NetFlow och IPFIX är båda tekniker som används för övervakning och analys av nätverksflöden. De ger insikter i nätverkstrafikmönster, vilket hjälper till med prestandaoptimering, felsökning och säkerhetsanalys.
NetFlow:
Vad är NetFlow?
NetFlowär den ursprungliga flödesövervakningslösningen, ursprungligen utvecklad av Cisco i slutet av 1990-talet. Flera olika versioner finns, men de flesta implementeringar är baserade på antingen NetFlow v5 eller NetFlow v9. Även om varje version har olika funktioner, förblir den grundläggande funktionen densamma:
Först kommer en router, switch, brandvägg eller någon annan typ av enhet att samla in information om nätverkets "flöden" – i princip en uppsättning paket som delar en gemensam uppsättning egenskaper som käll- och destinationsadress, käll- och destinationsport samt protokolltyp. Efter att ett flöde har blivit inaktivt eller en fördefinierad tid har gått, kommer enheten att exportera flödesposterna till en enhet som kallas en "flödesinsamlare".
Slutligen kan en "flödesanalysator" analysera dessa register och ge insikter i form av visualiseringar, statistik och detaljerad historisk rapportering och rapportering i realtid. I praktiken är insamlare och analysatorer ofta en enda enhet, ofta kombinerade till en större lösning för övervakning av nätverksprestanda.
NetFlow fungerar på en tillståndsbaserad basis. När en klientdator kontaktar en server börjar NetFlow samla in och aggregera metadata från flödet. Efter att sessionen avslutats exporterar NetFlow en enda komplett post till insamlaren.
Även om det fortfarande används ofta har NetFlow v5 ett antal begränsningar. De exporterade fälten är fasta, övervakning stöds endast i ingångsriktningen och moderna tekniker som IPv6, MPLS och VXLAN stöds inte. NetFlow v9, även märkt som Flexible NetFlow (FNF), åtgärdar några av dessa begränsningar, vilket gör det möjligt för användare att bygga anpassade mallar och lägga till stöd för nyare tekniker.
Många leverantörer har också sina egna proprietära implementeringar av NetFlow, såsom jFlow från Juniper och NetStream från Huawei. Även om konfigurationen kan skilja sig något, producerar dessa implementeringar ofta flödesposter som är kompatibla med NetFlow-insamlare och analysatorer.
Viktiga funktioner i NetFlow:
~ FlödesdataNetFlow genererar flödesposter som innehåller detaljer som käll- och destinations-IP-adresser, portar, tidsstämplar, paket- och byteantal och protokolltyper.
~ TrafikövervakningNetFlow ger insyn i nätverkstrafikmönster, vilket gör det möjligt för administratörer att identifiera de viktigaste applikationerna, slutpunkterna och trafikkällorna.
~AvvikelsedetekteringGenom att analysera flödesdata kan NetFlow upptäcka avvikelser som överdriven bandbreddsutnyttjande, nätverksöverbelastning eller ovanliga trafikmönster.
~ SäkerhetsanalysNetFlow kan användas för att upptäcka och utreda säkerhetsincidenter, såsom distribuerade denial-of-service (DDoS)-attacker eller obehöriga åtkomstförsök.
NetFlow-versionerNetFlow har utvecklats över tid, och olika versioner har släppts. Några anmärkningsvärda versioner inkluderar NetFlow v5, NetFlow v9 och Flexible NetFlow. Varje version introducerar förbättringar och ytterligare funktioner.
IPFIX:
Vad är IPFIX?
Internet Protocol Flow Information Export (IPFIX), en IETF-standard som uppstod i början av 2000-talet, är extremt lik NetFlow. Faktum är att NetFlow v9 låg till grund för IPFIX. Den primära skillnaden mellan de två är att IPFIX är en öppen standard och stöds av många nätverksleverantörer förutom Cisco. Med undantag för några ytterligare fält som lagts till i IPFIX är formaten i övrigt nästan identiska. Faktum är att IPFIX ibland till och med kallas för "NetFlow v10".
Delvis på grund av dess likheter med NetFlow har IPFIX brett stöd bland nätverksövervakningslösningar såväl som nätverksutrustning.
IPFIX (Internet Protocol Flow Information Export) är ett öppet standardprotokoll som utvecklats av Internet Engineering Task Force (IETF). Det är baserat på NetFlow version 9-specifikationen och tillhandahåller ett standardiserat format för export av flödesposter från nätverksenheter.
IPFIX bygger vidare på koncepten i NetFlow och utökar dem för att erbjuda mer flexibilitet och interoperabilitet mellan olika leverantörer och enheter. Det introducerar konceptet med mallar, vilket möjliggör dynamisk definition av flödespoststruktur och innehåll. Detta möjliggör inkludering av anpassade fält, stöd för nya protokoll och utökningsmöjligheter.
Viktiga funktioner hos IPFIX:
~ Mallbaserad metodIPFIX använder mallar för att definiera strukturen och innehållet i flödesposter, vilket ger flexibilitet för att hantera olika datafält och protokollspecifik information.
~ InteroperabilitetIPFIX är en öppen standard som säkerställer konsekventa flödesövervakningsfunktioner över olika nätverksleverantörer och enheter.
~ IPv6-stödIPFIX har inbyggt stöd för IPv6, vilket gör det lämpligt för att övervaka och analysera trafik i IPv6-nätverk.
~Förbättrad säkerhetIPFIX inkluderar säkerhetsfunktioner som TLS-kryptering (Transport Layer Security) och integritetskontroller för att skydda flödesdatans sekretess och integritet under överföring.
IPFIX stöds i stor utsträckning av olika leverantörer av nätverksutrustning, vilket gör det till ett leverantörsneutralt och allmänt antaget val för övervakning av nätverksflöden.
Så, vad är skillnaden mellan NetFlow och IPFIX?
Det enkla svaret är att NetFlow är ett Cisco-proprietärt protokoll som introducerades runt 1996 och IPFIX är dess standardiseringsorgangodkända bror.
Båda protokollen tjänar samma syfte: att göra det möjligt för nätverksingenjörer och administratörer att samla in och analysera IP-trafikflöden på nätverksnivå. Cisco utvecklade NetFlow så att deras switchar och routrar kunde mata ut denna värdefulla information. Med tanke på Ciscos dominans blev NetFlow snabbt de facto-standarden för nätverkstrafikanalys. Konkurrenter i branschen insåg dock att det inte var en bra idé att använda ett proprietärt protokoll som kontrollerades av dess huvudrival, och därför ledde IETF ett försök att standardisera ett öppet protokoll för trafikanalys, IPFIX.
IPFIX är baserat på NetFlow version 9 och introducerades ursprungligen runt 2005, men det tog ett antal år innan det blev populärt inom branschen. I nuläget är de två protokollen i huvudsak desamma, och även om termen NetFlow fortfarande är vanligare är de flesta implementeringar (men inte alla) kompatibla med IPFIX-standarden.
Här är en tabell som sammanfattar skillnaderna mellan NetFlow och IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Ursprung | Egenutvecklad teknik utvecklad av Cisco | Branschstandardprotokoll baserat på NetFlow version 9 |
| Standardisering | Cisco-specifik teknik | Öppen standard definierad av IETF i RFC 7011 |
| Flexibilitet | Utvecklade versioner med specifika funktioner | Större flexibilitet och interoperabilitet mellan leverantörer |
| Dataformat | Paket med fast storlek | Mallbaserad metod för anpassningsbara flödespostformat |
| Mallstöd | Stöds inte | Dynamiska mallar för flexibel fältinkludering |
| Leverantörssupport | Främst Cisco-enheter | Brett stöd från olika nätverksleverantörer |
| Sträckbarhet | Begränsad anpassning | Inkludering av anpassade fält och applikationsspecifika data |
| Protokollskillnader | Cisco-specifika variationer | Inbyggt IPv6-stöd, förbättrade alternativ för flödesregistrering |
| Säkerhetsfunktioner | Begränsade säkerhetsfunktioner | TLS-kryptering (Transport Layer Security), meddelandeintegritet |
Nätverksflödesövervakningär insamling, analys och övervakning av trafik som passerar ett givet nätverk eller nätverkssegment. Målen kan variera från felsökning av anslutningsproblem till planering av framtida bandbreddsfördelning. Flödesövervakning och paketsampling kan till och med vara användbara för att identifiera och åtgärda säkerhetsproblem.
Flödesövervakning ger nätverksteam en bra uppfattning om hur ett nätverk fungerar och ger insikter i övergripande användning, applikationsanvändning, potentiella flaskhalsar, avvikelser som kan signalera säkerhetshot och mer. Det finns flera olika standarder och format som används för nätverksflödesövervakning, inklusive NetFlow, sFlow och Internet Protocol Flow Information Export (IPFIX). Var och en fungerar på ett något annorlunda sätt, men alla skiljer sig från portspegling och djup paketinspektion genom att de inte fångar innehållet i varje paket som passerar över en port eller genom en switch. Flödesövervakning ger dock mer information än SNMP, som i allmänhet är begränsad till bred statistik som övergripande paket- och bandbreddsanvändning.
Jämförelse av nätverksflödesverktyg
| Särdrag | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Öppet eller proprietärt | Egenutvecklad | Egenutvecklad | Öppna | Öppna |
| Samplad eller flödesbaserad | Primärt flödesbaserat; samplat läge är tillgängligt | Primärt flödesbaserat; samplat läge är tillgängligt | Samplad | Primärt flödesbaserat; samplat läge är tillgängligt |
| Information som fångats in | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare | Kompletta paketrubriker, delvisa paketnyttolaster | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare |
| Övervakning av in-/utgång | Endast ingång | Ingång och utgång | Ingång och utgång | Ingång och utgång |
| IPv6/VLAN/MPLS-stöd | No | Ja | Ja | Ja |
Publiceringstid: 18 mars 2024
