В чём разница между NetFlow и IPFIX при мониторинге сетевого трафика?

NetFlow и IPFIX — это технологии, используемые для мониторинга и анализа сетевого трафика. Они позволяют получить представление о закономерностях сетевого трафика, что помогает оптимизировать производительность, устранять неполадки и проводить анализ безопасности.

NetFlow:

Что такое NetFlow?

NetFlowNetFlow — это оригинальное решение для мониторинга потоков данных, разработанное компанией Cisco в конце 1990-х годов. Существует несколько различных версий, но большинство развертываний основаны либо на NetFlow v5, либо на NetFlow v9. Хотя каждая версия имеет разные возможности, основной принцип работы остается тем же:

Сначала маршрутизатор, коммутатор, межсетевой экран или другое устройство будет собирать информацию о сетевых «потоках» — по сути, о наборе пакетов, имеющих общие характеристики, такие как адрес источника и назначения, порт источника и назначения, а также тип протокола. После того, как поток перейдет в состояние покоя или истечет заданный промежуток времени, устройство экспортирует записи о потоках в сущность, известную как «сборщик потоков».

Наконец, «анализатор потоков» обрабатывает эти записи, предоставляя информацию в виде визуализаций, статистики и подробных исторических и текущих отчетов. На практике сборщики и анализаторы часто представляют собой единое целое, зачастую объединенное в более крупное решение для мониторинга производительности сети.

NetFlow работает на основе сохранения состояния. Когда клиентский компьютер обращается к серверу, NetFlow начинает сбор и агрегирование метаданных из потока. После завершения сессии NetFlow экспортирует одну полную запись на сборщик.

Несмотря на то, что NetFlow v5 по-прежнему широко используется, он имеет ряд ограничений. Экспортируемые поля фиксированы, мониторинг поддерживается только во входящем направлении, а современные технологии, такие как IPv6, MPLS и VXLAN, не поддерживаются. NetFlow v9, также известный как Flexible NetFlow (FNF), устраняет некоторые из этих ограничений, позволяя пользователям создавать собственные шаблоны и добавляя поддержку новых технологий.

Многие поставщики также имеют собственные проприетарные реализации NetFlow, такие как jFlow от Juniper и NetStream от Huawei. Хотя конфигурация может несколько отличаться, эти реализации часто создают записи потоков, совместимые с коллекторами и анализаторами NetFlow.

Основные особенности NetFlow:

~ Данные о потокеNetFlow генерирует записи о потоках, содержащие такие сведения, как исходные и целевые IP-адреса, порты, метки времени, количество пакетов и байтов, а также типы протоколов.

~ Мониторинг дорожного движенияNetFlow обеспечивает прозрачность структуры сетевого трафика, позволяя администраторам выявлять наиболее часто используемые приложения, конечные точки и источники трафика.

~Обнаружение аномалийАнализируя данные о потоках, NetFlow может обнаруживать аномалии, такие как чрезмерное использование полосы пропускания, перегрузка сети или необычные модели трафика.

~ Анализ безопасностиNetFlow можно использовать для обнаружения и расследования инцидентов безопасности, таких как распределенные атаки типа «отказ в обслуживании» (DDoS) или попытки несанкционированного доступа.

Версии NetFlowNetFlow развивался с течением времени, и были выпущены различные версии. Среди наиболее известных версий можно отметить NetFlow v5, NetFlow v9 и Flexible NetFlow. Каждая версия вносит улучшения и новые возможности.

IPFIX:

Что такое IPFIX?

Стандарт IETF, появившийся в начале 2000-х годов, Internet Protocol Flow Information Export (IPFIX), чрезвычайно похож на NetFlow. Фактически, NetFlow v9 послужил основой для IPFIX. Основное различие между ними заключается в том, что IPFIX является открытым стандартом и поддерживается многими производителями сетевого оборудования, помимо Cisco. За исключением нескольких дополнительных полей, добавленных в IPFIX, форматы в остальном практически идентичны. Фактически, IPFIX иногда даже называют «NetFlow v10».

Отчасти благодаря сходству с NetFlow, IPFIX пользуется широкой поддержкой среди решений для мониторинга сети, а также сетевого оборудования.

IPFIX (Internet Protocol Flow Information Export) — это открытый стандартный протокол, разработанный Рабочей группой по проектированию интернета (IETF). Он основан на спецификации NetFlow версии 9 и предоставляет стандартизированный формат для экспорта записей о потоках данных с сетевых устройств.

IPFIX развивает концепции NetFlow и расширяет их, предлагая большую гибкость и совместимость с устройствами разных производителей. Он вводит концепцию шаблонов, позволяющую динамически определять структуру и содержимое записей потоков. Это обеспечивает возможность включения пользовательских полей, поддержку новых протоколов и расширяемость.

Основные особенности IPFIX:

~ Подход на основе шаблоновIPFIX использует шаблоны для определения структуры и содержимого записей потоков, обеспечивая гибкость в размещении различных полей данных и информации, специфичной для протокола.

~ ВзаимодействиеIPFIX — это открытый стандарт, обеспечивающий согласованные возможности мониторинга потоков данных на устройствах и у оборудования различных производителей.

~ Поддержка IPv6IPFIX изначально поддерживает IPv6, что делает его подходящим для мониторинга и анализа трафика в сетях IPv6.

~Повышенная безопасностьIPFIX включает в себя функции безопасности, такие как шифрование транспортного уровня (TLS) и проверки целостности сообщений, для защиты конфиденциальности и целостности данных потока во время передачи.

IPFIX широко поддерживается различными производителями сетевого оборудования, что делает его независимым от производителя и широко распространенным вариантом для мониторинга сетевого трафика.

 

Итак, в чем разница между NetFlow и IPFIX?

Простой ответ заключается в том, что NetFlow — это проприетарный протокол Cisco, представленный примерно в 1996 году, а IPFIX — это его аналог, одобренный соответствующими организациями по стандартизации.

Оба протокола служат одной и той же цели: позволяют сетевым инженерам и администраторам собирать и анализировать потоки IP-трафика на сетевом уровне. Компания Cisco разработала NetFlow, чтобы её коммутаторы и маршрутизаторы могли выдавать эту ценную информацию. Учитывая доминирование оборудования Cisco, NetFlow быстро стал стандартом де-факто для анализа сетевого трафика. Однако конкуренты в отрасли поняли, что использование проприетарного протокола, контролируемого главным конкурентом, — не лучшая идея, и поэтому IETF возглавила усилия по стандартизации открытого протокола для анализа трафика — IPFIX.

IPFIX основан на NetFlow версии 9 и был впервые представлен примерно в 2005 году, но потребовалось несколько лет, чтобы получить широкое распространение в отрасли. На данный момент эти два протокола по сути одинаковы, и хотя термин NetFlow по-прежнему более распространен, большинство реализаций (хотя и не все) совместимы со стандартом IPFIX.

Ниже приведена таблица, в которой суммированы различия между NetFlow и IPFIX:

Аспект	NetFlow	IPFIX
Источник	Собственная технология, разработанная компанией Cisco.	Стандартный отраслевой протокол, основанный на NetFlow версии 9.
Стандартизация	Технологии, разработанные специально для Cisco	Открытый стандарт, определенный IETF в RFC 7011.
Гибкость	Усовершенствованные версии со специфическими функциями.	Повышенная гибкость и совместимость между различными поставщиками.
Формат данных	Пакеты фиксированного размера	Подход, основанный на шаблонах, для создания настраиваемых форматов записей потока.
Поддержка шаблонов	Не поддерживается	Динамические шаблоны для гибкого включения полей.
Поддержка поставщика	В основном устройства Cisco.	Широкая поддержка со стороны производителей сетевого оборудования.
Расширяемость	Ограниченные возможности персонализации	Включение пользовательских полей и данных, специфичных для приложения.
Различия в протоколах	Специфические для Cisco варианты	Встроенная поддержка IPv6, расширенные возможности записи потоков.
Функции безопасности	Ограниченные функции безопасности	Шифрование протокола TLS (Transport Layer Security), целостность сообщений.