Vad är skillnaden mellan NetFlow och IPFIX för nätverksflödesövervakning?

NetFlow och IPFIX är båda tekniker som används för nätverksflödesövervakning och analys. De ger insikter i nätverkstrafikmönster, hjälper till med prestandaoptimering, felsökning och säkerhetsanalys.

NetFlow:

Vad är NetFlow?

NetFlowär den ursprungliga flödesövervakningslösningen, som ursprungligen utvecklades av Cisco i slutet av 1990-talet. Det finns flera olika versioner, men de flesta distributioner är baserade på antingen NetFlow v5 eller NetFlow v9. Även om varje version har olika möjligheter, förblir den grundläggande operationen densamma:

För det första kommer en router, switch, brandvägg eller annan typ av enhet att fånga information om nätverkets "flöden" - i princip en uppsättning paket som delar en gemensam uppsättning egenskaper som käll- och destinationsadress, källa och destinationsport och protokoll typ. Efter att ett flöde har blivit vilande eller en fördefinierad tid har gått, kommer enheten att exportera flödesposterna till en enhet som kallas en "flödesuppsamlare".

Slutligen ger en "flödesanalysator" mening med dessa poster, och ger insikter i form av visualiseringar, statistik och detaljerad historisk och realtidsrapportering. I praktiken är samlare och analysatorer ofta en enda enhet, ofta kombinerade till en större lösning för övervakning av nätverksprestanda.

NetFlow arbetar på en tillståndsbaserad grund. När en klientdator når ut till en server kommer NetFlow att börja samla in och aggregera metadata från flödet. Efter att sessionen har avslutats kommer NetFlow att exportera en enda komplett post till insamlaren.

Även om det fortfarande används ofta har NetFlow v5 ett antal begränsningar. Fälten som exporteras är fasta, övervakning stöds endast i ingångsriktningen och modern teknik som IPv6, MPLS och VXLAN stöds inte. NetFlow v9, även märkt som Flexible NetFlow (FNF), åtgärdar några av dessa begränsningar, vilket gör att användare kan bygga anpassade mallar och lägga till stöd för nyare teknologier.

Många leverantörer har också sina egna proprietära implementeringar av NetFlow, som jFlow från Juniper och NetStream från Huawei. Även om konfigurationen kan skilja sig något, producerar dessa implementeringar ofta flödesposter som är kompatibla med NetFlow-samlare och analysatorer.

Huvudfunktioner i NetFlow:

~ Flödesdata: NetFlow genererar flödesposter som inkluderar detaljer som käll- och destinations-IP-adresser, portar, tidsstämplar, antal paket och byte samt protokolltyper.

~ Trafikövervakning: NetFlow ger insyn i nätverkstrafikmönster, vilket gör att administratörer kan identifiera toppapplikationer, slutpunkter och trafikkällor.

~Anomalidetektering: Genom att analysera flödesdata kan NetFlow upptäcka anomalier som överdrivet bandbreddsutnyttjande, nätverksstockning eller ovanliga trafikmönster.

~ Säkerhetsanalys: NetFlow kan användas för att upptäcka och undersöka säkerhetsincidenter, såsom distribuerade denial-of-service-attacker (DDoS) eller obehöriga åtkomstförsök.

NetFlow-versioner: NetFlow har utvecklats över tiden, och olika versioner har släppts. Några anmärkningsvärda versioner inkluderar NetFlow v5, NetFlow v9 och Flexible NetFlow. Varje version introducerar förbättringar och ytterligare funktioner.

IPFIX:

Vad är IPFIX?

En IETF-standard som växte fram i början av 2000-talet, Internet Protocol Flow Information Export (IPFIX) är extremt lik NetFlow. Faktum är att NetFlow v9 fungerade som grunden för IPFIX. Den primära skillnaden mellan de två är att IPFIX är en öppen standard och stöds av många nätverksleverantörer förutom Cisco. Med undantag för några ytterligare fält som lagts till i IPFIX, är formaten i övrigt nästan identiska. Faktum är att IPFIX ibland till och med kallas för "NetFlow v10".

Delvis på grund av dess likheter med NetFlow, åtnjuter IPFIX ett brett stöd bland nätverksövervakningslösningar såväl som nätverksutrustning.

IPFIX (Internet Protocol Flow Information Export) är ett öppet standardprotokoll utvecklat av Internet Engineering Task Force (IETF). Den är baserad på NetFlow version 9-specifikationen och tillhandahåller ett standardiserat format för export av flödesposter från nätverksenheter.

IPFIX bygger på koncepten från NetFlow och utökar dem för att erbjuda mer flexibilitet och interoperabilitet mellan olika leverantörer och enheter. Den introducerar begreppet mallar, vilket möjliggör dynamisk definition av flödespoststruktur och innehåll. Detta möjliggör inkludering av anpassade fält, stöd för nya protokoll och utökbarhet.

Huvudfunktioner i IPFIX:

~ Mallbaserad tillvägagångssätt: IPFIX använder mallar för att definiera strukturen och innehållet i flödesposter, vilket ger flexibilitet när det gäller att ta emot olika datafält och protokollspecifik information.

~ Interoperabilitet: IPFIX är en öppen standard som säkerställer konsekventa flödesövervakningsmöjligheter över olika nätverksleverantörer och enheter.

~ IPv6-stöd: IPFIX har inbyggt stöd för IPv6, vilket gör den lämplig för att övervaka och analysera trafik i IPv6-nätverk.

~Förbättrad säkerhet: IPFIX inkluderar säkerhetsfunktioner som Transport Layer Security (TLS)-kryptering och meddelandeintegritetskontroller för att skydda flödesdatas konfidentialitet och integritet under överföring.

IPFIX stöds brett av olika leverantörer av nätverksutrustning, vilket gör det till ett leverantörsneutralt och allmänt antaget val för nätverksflödesövervakning.

 

Så, vad är skillnaden mellan NetFlow och IPFIX?

Det enkla svaret är att NetFlow är ett egenutvecklat Cisco-protokoll som introducerades runt 1996 och IPFIX är dess bror som godkänts av standardorganet.

Båda protokollen tjänar samma syfte: att göra det möjligt för nätverksingenjörer och administratörer att samla in och analysera IP-trafikflöden på nätverksnivå. Cisco utvecklade NetFlow så att dess switchar och routrar kunde mata ut denna värdefulla information. Med tanke på dominansen av Cisco-utrustning blev NetFlow snabbt den de facto-standarden för nätverkstrafikanalys. Branschkonkurrenter insåg dock att det inte var en bra idé att använda ett proprietärt protokoll som kontrollerades av dess främsta rival och därför ledde IETF ett försök att standardisera ett öppet protokoll för trafikanalys, vilket är IPFIX.

IPFIX är baserat på NetFlow version 9 och introducerades ursprungligen runt 2005 men det tog ett antal år att få branschen att ta till sig. Vid denna tidpunkt är de två protokollen i huvudsak desamma och även om termen NetFlow fortfarande är vanligare är de flesta implementeringar (men inte alla) kompatibla med IPFIX-standarden.

Här är en tabell som sammanfattar skillnaderna mellan NetFlow och IPFIX:

Aspekt NetFlow IPFIX
Ursprung Proprietär teknologi utvecklad av Cisco Branschstandardprotokoll baserat på NetFlow version 9
Standardisering Cisco-specifik teknik Öppen standard definierad av IETF i RFC 7011
Flexibilitet Utvecklade versioner med specifika funktioner Större flexibilitet och interoperabilitet mellan leverantörer
Dataformat Paket med fast storlek Mallbaserat tillvägagångssätt för anpassningsbara flödespostformat
Mallstöd Stöds inte Dynamiska mallar för flexibel fältinkludering
Leverantörssupport Främst Cisco-enheter Brett stöd för nätverksleverantörer
Sträckbarhet Begränsad anpassning Inkludering av anpassade fält och applikationsspecifik data
Protokollskillnader Cisco-specifika varianter Native IPv6-stöd, förbättrade flödesregistreringsalternativ
Säkerhetsfunktioner Begränsade säkerhetsfunktioner Transport Layer Security (TLS)-kryptering, meddelandeintegritet

Nätverksflödesövervakningär insamling, analys och övervakning av trafik som passerar ett givet nätverk eller nätverkssegment. Målen kan variera från felsökning av anslutningsproblem till planering av framtida bandbreddsallokering. Flödesövervakning och paketsampling kan till och med vara användbara för att identifiera och åtgärda säkerhetsproblem.

Flödesövervakning ger nätverksteam en god uppfattning om hur ett nätverk fungerar, ger insikter om övergripande användning, applikationsanvändning, potentiella flaskhalsar, anomalier som kan signalera säkerhetshot och mer. Det finns flera olika standarder och format som används i nätverksflödesövervakning, inklusive NetFlow, sFlow och Internet Protocol Flow Information Export (IPFIX). Var och en fungerar på lite olika sätt, men alla skiljer sig från portspegling och djup paketinspektion genom att de inte fångar innehållet i varje paket som passerar över en port eller genom en switch. Flödesövervakning ger dock mer information än SNMP, som i allmänhet är begränsad till bred statistik som övergripande paket- och bandbreddsanvändning.

Nätverksflödesverktyg jämfört

Särdrag NetFlow v5 NetFlow v9 sFlow IPFIX
Öppen eller proprietär Proprietär Proprietär Öppna Öppna
Samplad eller flödesbaserad Primärt flödesbaserad; Samplad läge är tillgängligt Primärt flödesbaserad; Samplad läge är tillgängligt Samplade Primärt flödesbaserad; Samplad läge är tillgängligt
Information fångad Metadata och statistisk information, inklusive överförda bytes, gränssnittsräknare och så vidare Metadata och statistisk information, inklusive överförda bytes, gränssnittsräknare och så vidare Kompletta pakethuvuden, partiella paketnyttolaster Metadata och statistisk information, inklusive överförda bytes, gränssnittsräknare och så vidare
Övervakning av ingång/utträde Endast ingång Ingång och utträde Ingång och utträde Ingång och utträde
Stöd för IPv6/VLAN/MPLS No Ja Ja Ja

Posttid: Mar-18-2024