NetFlow и IPFIX — технологии, используемые для мониторинга и анализа сетевых потоков. Они предоставляют информацию о схемах сетевого трафика, помогая оптимизировать производительность, устранять неполадки и анализировать безопасность.
NetFlow:
Что такое NetFlow?
NetFlow— оригинальное решение для мониторинга потоков данных, разработанное Cisco в конце 1990-х годов. Существует несколько различных версий, но большинство развёртываний основано либо на NetFlow v5, либо на NetFlow v9. Хотя каждая версия обладает различными возможностями, базовый принцип работы остаётся неизменным:
Сначала маршрутизатор, коммутатор, межсетевой экран или другое устройство собирает информацию о сетевых «потоках» — по сути, наборе пакетов с общим набором характеристик, таких как адреса источника и назначения, порты источника и назначения, а также тип протокола. После того, как поток перейдет в состояние ожидания или по истечении заданного времени, устройство экспортирует записи о потоках в объект, называемый «сборщиком потоков».
Наконец, «анализатор потока» анализирует эти записи, предоставляя информацию в виде визуализаций, статистики и подробных исторических и оперативных отчётов. На практике сборщики и анализаторы часто представляют собой единое целое, зачастую объединённое в более масштабное решение для мониторинга производительности сети.
NetFlow работает на основе отслеживания состояния. Когда клиентский компьютер обращается к серверу, NetFlow начинает сбор и агрегацию метаданных из потока. После завершения сеанса NetFlow экспортирует одну полную запись в сборщик.
Хотя NetFlow v5 по-прежнему широко используется, у него есть ряд ограничений. Экспортируемые поля фиксированы, мониторинг поддерживается только в направлении входящих данных, а современные технологии, такие как IPv6, MPLS и VXLAN, не поддерживаются. NetFlow v9, также известный как Flexible NetFlow (FNF), устраняет некоторые из этих ограничений, позволяя пользователям создавать собственные шаблоны и добавляя поддержку новых технологий.
У многих поставщиков также есть собственные реализации NetFlow, например, jFlow от Juniper и NetStream от Huawei. Хотя конфигурация может несколько отличаться, эти реализации часто создают записи потоков, совместимые со сборщиками и анализаторами NetFlow.
Основные возможности NetFlow:
~ Данные о потоке: NetFlow генерирует записи потоков, которые включают такие сведения, как IP-адреса источника и назначения, порты, временные метки, количество пакетов и байтов, а также типы протоколов.
~ Мониторинг дорожного движения: NetFlow обеспечивает прозрачность шаблонов сетевого трафика, позволяя администраторам определять основные приложения, конечные точки и источники трафика.
~Обнаружение аномалий: Анализируя данные потоков, NetFlow может обнаруживать аномалии, такие как чрезмерное использование полосы пропускания, перегрузка сети или необычные схемы трафика.
~ Анализ безопасности: NetFlow можно использовать для обнаружения и расследования инцидентов безопасности, таких как распределенные атаки типа «отказ в обслуживании» (DDoS) или попытки несанкционированного доступа.
Версии NetFlow: NetFlow развивался с течением времени, и были выпущены различные версии. Среди наиболее известных версий — NetFlow v5, NetFlow v9 и Flexible NetFlow. Каждая версия включает в себя усовершенствования и дополнительные возможности.
IPFIX:
Что такое IPFIX?
Стандарт IETF, появившийся в начале 2000-х годов, Internet Protocol Flow Information Export (IPFIX) очень похож на NetFlow. Фактически, NetFlow v9 послужил основой для IPFIX. Основное различие между ними заключается в том, что IPFIX — открытый стандарт, поддерживаемый многими поставщиками сетевого оборудования, помимо Cisco. За исключением нескольких дополнительных полей, добавленных в IPFIX, в остальном форматы практически идентичны. IPFIX иногда даже называют «NetFlow v10».
Отчасти благодаря сходству с NetFlow, IPFIX пользуется широкой поддержкой среди решений по мониторингу сетей, а также сетевого оборудования.
IPFIX (Internet Protocol Flow Information Export) — открытый стандартный протокол, разработанный IETF (Internet Engineering Task Force). Он основан на спецификации NetFlow версии 9 и предоставляет стандартизированный формат для экспорта записей потоков с сетевых устройств.
IPFIX развивает концепции NetFlow и расширяет их, обеспечивая большую гибкость и совместимость с различными поставщиками и устройствами. В нём реализована концепция шаблонов, позволяющая динамически определять структуру и содержание записей потока. Это обеспечивает добавление настраиваемых полей, поддержку новых протоколов и расширяемость.
Основные характеристики IPFIX:
~ Подход на основе шаблонов: IPFIX использует шаблоны для определения структуры и содержания записей потока, обеспечивая гибкость в размещении различных полей данных и информации, специфичной для протокола.
~ Взаимодействие: IPFIX — открытый стандарт, обеспечивающий единообразные возможности мониторинга потока данных между различными поставщиками сетевых решений и устройствами.
~ Поддержка IPv6: IPFIX изначально поддерживает IPv6, что делает его пригодным для мониторинга и анализа трафика в сетях IPv6.
~Повышенная безопасность: IPFIX включает в себя функции безопасности, такие как шифрование Transport Layer Security (TLS) и проверки целостности сообщений, для защиты конфиденциальности и целостности потоковых данных во время передачи.
IPFIX широко поддерживается различными поставщиками сетевого оборудования, что делает его нейтральным по отношению к поставщику и широко распространенным выбором для мониторинга сетевых потоков.
Так в чем же разница между NetFlow и IPFIX?
Простой ответ заключается в том, что NetFlow — это фирменный протокол Cisco, представленный примерно в 1996 году, а IPFIX — его «брат», одобренный органом по стандартизации.
Оба протокола служат одной и той же цели: позволяют сетевым инженерам и администраторам собирать и анализировать потоки IP-трафика на уровне сети. Компания Cisco разработала NetFlow, чтобы её коммутаторы и маршрутизаторы могли выводить эту ценную информацию. Учитывая доминирование оборудования Cisco, NetFlow быстро стал фактическим стандартом анализа сетевого трафика. Однако конкуренты в отрасли поняли, что использование проприетарного протокола, контролируемого главным конкурентом, — не лучшая идея, и поэтому IETF возглавила работу по стандартизации открытого протокола для анализа трафика — IPFIX.
IPFIX основан на NetFlow версии 9 и был первоначально представлен около 2005 года, но потребовалось несколько лет, чтобы добиться широкого распространения в отрасли. На данный момент эти два протокола по сути идентичны, и, хотя термин NetFlow всё ещё более распространён, большинство реализаций (хотя и не все) совместимы со стандартом IPFIX.
Вот таблица, обобщающая различия между NetFlow и IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Источник | Запатентованная технология, разработанная Cisco | Стандартный отраслевой протокол на основе NetFlow версии 9 |
| Стандартизация | Специфическая технология Cisco | Открытый стандарт, определенный IETF в RFC 7011 |
| Гибкость | Усовершенствованные версии со специфическими особенностями | Большая гибкость и совместимость между поставщиками |
| Формат данных | Пакеты фиксированного размера | Подход на основе шаблонов для настраиваемых форматов записей потока |
| Поддержка шаблонов | Не поддерживается | Динамические шаблоны для гибкого включения полей |
| Поддержка поставщиков | В основном устройства Cisco | Широкая поддержка среди поставщиков сетевого оборудования |
| Расширяемость | Ограниченная настройка | Включение пользовательских полей и данных, специфичных для приложения |
| Различия в протоколах | Специфические для Cisco вариации | Собственная поддержка IPv6, расширенные возможности записи потока |
| Функции безопасности | Ограниченные функции безопасности | Шифрование Transport Layer Security (TLS), целостность сообщений |
Мониторинг сетевого потокаЭто сбор, анализ и мониторинг трафика, проходящего через заданную сеть или сегмент сети. Цели могут варьироваться от устранения неполадок подключения до планирования будущего распределения пропускной способности. Мониторинг потоков и выборка пакетов могут быть полезны для выявления и устранения проблем безопасности.
Мониторинг потоков данных даёт сетевым специалистам хорошее представление о работе сети, предоставляя информацию об общей загрузке, использовании приложений, потенциальных узких местах, аномалиях, которые могут сигнализировать об угрозах безопасности, и многом другом. Для мониторинга сетевых потоков данных используется несколько различных стандартов и форматов, включая NetFlow, sFlow и экспорт информации о потоке данных протокола IP (IPFIX). Каждый из них работает немного по-своему, но все они отличаются от зеркалирования портов и глубокой проверки пакетов тем, что не захватывают содержимое каждого пакета, проходящего через порт или коммутатор. Однако мониторинг потоков данных предоставляет больше информации, чем SNMP, который, как правило, ограничивается общей статистикой, такой как общее использование пакетов и пропускной способности.
Сравнение инструментов сетевого потока
| Особенность | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Открытый или проприетарный | Собственный | Собственный | Открыть | Открыть |
| Выборочный или поточный анализ | В первую очередь основан на потоке; доступен режим выборки | В первую очередь основан на потоке; доступен режим выборки | Проба | В первую очередь основан на потоке; доступен режим выборки |
| Информация получена | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. | Полные заголовки пакетов, частичные полезные данные пакетов | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. |
| Мониторинг входа/выхода | Только вход | Вход и выход | Вход и выход | Вход и выход |
| Поддержка IPv6/VLAN/MPLS | No | Да | Да | Да |
Время публикации: 18 марта 2024 г.
