NetFlow и IPFIX — это технологии, используемые для мониторинга и анализа сетевого потока. Они дают представление о моделях сетевого трафика, помогая оптимизировать производительность, устранять неполадки и анализировать безопасность.
NetFlow:
Что такое NetFlow?
NetFlow— это оригинальное решение для мониторинга потока, изначально разработанное Cisco в конце 1990-х годов. Существует несколько различных версий, но большинство развертываний основано либо на NetFlow v5, либо на NetFlow v9. Хотя каждая версия имеет различные возможности, основная операция остается той же:
Во-первых, маршрутизатор, коммутатор, брандмауэр или другой тип устройства будет собирать информацию о сетевых «потоках» — в основном набор пакетов, которые имеют общий набор характеристик, таких как адрес источника и назначения, порт источника и назначения, а также тип протокола. После того, как поток перейдет в состояние бездействия или пройдет предопределенное количество времени, устройство экспортирует записи потока в сущность, известную как «сборщик потоков».
Наконец, «анализатор потока» осмысливает эти записи, предоставляя информацию в виде визуализаций, статистики и подробных исторических и реальных отчетов. На практике коллекторы и анализаторы часто представляют собой единое целое, часто объединенное в более крупное решение для мониторинга производительности сети.
NetFlow работает на основе состояния. Когда клиентская машина обращается к серверу, NetFlow начинает собирать и агрегировать метаданные из потока. После завершения сеанса NetFlow экспортирует одну полную запись в коллектор.
Хотя он по-прежнему широко используется, NetFlow v5 имеет ряд ограничений. Экспортируемые поля фиксированы, мониторинг поддерживается только в направлении входящего трафика, а современные технологии, такие как IPv6, MPLS и VXLAN, не поддерживаются. NetFlow v9, также известный как Flexible NetFlow (FNF), устраняет некоторые из этих ограничений, позволяя пользователям создавать собственные шаблоны и добавляя поддержку для новых технологий.
Многие поставщики также имеют собственные фирменные реализации NetFlow, такие как jFlow от Juniper и NetStream от Huawei. Хотя конфигурация может несколько отличаться, эти реализации часто производят записи потока, совместимые с коллекторами и анализаторами NetFlow.
Основные характеристики NetFlow:
~ Данные о потоке: NetFlow генерирует записи потоков, которые включают такие сведения, как IP-адреса источника и назначения, порты, временные метки, количество пакетов и байтов, а также типы протоколов.
~ Мониторинг трафика: NetFlow обеспечивает прозрачность моделей сетевого трафика, позволяя администраторам определять основные приложения, конечные точки и источники трафика.
~Обнаружение аномалий: Анализируя данные потоков, NetFlow может обнаруживать аномалии, такие как чрезмерное использование полосы пропускания, перегрузка сети или необычные схемы трафика.
~ Анализ безопасности: NetFlow можно использовать для обнаружения и расследования инцидентов безопасности, таких как распределенные атаки типа «отказ в обслуживании» (DDoS) или попытки несанкционированного доступа.
Версии NetFlow: NetFlow развивался с течением времени, и были выпущены различные версии. Некоторые известные версии включают NetFlow v5, NetFlow v9 и Flexible NetFlow. Каждая версия представляет улучшения и дополнительные возможности.
IPFIX:
Что такое IPFIX?
Стандарт IETF, появившийся в начале 2000-х годов, Internet Protocol Flow Information Export (IPFIX) чрезвычайно похож на NetFlow. Фактически, NetFlow v9 послужил основой для IPFIX. Основное различие между ними заключается в том, что IPFIX является открытым стандартом и поддерживается многими поставщиками сетевых решений, помимо Cisco. За исключением нескольких дополнительных полей, добавленных в IPFIX, форматы в остальном почти идентичны. Фактически, IPFIX иногда даже называют «NetFlow v10».
Отчасти благодаря сходству с NetFlow, IPFIX пользуется широкой поддержкой среди решений для мониторинга сетей, а также сетевого оборудования.
IPFIX (Internet Protocol Flow Information Export) — открытый стандартный протокол, разработанный Internet Engineering Task Force (IETF). Он основан на спецификации NetFlow Version 9 и предоставляет стандартизированный формат для экспорта записей потоков с сетевых устройств.
IPFIX основывается на концепциях NetFlow и расширяет их, предлагая большую гибкость и совместимость между различными поставщиками и устройствами. Он вводит концепцию шаблонов, позволяющую динамически определять структуру и содержимое записи потока. Это позволяет включать пользовательские поля, поддерживать новые протоколы и расширяемость.
Основные характеристики IPFIX:
~ Подход на основе шаблонов: IPFIX использует шаблоны для определения структуры и содержания записей потока, обеспечивая гибкость при размещении различных полей данных и информации, специфичной для протокола.
~ Взаимодействие: IPFIX — это открытый стандарт, обеспечивающий единообразные возможности мониторинга потока данных между различными поставщиками сетевых решений и устройствами.
~ Поддержка IPv6: IPFIX изначально поддерживает IPv6, что делает его пригодным для мониторинга и анализа трафика в сетях IPv6.
~Повышенная безопасность: IPFIX включает в себя функции безопасности, такие как шифрование Transport Layer Security (TLS) и проверки целостности сообщений, для защиты конфиденциальности и целостности потоковых данных во время передачи.
IPFIX широко поддерживается различными поставщиками сетевого оборудования, что делает его нейтральным по отношению к поставщику и широко распространенным выбором для мониторинга сетевых потоков.
Так в чем же разница между NetFlow и IPFIX?
Простой ответ заключается в том, что NetFlow — это фирменный протокол Cisco, представленный около 1996 года, а IPFIX — его одобренный органом по стандартизации аналог.
Оба протокола служат одной и той же цели: позволяя сетевым инженерам и администраторам собирать и анализировать потоки IP-трафика на уровне сети. Cisco разработала NetFlow, чтобы ее коммутаторы и маршрутизаторы могли выводить эту ценную информацию. Учитывая доминирование оборудования Cisco, NetFlow быстро стал фактическим стандартом для анализа сетевого трафика. Однако конкуренты в отрасли поняли, что использование фирменного протокола, контролируемого его главным конкурентом, не является хорошей идеей, и поэтому IETF возглавила попытку стандартизировать открытый протокол для анализа трафика, которым является IPFIX.
IPFIX основан на NetFlow версии 9 и был первоначально представлен около 2005 года, но потребовалось несколько лет, чтобы получить признание в отрасли. На данный момент эти два протокола по сути одинаковы, и хотя термин NetFlow все еще более распространен, большинство реализаций (хотя и не все) совместимы со стандартом IPFIX.
Ниже представлена таблица, обобщающая различия между NetFlow и IPFIX:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Источник | Запатентованная технология, разработанная Cisco | Стандартный отраслевой протокол на основе NetFlow версии 9 |
| Стандартизация | Специфическая технология Cisco | Открытый стандарт, определенный IETF в RFC 7011 |
| Гибкость | Усовершенствованные версии со специфическими особенностями | Большая гибкость и совместимость между поставщиками |
| Формат данных | Пакеты фиксированного размера | Подход на основе шаблонов для настраиваемых форматов записей потока |
| Поддержка шаблонов | Не поддерживается | Динамические шаблоны для гибкого включения полей |
| Поддержка поставщиков | В основном устройства Cisco | Широкая поддержка среди поставщиков сетевого оборудования |
| Расширяемость | Ограниченная настройка | Включение пользовательских полей и данных, специфичных для приложения |
| Различия в протоколах | Специфические для Cisco вариации | Собственная поддержка IPv6, расширенные возможности записи потока |
| Функции безопасности | Ограниченные функции безопасности | Шифрование Transport Layer Security (TLS), целостность сообщений |
Мониторинг сетевого потокаэто сбор, анализ и мониторинг трафика, проходящего через заданную сеть или сегмент сети. Цели могут варьироваться от устранения неполадок с подключением до планирования будущего распределения полосы пропускания. Мониторинг потока и выборка пакетов могут быть даже полезны для выявления и устранения проблем безопасности.
Мониторинг потока дает сетевым командам хорошее представление о том, как работает сеть, предоставляя информацию об общем использовании, использовании приложений, потенциальных узких местах, аномалиях, которые могут сигнализировать об угрозах безопасности, и многом другом. Существует несколько различных стандартов и форматов, используемых для мониторинга потока сети, включая NetFlow, sFlow и экспорт информации о потоке интернет-протокола (IPFIX). Каждый из них работает немного по-своему, но все они отличаются от зеркалирования портов и глубокой проверки пакетов тем, что они не захватывают содержимое каждого пакета, проходящего через порт или через коммутатор. Однако мониторинг потока предоставляет больше информации, чем SNMP, который, как правило, ограничивается широкой статистикой, такой как общее использование пакетов и полосы пропускания.
Сравнение сетевых потоков инструментов
| Особенность | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Открытое или частное | Запатентованный | Запатентованный | Открыть | Открыть |
| На основе выборки или потока | В первую очередь основан на потоке; доступен режим выборки | В первую очередь основан на потоке; доступен режим выборки | Проба | В первую очередь основан на потоке; доступен режим выборки |
| Информация получена | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. | Полные заголовки пакетов, частичные полезные данные пакетов | Метаданные и статистическая информация, включая переданные байты, счетчики интерфейсов и т. д. |
| Мониторинг входа/выхода | Только въезд | Вход и выход | Вход и выход | Вход и выход |
| Поддержка IPv6/VLAN/MPLS | No | Да | Да | Да |
Время публикации: 18 марта 2024 г.
