NetFlow och IPFIX är båda tekniker som används för övervakning och analys av nätverksflödesflödesflödet. De ger insikter i nätverkstrafikmönster, hjälper till att göra prestandaoptimering, felsökning och säkerhetsanalys.
NetFlow:
Vad är NetFlow?
Netflödeär den ursprungliga flödesövervakningslösningen, ursprungligen utvecklad av Cisco i slutet av 1990 -talet. Flera olika versioner finns, men de flesta distributioner är baserade på antingen NetFlow V5 eller NetFlow V9. Medan varje version har olika funktioner förblir den grundläggande operationen densamma:
Först kommer en router, switch, brandvägg eller en annan typ av enhet att fånga information på nätverket "flöden" - i princip en uppsättning paket som delar en gemensam uppsättning egenskaper som källa och destinationsadress, källa och destinationsport och protokolltyp. Efter att ett flöde har gått vilande eller en fördefinierad tid har gått, kommer enheten att exportera flödesposterna till en enhet som kallas en "flödessamlare".
Slutligen är en "flödesanalysator" känsla av dessa poster, vilket ger insikter i form av visualiseringar, statistik och detaljerad historisk och realtidsrapportering. I praktiken är samlare och analysatorer ofta en enda enhet, ofta kombinerad till en större övervakningslösning för nätverksprestanda.
NetFlow fungerar på statlig basis. När en klientmaskin når ut till en server kommer NetFlow att börja fånga och aggregera metadata från flödet. När sessionen avslutas kommer NetFlow att exportera en enda komplett post till samlaren.
Även om det fortfarande är vanligt använt, har NetFlow V5 ett antal begränsningar. De exporterade fälten är fixerade, övervakning stöds endast i ingångsriktningen, och modern teknik som IPv6, MPLS och VXLAN stöds inte. NetFlow V9, även märkta som flexibel NetFlow (FNF), adresserar några av dessa begränsningar, vilket gör att användare kan bygga anpassade mallar och lägga till stöd för nyare teknik.
Många leverantörer har också sina egna proprietära implementeringar av NetFlow, till exempel JFLOW från Juniper och Netstream från Huawei. Även om konfigurationen kan skilja sig något, producerar dessa implementeringar ofta flödesposter som är kompatibla med NetFlow -samlare och analysatorer.
Viktiga funktioner i NetFlow:
~ Flödesdata: NetFlow genererar flödesposter som innehåller detaljer som IP -adresser för källa och destination, portar, tidsstämplar, paket och byte -räkningar och protokolltyper.
~ Trafikövervakning: NetFlow ger synlighet i nätverkstrafikmönster, vilket gör att administratörer kan identifiera toppapplikationer, slutpunkter och trafikkällor.
~Anomalisk detektion: Genom att analysera flödesdata kan NetFlow upptäcka avvikelser såsom överdriven bandbreddutnyttjande, nätstockningar eller ovanliga trafikmönster.
~ Säkerhetsanalys: NetFlow kan användas för att upptäcka och undersöka säkerhetsincidenter, såsom distribuerad attacker för förnekande av tjänst (DDOS) eller obehöriga åtkomstförsök.
NetFlow -versioner: NetFlow har utvecklats över tid och olika versioner har släppts. Vissa anmärkningsvärda versioner inkluderar NetFlow V5, NetFlow V9 och flexibel NetFlow. Varje version introducerar förbättringar och ytterligare funktioner.
Ipfix:
Vad är ipfix?
En IETF -standard som framkom i början av 2000 -talet, är Internet Protocol Flow Information Export (IPFIX) extremt lik NetFlow. I själva verket fungerade NetFlow V9 som bas för IPFIX. Den primära skillnaden mellan de två är att IPFIX är en öppen standard och stöds av många nätverksleverantörer bortsett från Cisco. Med undantag för några ytterligare fält som läggs till i IPFIX är formaten annars nästan identiska. I själva verket kallas IPFIX ibland till och med "NetFlow V10".
På grund av dess likheter med NetFlow har IPFIX ett stort stöd bland nätverksövervakningslösningar såväl som nätverksutrustning.
IPFIX (Internet Protocol Flow Information Export) är ett öppet standardprotokoll utvecklat av Internet Engineering Task Force (IETF). Det är baserat på NetFlow version 9 -specifikationen och ger ett standardiserat format för export av flödesposter från nätverksenheter.
IPFIX bygger på begreppen NetFlow och utvidgar dem för att erbjuda mer flexibilitet och interoperabilitet mellan olika leverantörer och enheter. Det introducerar begreppet mallar, vilket möjliggör dynamisk definition av flödesregisterstruktur och innehåll. Detta möjliggör inkludering av anpassade fält, stöd för nya protokoll och utdragbarhet.
Nyckelfunktioner i IPFIX:
~ Mallbaserad strategi: IPFIX använder mallar för att definiera strukturen och innehållet i flödesregister, och erbjuder flexibilitet i att tillgodose olika datafält och protokollspecifik information.
~ Interoperabilitet: IPFIX är en öppen standard som säkerställer konsekventa flödesövervakningsfunktioner mellan olika nätverksleverantörer och enheter.
~ IPv6 -stöd: IPFIX stöder naturligt IPv6, vilket gör det lämpligt för övervakning och analys av trafik i IPv6 -nätverk.
~Förbättrad säkerhet: IPFIX innehåller säkerhetsfunktioner som transportlager Security (TLS) -kryptering och meddelandesintegritetskontroller för att skydda sekretess och integritet av flödesdata under överföring.
IPFIX stöds allmänt av olika leverantörer av nätverksutrustning, vilket gör det till en leverantörsneutral och allmänt antagen val för övervakning av nätverksflöden.
Så, vad är skillnaden mellan NetFlow och IPFIX?
Det enkla svaret är att NetFlow är ett Cisco proprietärt protokoll som introducerades omkring 1996 och IPFIX är dess standardkroppsgodkända bror.
Båda protokollen tjänar samma syfte: vilket gör det möjligt för nätverksingenjörer och administratörer att samla in och analysera IP -trafikflöden i nätverksnivå. Cisco utvecklade NetFlow så att dess switchar och routrar kunde mata ut denna värdefulla information. Med tanke på dominansen av Cisco Gear blev NetFlow snabbt DE-FACTO-standarden för nätverkstrafikanalys. Branschkonkurrenter insåg emellertid att användning av ett proprietärt protokoll som kontrollerades av dess huvudrival inte var en bra idé och därför ledde IETF ett försök att standardisera ett öppet protokoll för trafikanalys, vilket är IPFIX.
IPFIX är baserad på NetFlow version 9 och introducerades ursprungligen omkring 2005 men tog ett antal år för att få branschens antagande. Vid denna tidpunkt är de två protokollen i huvudsak desamma och även om termen NetFlow fortfarande är vanligare är de flesta implementeringar (men inte alla) kompatibla med IPFIX -standarden.
Här är en tabell som sammanfattar skillnaderna mellan NetFlow och IPFIX:
Aspekt | Netflöde | Ipfix |
---|---|---|
Ursprung | Egenskapsteknologi utvecklad av Cisco | Branschstandardprotokoll baserat på NetFlow version 9 |
Standardisering | Cisco-specifik teknik | Öppen standard definierad av IETF i RFC 7011 |
Flexibilitet | Utvecklade versioner med specifika funktioner | Större flexibilitet och interoperabilitet mellan leverantörer |
Dataformat | Paket med fast storlek | Mallbaserad strategi för anpassningsbara flödesregisterformat |
Mallstöd | Inte stöds | Dynamiska mallar för flexibel fältinförande |
Leverantörsstöd | Primärt Cisco -enheter | Brett stöd över nätverksleverantörer |
Sträckbarhet | Begränsad anpassning | Inkludering av anpassade fält och applikationsspecifik data |
Protokollskillnader | Cisco-specifika variationer | Native IPv6 -stöd, förbättrade flödesrekordalternativ |
Säkerhetsfunktioner | Begränsade säkerhetsfunktioner | Transportlager Security (TLS) kryptering, meddelandesintegritet |
Nätverksflödesövervakningär insamling, analys och övervakning av trafik som går över ett visst nätverk eller nätverkssegment. Målen kan variera från felsökning av anslutningsfrågor till att planera framtida bandbreddallokering. Flödesövervakning och provtagning av paket kan till och med vara användbara för att identifiera och sanera säkerhetsproblem.
Flödesövervakning ger nätverksteam en god uppfattning om hur ett nätverk fungerar, ger insikter om övergripande utnyttjande, användningsanvändning, potentiella flaskhalsar, avvikelser som kan signalera säkerhetshot och mer. Det finns flera olika standarder och format som används i övervakning av nätverksflöden, inklusive NetFlow, SFLOW och Internet Protocol Flow Information Export (IPFIX). Var och en arbetar på något annorlunda sätt, men alla skiljer sig från portspegling och djup paketinspektion genom att de inte fångar innehållet i varje paket som passerar över en port eller genom en switch. Flödesövervakning ger emellertid mer information än SNMP, vilket i allmänhet är begränsat till bred statistik som övergripande paket och bandbredd.
Nätverksflödesverktyg jämfört
Särdrag | NetFlow V5 | NetFlow V9 | suttor | Ipfix |
Öppen eller egenutvecklad | Äganderätt | Äganderätt | Öppna | Öppna |
Provtagning eller flödesbaserad | Främst flödesbaserat; Provtagningsläge är tillgängligt | Främst flödesbaserat; Provtagningsläge är tillgängligt | Provtagen | Främst flödesbaserat; Provtagningsläge är tillgängligt |
Information fångad | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare | Kompletta pakethuvuden, partiella paket nyttolaster | Metadata och statistisk information, inklusive överförda byte, gränssnittsräknare och så vidare |
Intress/Egress Monitoring | Endast ingress | Ingång och utgång | Ingång och utgång | Ingång och utgång |
IPv6/VLAN/MPLS -stöd | No | Ja | Ja | Ja |
Posttid: Mar-18-2024