В чем разница между NetFlow и IPFIX для мониторинга сетевого потока?

NetFlow и IPFIX — это технологии, используемые для мониторинга и анализа сетевых потоков. Они предоставляют информацию о моделях сетевого трафика, помогая оптимизировать производительность, устранять неполадки и анализировать безопасность.

НетФлоу:

Что такое NetFlow?

NetFlow— оригинальное решение для мониторинга потока, первоначально разработанное Cisco в конце 1990-х годов. Существует несколько различных версий, но большинство развертываний основано либо на NetFlow v5, либо на NetFlow v9. Хотя каждая версия имеет разные возможности, основные операции остаются прежними:

Во-первых, маршрутизатор, коммутатор, межсетевой экран или устройство другого типа будут собирать информацию о сетевых «потоках» — по сути, наборе пакетов, которые имеют общий набор характеристик, таких как адрес источника и назначения, порт источника и назначения, а также протокол. тип. После того, как поток перешел в состояние бездействия или прошло заранее определенное время, устройство экспортирует записи потока в объект, известный как «сборщик потока».

Наконец, «анализатор потока» анализирует эти записи, предоставляя информацию в форме визуализации, статистики и подробных исторических отчетов и отчетов в реальном времени. На практике коллекторы и анализаторы часто представляют собой единое целое, часто объединенное в более крупное решение для мониторинга производительности сети.

NetFlow работает с отслеживанием состояния. Когда клиентский компьютер обращается к серверу, NetFlow начнет захватывать и агрегировать метаданные из потока. После завершения сеанса NetFlow экспортирует в сборщик одну полную запись.

Хотя NetFlow v5 по-прежнему широко используется, он имеет ряд ограничений. Экспортируемые поля фиксированы, мониторинг поддерживается только во входящем направлении, а современные технологии, такие как IPv6, MPLS и VXLAN, не поддерживаются. NetFlow v9, также известный как Flexible NetFlow (FNF), устраняет некоторые из этих ограничений, позволяя пользователям создавать собственные шаблоны и добавляя поддержку новых технологий.

Многие поставщики также имеют свои собственные реализации NetFlow, например jFlow от Juniper и NetStream от Huawei. Хотя конфигурация может несколько отличаться, эти реализации часто создают записи потока, совместимые со сборщиками и анализаторами NetFlow.

Ключевые особенности NetFlow:

~ Данные о потоке: NetFlow генерирует записи потока, которые включают такие сведения, как IP-адреса источника и назначения, порты, временные метки, количество пакетов и байтов, а также типы протоколов.

~ Мониторинг трафика: NetFlow обеспечивает видимость структуры сетевого трафика, позволяя администраторам определять основные приложения, конечные точки и источники трафика.

~Обнаружение аномалий: анализируя данные потока, NetFlow может обнаружить аномалии, такие как чрезмерное использование полосы пропускания, перегрузка сети или необычные модели трафика.

~ Анализ безопасности: NetFlow можно использовать для обнаружения и расследования инцидентов безопасности, таких как распределенные атаки типа «отказ в обслуживании» (DDoS) или попытки несанкционированного доступа.

Версии NetFlow: NetFlow со временем развивался, были выпущены разные версии. Некоторые известные версии включают NetFlow v5, NetFlow v9 и Flexible NetFlow. В каждой версии представлены улучшения и дополнительные возможности.

ИПФИКС:

Что такое ИПФИКС?

Стандарт IETF, появившийся в начале 2000-х годов, экспорт информации о потоке интернет-протокола (IPFIX) чрезвычайно похож на NetFlow. Фактически NetFlow v9 послужил основой для IPFIX. Основное различие между ними заключается в том, что IPFIX является открытым стандартом и поддерживается многими поставщиками сетевых технологий, за исключением Cisco. За исключением нескольких дополнительных полей, добавленных в IPFIX, в остальном форматы практически идентичны. Фактически, IPFIX иногда даже называют «NetFlow v10».

Отчасти благодаря сходству с NetFlow, IPFIX пользуется широкой поддержкой среди решений сетевого мониторинга, а также сетевого оборудования.

IPFIX (Экспорт информации о потоке интернет-протокола) — это протокол открытого стандарта, разработанный Инженерной группой Интернета (IETF). Он основан на спецификации NetFlow версии 9 и предоставляет стандартизированный формат для экспорта записей о потоках с сетевых устройств.

IPFIX основывается на концепциях NetFlow и расширяет их, обеспечивая большую гибкость и совместимость между различными поставщиками и устройствами. В нем представлена ​​концепция шаблонов, позволяющая динамически определять структуру и содержимое записи потока. Это позволяет включать настраиваемые поля, поддержку новых протоколов и расширяемость.

Ключевые особенности IPFIX:

~ Шаблонный подход: IPFIX использует шаблоны для определения структуры и содержания записей потока, обеспечивая гибкость при размещении различных полей данных и информации, специфичной для протокола.

~ Совместимость: IPFIX — это открытый стандарт, обеспечивающий согласованные возможности мониторинга потока для различных сетевых поставщиков и устройств.

~ Поддержка IPv6: IPFIX изначально поддерживает IPv6, что делает его пригодным для мониторинга и анализа трафика в сетях IPv6.

~Повышенная безопасность: IPFIX включает в себя такие функции безопасности, как шифрование Transport Layer Security (TLS) и проверки целостности сообщений для защиты конфиденциальности и целостности потоковых данных во время передачи.

IPFIX широко поддерживается различными поставщиками сетевого оборудования, что делает его нейтральным к поставщикам и широко распространенным выбором для мониторинга сетевых потоков.

 

Итак, в чем разница между NetFlow и IPFIX?

Простой ответ заключается в том, что NetFlow — это собственный протокол Cisco, представленный примерно в 1996 году, а IPFIX — его брат, одобренный органом по стандартизации.

Оба протокола служат одной и той же цели: позволяют сетевым инженерам и администраторам собирать и анализировать потоки IP-трафика сетевого уровня. Cisco разработала NetFlow, чтобы ее коммутаторы и маршрутизаторы могли выдавать эту ценную информацию. Учитывая доминирование оборудования Cisco, NetFlow быстро стал стандартом де-факто для анализа сетевого трафика. Однако конкуренты отрасли поняли, что использование проприетарного протокола, контролируемого его главным конкурентом, — не лучшая идея, и поэтому IETF предпринял попытку стандартизировать открытый протокол для анализа трафика, то есть IPFIX.

IPFIX основан на NetFlow версии 9 и первоначально был представлен примерно в 2005 году, но потребовалось несколько лет, чтобы получить признание в отрасли. На данный момент эти два протокола по сути одинаковы, и хотя термин NetFlow по-прежнему более распространен, большинство реализаций (хотя и не все) совместимы со стандартом IPFIX.

Вот таблица, суммирующая различия между NetFlow и IPFIX:

Аспект NetFlow ИПФИКС
Источник Собственная технология, разработанная Cisco. Стандартный протокол на основе NetFlow версии 9.
Стандартизация Специфическая технология Cisco Открытый стандарт, определенный IETF в RFC 7011.
Гибкость Усовершенствованные версии со специфическими функциями Большая гибкость и совместимость между поставщиками
Формат данных Пакеты фиксированного размера Подход на основе шаблонов для настраиваемых форматов записей потоков
Поддержка шаблонов Не поддерживается Динамические шаблоны для гибкого включения полей
Поддержка поставщиков В первую очередь устройства Cisco Широкая поддержка от поставщиков сетевых решений
Расширяемость Ограниченная настройка Включение настраиваемых полей и данных, специфичных для приложения.
Различия протоколов Варианты, специфичные для Cisco Встроенная поддержка IPv6, расширенные возможности записи потока
Функции безопасности Ограниченные функции безопасности Шифрование Transport Layer Security (TLS), целостность сообщений

Мониторинг сетевого потока— это сбор, анализ и мониторинг трафика, проходящего через данную сеть или сегмент сети. Цели могут варьироваться от устранения проблем с подключением до планирования будущего распределения полосы пропускания. Мониторинг потока и выборка пакетов могут быть даже полезны при выявлении и устранении проблем безопасности.

Мониторинг потока дает сетевым командам хорошее представление о том, как работает сеть, предоставляя информацию об общем использовании, использовании приложений, потенциальных узких местах, аномалиях, которые могут сигнализировать об угрозах безопасности, и многом другом. Существует несколько различных стандартов и форматов, используемых при мониторинге сетевых потоков, включая NetFlow, sFlow и экспорт информации о потоке Интернет-протокола (IPFIX). Каждый из них работает немного по-своему, но все они отличаются от зеркалирования портов и глубокой проверки пакетов тем, что не фиксируют содержимое каждого пакета, проходящего через порт или через коммутатор. Однако мониторинг потока предоставляет больше информации, чем SNMP, который обычно ограничивается широкой статистикой, такой как общее использование пакетов и полосы пропускания.

Сравнение инструментов сетевого потока

Особенность НетФлоу v5 НетФлоу v9 sFlow ИПФИКС
Открытый или собственный Собственный Собственный Открыть Открыть
Выборочный или потоковый В первую очередь на основе потока; Доступен выборочный режим В первую очередь на основе потока; Доступен выборочный режим Образец В первую очередь на основе потока; Доступен выборочный режим
Информация собрана Метаданные и статистическая информация, включая переданные байты, счетчики интерфейса и т. д. Метаданные и статистическая информация, включая переданные байты, счетчики интерфейса и т. д. Полные заголовки пакетов, частичная полезная нагрузка пакетов Метаданные и статистическая информация, включая переданные байты, счетчики интерфейса и т. д.
Входной/исходящий мониторинг Только вход Вход и выход Вход и выход Вход и выход
Поддержка IPv6/VLAN/MPLS No Да Да Да

Время публикации: 18 марта 2024 г.