NetFlow и IPFIX являются технологиями, используемыми для мониторинга и анализа сетевого потока. Они дают представление о моделях сетевого трафика, помогая оптимизации производительности, устранению неполадок и анализе безопасности.
Netflow:
Что такое Netflow?
Netflowявляется исходным решением для мониторинга потока, первоначально разработанного Cisco в конце 1990 -х годов. Существует несколько разных версий, но большинство развертываний основаны либо на Netflow V5, либо Netflow V9. Хотя каждая версия имеет разные возможности, базовая операция остается неизменной:
Во -первых, маршрутизатор, коммутатор, брандмауэр или другой тип устройства будут получать информацию в сети «потоки» - в основном набор пакетов, которые имеют общий набор характеристик, таких как исходный адрес и адрес назначения, источник и порт назначения и тип протокола. После того, как поток прошел бездействие или пройдет предопределенное количество времени, устройство экспортирует записи потока в объект, известный как «коллекционер потока».
Наконец, «анализатор потока» имеет смысл в этих записях, предоставляя понимание в виде визуализаций, статистики и подробных исторических и отчетов в реальном времени. На практике коллекционеры и анализаторы часто являются единственным объектом, часто объединяемым в более крупное решение для мониторинга производительности сети.
Netflow работает на государственной основе. Когда клиентская машина достигает сервера, Netflow начнет захватывать и агрегировать метаданные из потока. После завершения сеанса NetFlow экспортирует одну полную запись в коллектор.
Хотя он все еще обычно используется, Netflow V5 имеет ряд ограничений. Экспортируемые поля фиксируются, мониторинг поддерживается только в направлении входа, а современные технологии, такие как IPv6, MPLS и VXLAN, не поддерживаются. Netflow V9, также названный гибким NetFlow (FNF), рассматривает некоторые из этих ограничений, позволяя пользователям создавать пользовательские шаблоны и добавляя поддержку новых технологий.
У многих поставщиков также есть свои собственные частные реализации Netflow, такие как JFLOW от Juniper и NetStream от Huawei. Хотя конфигурация может несколько отличаться, эти реализации часто создают записи потока, которые совместимы с коллекторами Netflow и анализаторами.
Ключевые особенности NetFlow:
~ Данные потока: NetFlow генерирует записи потока, которые включают такие детали, как IP -адреса источника и назначения, порты, временные метки, количество пакетов и байтов, а также типы протоколов.
~ Мониторинг трафика: Netflow обеспечивает видимость в схемах сетевого трафика, позволяя администраторам идентифицировать лучшие приложения, конечные точки и источники трафика.
~Обнаружение аномалии: Анализируя данные о потоке, NetFlow может обнаружить аномалии, такие как чрезмерная использование полосы пропускания, перегрузка сети или необычные модели трафика.
~ Анализ безопасности: Netflow может использоваться для обнаружения и исследования инцидентов безопасности, таких как атаки распределенного отказа в услуге (DDOS) или несанкционированные попытки доступа.
Версии NetFlow: Netflow развивался со временем, и были выпущены разные версии. Некоторые известные версии включают Netflow V5, Netflow V9 и Gibleflow. Каждая версия вводит улучшения и дополнительные возможности.
IPFIX:
Что такое ipfix?
Стандарт IETF, который появился в начале 2000 -х годов, экспорт информации о потоке протокола интернет -протокола (IPFIX) очень похож на NetFlow. Фактически, Netflow V9 служил основой для IPFIX. Основное различие между ними заключается в том, что IPFIX является открытым стандартом и поддерживается многими сетевыми поставщиками, кроме Cisco. За исключением нескольких дополнительных полей, добавленных в IPFIX, форматы в остальном почти идентичны. На самом деле, IPFIX иногда даже называется «Netflow V10».
Отчасти из -за его сходства с NetFlow IPFIX пользуется широкой поддержкой среди решений для мониторинга сети, а также сетевого оборудования.
IPFIX (Информация о потоке интернет -протокола) - это открытый стандартный протокол, разработанный оперативной группой Internet Engineering (IETF). Он основан на спецификации NetFlow версии 9 и предоставляет стандартизированный формат для экспорта записей потока с сетевых устройств.
IPFIX опирается на концепции NetFlow и расширяет их, чтобы предложить большую гибкость и совместимость между разными поставщиками и устройствами. Он вводит концепцию шаблонов, обеспечивая динамическое определение структуры и содержания записи потока. Это обеспечивает включение пользовательских полей, поддержку новых протоколов и расширяемость.
Ключевые функции IPFIX:
~ Подход на основе шаблонов: IPFIX использует шаблоны для определения структуры и содержания записей потока, предлагая гибкость в размещении различных полей данных и информации, специфичной для протокола.
~ Совместимость: IPFIX - это открытый стандарт, обеспечивающий постоянный мониторинг потока в разных сетевых поставщиках и устройствах.
~ Поддержка IPv6: IPFIX NARICAL поддерживает IPv6, что делает его подходящим для мониторинга и анализа трафика в сетях IPv6.
~Повышенная безопасность: IPFIX включает в себя функции безопасности, такие как шифрование шифрования транспортного уровня (TLS) и проверки целостности сообщений для защиты конфиденциальности и целостности данных потока во время передачи.
IPFIX широко поддерживается различными поставщиками сетевого оборудования, что делает его нейтральным поставщиком и широко принятым выбором для мониторинга сетевого потока.
Итак, в чем разница между NetFlow и IPFIX?
Простой ответ заключается в том, что Netflow - это фирменный протокол Cisco, введенный в 1996 году, а IPFIX является его одобренным братом стандартов.
Оба протокола служат одной и той же цели: позволяет сетевым инженерам и администраторам собирать и анализировать потоки IP -трафика сетевого уровня. Cisco разработала NetFlow, чтобы его переключатели и маршрутизаторы могли вывести эту ценную информацию. Учитывая доминирование Gisco Gear, Netflow быстро стал стандартом De-FACTO для анализа сетевого трафика. Тем не менее, отраслевые конкуренты поняли, что использование запатентованного протокола, контролируемого его главным соперником, не была хорошей идеей, и, следовательно, IETF привели к тому, что усилия по стандартизации открытого протокола для анализа трафика, который является IPFIX.
IPFIX основан на Netflow версии 9 и первоначально была представлена около 2005 года, но потребовалось несколько лет, чтобы получить внедрение в отрасли. На этом этапе два протокола по сути одинаковы, и, хотя термин NetFlow все еще более распространен, большинство реализаций (хотя и не все) совместим со стандартом IPFIX.
Вот таблица, обобщающая различия между NetFlow и IPFIX:
| Аспект | Netflow | IPFIX |
|---|---|---|
| Источник | Запатентованная технология, разработанная Cisco | Стандартный протокол отрасли на основе Netflow версии 9 |
| Стандартизация | Cisco-специфическая технология | Открытый стандарт, определенный IETF в RFC 7011 |
| Гибкость | Развитые версии с конкретными особенностями | Большая гибкость и совместимость между поставщиками |
| Формат данных | Пакеты с фиксированным размером | Подход на основе шаблонов для настраиваемых форматов записей потока |
| Поддержка шаблона | Не поддерживается | Динамические шаблоны для гибкого включения поля |
| Поддержка продавцов | В основном устройства Cisco | Широкая поддержка между сетевыми поставщиками |
| Расширяемость | Ограниченная настройка | Включение пользовательских полей и данных, специфичных для приложения, |
| Протокольные различия | Cisco-специфические вариации | Нативная поддержка IPv6, расширенные параметры записи потока |
| Функции безопасности | Ограниченные функции безопасности | Шифрование транспортного уровня (TLS), целостность сообщений |
Мониторинг сетевого потокаэто сбор, анализ и мониторинг трафика, пересекающего данную сеть или сегмент сети. Цели могут варьироваться от проблем с устранением неполадок до планирования будущего распределения полосы пропускания. Мониторинг потока и выборка пакетов может быть даже полезны для выявления и исправления проблем безопасности.
Мониторинг потока дает сетевым командам хорошее представление о том, как работает сеть, предоставляя информацию об общем использовании, использовании приложений, потенциальных узких местах, аномалиях, которые могут сигнализировать об угрозах безопасности и многое другое. Существует несколько различных стандартов и форматов, используемых в мониторинге сетевого потока, включая экспорт информации о потоке сетевого потока (IPFIX). Каждый работает немного по -разному, но все они отличаются от зеркалирования порта и глубокой проверки пакетов тем, что они не захватывают содержимое каждого пакета, проходящего через порт или через переключатель. Тем не менее, мониторинг потока предоставляет больше информации, чем SNMP, что, как правило, ограничено широкими статистическими данными, такими как общее использование пакетов и полосы пропускания.
Инструменты сетевого потока сравнивали
| Особенность | Netflow V5 | Netflow V9 | Sflow | IPFIX |
| Открытый или запатентованный | Запатентованный | Запатентованный | Открыть | Открыть |
| Выборочные или на основе потока | В первую очередь поток на основе; Способный режим доступен | В первую очередь поток на основе; Способный режим доступен | Выборка | В первую очередь поток на основе; Способный режим доступен |
| Информация захвачена | Метаданные и статистическая информация, включая переносимые байты, счетчики интерфейса и так далее | Метаданные и статистическая информация, включая переносимые байты, счетчики интерфейса и так далее | Полные заголовки пакетов, частичные полезные нагрузки пакета | Метаданные и статистическая информация, включая переносимые байты, счетчики интерфейса и так далее |
| Вход/выход мониторинг | Только вход | Вход и выход | Вход и выход | Вход и выход |
| IPv6/VLAN/MPLS Поддержка | No | Да | Да | Да |
Пост времени: марта-18-2024
