit ito, ang Netflow V5 ay may isang bilang ng mga limitasyon. Ang mga patlang na na -export ay naayos, ang pagsubaybay ay suportado lamang sa direksyon ng ingress, at ang mga modernong teknolohiya tulad ng IPv6, MPLS, at VXLAN ay hindi suportado. Ang NetFlow V9, na may tatak din bilang Flexible Netflow (FNF), ay tinutugunan ang ilan sa mga limitasyong ito, na nagpapahintulot sa mga gumagamit na bumuo ng mga pasadyang template at pagdaragdag ng suporta para sa mga mas bagong teknolohiya.
Maraming mga nagtitinda ang mayroon ding sariling pagmamay -ari ng pagpapatupad ng Netflow, tulad ng JFLOW mula sa Juniper at Netstream mula sa Huawei. Kahit na ang pagsasaayos ay maaaring magkakaiba, ang mga pagpapatupad na ito ay madalas na gumagawa ng mga talaan ng daloy na katugma sa mga kolektor ng Netflow at mga analyzer.
Mga pangunahing tampok ng NetFlow:
~ Daloy ng data: Ang NetFlow ay bumubuo ng mga talaan ng daloy na may kasamang mga detalye tulad ng mapagkukunan at mga patutunguhan na IP address, port, timestamp, bilang ng packet at byte, at mga uri ng protocol.
~ Pagsubaybay sa trapiko: Ang NetFlow ay nagbibigay ng kakayahang makita sa mga pattern ng trapiko sa network, na nagpapahintulot sa mga administrador na makilala ang mga nangungunang aplikasyon, mga endpoints, at mga mapagkukunan ng trapiko.
~Anomaly detection: Sa pamamagitan ng pagsusuri ng data ng daloy, ang NetFlow ay maaaring makakita ng mga anomalya tulad ng labis na paggamit ng bandwidth, kasikipan ng network, o hindi pangkaraniwang mga pattern ng trapiko.
~ Pagtatasa ng Seguridad: Maaaring magamit ang Netflow upang makita at siyasatin ang mga insidente ng seguridad, tulad ng ipinamamahagi na pagtanggi-ng-serbisyo (DDOS) na pag-atake o hindi awtorisadong pag-access sa pag-access.
Mga bersyon ng Netflow: Ang NetFlow ay nagbago sa paglipas ng panahon, at ang iba't ibang mga bersyon ay pinakawalan. Ang ilang mga kilalang bersyon ay kinabibilangan ng NetFlow V5, NetFlow V9, at nababaluktot na NetFlow. Ang bawat bersyon ay nagpapakilala ng mga pagpapahusay at karagdagang mga kakayahan.
IPFIX:
Ano ang ipfix?
Ang isang pamantayang IETF na lumitaw noong unang bahagi ng 2000, ang Internet Protocol Flow Information Export (IPFIX) ay halos kapareho sa NetFlow. Sa katunayan, ang Netflow V9 ay nagsilbi bilang batayan para sa IPFIX. Ang pangunahing pagkakaiba sa pagitan ng dalawa ay ang IPFIX ay isang bukas na pamantayan, at suportado ng maraming mga nagtitinda sa networking bukod sa Cisco. Maliban sa ilang karagdagang mga patlang na idinagdag sa IPFIX, ang mga format ay kung hindi man ay halos magkapareho. Sa katunayan, ang IPFIX ay minsan ay tinutukoy bilang "Netflow V10".
Dahil sa bahagi nito sa pagkakapareho nito sa NetFlow, ang IPFIX ay nasisiyahan sa malawak na suporta sa mga solusyon sa pagsubaybay sa network pati na rin ang kagamitan sa network.
Ang IPFIX (Internet Protocol Flow Information Export) ay isang bukas na pamantayang protocol na binuo ng Internet Engineering Task Force (IETF). Ito ay batay sa pagtutukoy ng NetFlow Version 9 at nagbibigay ng isang pamantayang format para sa pag -export ng mga talaan ng daloy mula sa mga aparato sa network.
Ang IPFIX ay nagtatayo sa mga konsepto ng NetFlow at pinalawak ang mga ito upang mag -alok ng higit na kakayahang umangkop at interoperability sa iba't ibang mga vendor at aparato. Ipinakikilala nito ang konsepto ng mga template, na nagpapahintulot para sa dynamic na kahulugan ng istraktura ng daloy ng talaan at nilalaman. Pinapayagan nito ang pagsasama ng mga pasadyang patlang, suporta para sa mga bagong protocol, at pagpapalawak.
Mga pangunahing tampok ng IPFIX:
~ Diskarte na batay sa template: Ang IPFIX ay gumagamit ng mga template upang tukuyin ang istraktura at nilalaman ng mga talaan ng daloy, na nag-aalok ng kakayahang umangkop sa pagtanggap ng iba't ibang mga patlang ng data at impormasyon na tiyak na protocol.
~ Interoperability: Ang IPFIX ay isang bukas na pamantayan, tinitiyak ang pare -pareho na mga kakayahan sa pagsubaybay sa daloy sa iba't ibang mga nagtitinda ng networking at aparato.
~ Suporta ng IPv6: Ang IPFIX ay katutubong sumusuporta sa IPv6, na ginagawang angkop para sa pagsubaybay at pagsusuri ng trapiko sa mga network ng IPv6.
~Pinahusay na seguridad: Kasama sa IPFIX ang mga tampok ng seguridad tulad ng Transport Layer Security (TLS) na pag -encrypt at mga tseke ng integridad ng mensahe upang maprotektahan ang pagiging kompidensiyal at integridad ng data ng daloy sa panahon ng paghahatid.
Ang IPFIX ay malawak na suportado ng iba't ibang mga nagtitinda ng kagamitan sa networking, na ginagawa itong isang vendor-neutral at malawak na pinagtibay na pagpipilian para sa pagsubaybay sa daloy ng network.
Kaya, ano ang pagkakaiba sa pagitan ng NetFlow at IPFIX?
Ang simpleng sagot ay ang NetFlow ay isang Cisco Proprietary Protocol na ipinakilala sa paligid ng 1996 at ang IPFIX ay ang mga pamantayang inaprubahan na katawan ng katawan nito.
Ang parehong mga protocol ay nagsisilbi sa parehong layunin: pagpapagana ng mga inhinyero ng network at mga administrador upang mangolekta at pag -aralan ang mga daloy ng trapiko sa antas ng network. Binuo ng Cisco ang NetFlow upang ang mga switch at router nito ay maaaring mag -output ng mahalagang impormasyon na ito. Dahil sa pangingibabaw ng gear ng Cisco, ang Netflow ay mabilis na naging pamantayan ng de-facto para sa pagsusuri sa trapiko sa network. Gayunpaman, natanto ng mga kakumpitensya sa industriya na ang paggamit ng isang pagmamay -ari ng protocol na kinokontrol ng punong karibal nito ay hindi isang magandang ideya at samakatuwid ang IETF ay humantong sa isang pagsisikap na pamantayan ang isang bukas na protocol para sa pagsusuri ng trapiko, na IPFIX.
Ang IPFIX ay batay sa NetFlow Bersyon 9 at orihinal na ipinakilala sa paligid ng 2005 ngunit kumuha ng ilang bilang ng mga taon upang makakuha ng pag -aampon sa industriya. Sa puntong ito, ang dalawang protocol ay mahalagang pareho at kahit na ang term na Netflow ay mas laganap pa rin ang karamihan sa mga pagpapatupad (kahit na hindi lahat) ay katugma sa pamantayang IPFIX.
Narito ang isang talahanayan na nagbubuod ng mga pagkakaiba sa pagitan ng NetFlow at IPFIX:
| Aspeto | Netflow | IPFIX |
|---|---|---|
| Pinagmulan | Proprietary Technology na binuo ng Cisco | Ang protocol na pamantayan sa industriya batay sa bersyon ng NetFlow 9 |
| Standardisasyon | Teknolohiya na tiyak sa Cisco | Buksan ang pamantayang tinukoy ng IETF sa RFC 7011 |
| Kakayahang umangkop | Ang mga nagbabago na bersyon na may mga tiyak na tampok | Higit na kakayahang umangkop at interoperability sa buong mga vendor |
| Format ng data | Naayos na laki ng mga packet | Ang diskarte na batay sa template para sa napapasadyang mga format ng record ng daloy ng daloy |
| Suporta sa template | Hindi suportado | Ang mga dinamikong template para sa nababaluktot na pagsasama sa larangan |
| Suporta ng Vendor | Pangunahin ang mga aparato ng Cisco | Malawak na suporta sa mga nagtitinda sa networking |
| Extensibility | Limitadong pagpapasadya | Pagsasama ng mga pasadyang patlang at data na tukoy sa application |
| Mga pagkakaiba sa protocol | Mga pagkakaiba-iba ng tiyak na Cisco | Katutubong suporta ng IPv6, pinahusay na mga pagpipilian sa record ng daloy |
| Mga tampok ng seguridad | Limitadong mga tampok ng seguridad | Pag -encrypt ng Transport Layer Security (TLS), integridad ng mensahe |
Pagsubaybay sa daloy ng networkay ang koleksyon, pagsusuri, at pagsubaybay sa trapiko na naglalakad sa isang naibigay na segment ng network o network. Ang mga layunin ay maaaring mag -iba mula sa pag -aayos ng mga isyu sa koneksyon sa pagpaplano sa hinaharap na paglalaan ng bandwidth. Ang pagsubaybay sa daloy at pag -sampol ng packet ay maaaring maging kapaki -pakinabang sa pagkilala at pag -remedyo ng mga isyu sa seguridad.
Ang pagsubaybay sa daloy ay nagbibigay ng mga koponan sa networking ng isang magandang ideya kung paano gumagana ang isang network, na nagbibigay ng mga pananaw sa pangkalahatang paggamit, paggamit ng aplikasyon, mga potensyal na bottlenecks, anomalya na maaaring mag -signal ng mga banta sa seguridad, at marami pa. Mayroong maraming iba't ibang mga pamantayan at mga format na ginagamit sa pagsubaybay sa daloy ng network, kabilang ang Netflow, SFLOW, at Internet Protocol Flow Information Export (IPFIX). Ang bawat isa ay gumagana sa isang bahagyang magkakaibang paraan, ngunit ang lahat ay naiiba mula sa port mirroring at malalim na inspeksyon ng packet na hindi nila nakuha ang mga nilalaman ng bawat packet na dumadaan sa isang port o sa pamamagitan ng isang switch. Gayunpaman, ang pagsubaybay sa daloy ay nagbibigay ng mas maraming impormasyon kaysa sa SNMP, na sa pangkalahatan ay limitado sa malawak na istatistika tulad ng pangkalahatang paggamit ng packet at bandwidth.
Ang mga tool sa daloy ng network ay inihambing
| Tampok | Netflow v5 | Netflow v9 | sflow | IPFIX |
| Bukas o pagmamay -ari | Pagmamay -ari | Pagmamay -ari | Buksan | Buksan |
| Naka -sample o batay sa daloy | Pangunahing batay sa daloy; Magagamit ang naka -sample na mode | Pangunahing batay sa daloy; Magagamit ang naka -sample na mode | Naka -sample | Pangunahing batay sa daloy; Magagamit ang naka -sample na mode |
| Nakunan ng impormasyon | Metadata at impormasyon sa istatistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Metadata at impormasyon sa istatistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa | Kumpletuhin ang mga header ng packet, bahagyang packet payload | Metadata at impormasyon sa istatistika, kabilang ang mga byte na inilipat, mga counter ng interface at iba pa |
| Pagmamanman ng Ingress/Egress | Ingress lamang | Ingress at egress | Ingress at egress | Ingress at egress |
| Suporta ng IPv6/VLAN/MPLS | No | Oo | Oo | Oo |
Oras ng Mag-post: Mar-18-2024
