NetFlow en IPFIX binne beide technologyen dy't brûkt wurde foar netwurkstreammonitoring en -analyse. Se jouwe ynsjoch yn netwurkferkearspatroanen, en helpe by prestaasjesoptimalisaasje, probleemoplossing en feiligensanalyse.
NetFlow:
Wat is NetFlow?
NetFlowis de orizjinele oplossing foar streammonitoring, oarspronklik ûntwikkele troch Cisco yn 'e lette jierren '90. Der besteane ferskate ferzjes, mar de measte ynset is basearre op NetFlow v5 of NetFlow v9. Hoewol elke ferzje ferskillende mooglikheden hat, bliuwt de basisoperaasje itselde:
Earst sil in router, switch, firewall, of in oar type apparaat ynformaasje oer de netwurk "streams" fêstlizze - yn prinsipe in set pakketten dy't in mienskiplike set skaaimerken diele lykas boarne- en bestimmingsadres, boarne- en bestimmingspoarte, en protokoltype. Nei't in stream yn sliep fallen is of in foarôf definieare tiid ferrûn is, sil it apparaat de streamrecords eksportearje nei in entiteit dy't bekend stiet as in "streamkollektor".
Uteinlik makket in "streamanalysator" sin fan dy records, en leveret ynsjoch yn 'e foarm fan fisualisaasjes, statistiken en detaillearre histoaryske en real-time rapportaazje. Yn 'e praktyk binne samlers en analysators faak ien entiteit, faak kombineare yn in gruttere oplossing foar netwurkprestaasjesmonitoring.
NetFlow wurket op in stateful basis. As in kliïntmasine kontakt makket mei in server, sil NetFlow begjinne mei it fêstlizzen en aggregearjen fan metadata fan 'e stream. Nei't de sesje beëinige is, sil NetFlow ien folslein rekord nei de samler eksportearje.
Hoewol it noch altyd faak brûkt wurdt, hat NetFlow v5 in oantal beheiningen. De eksportearre fjilden binne fêst, monitoring wurdt allinich stipe yn 'e yngongsrjochting, en moderne technologyen lykas IPv6, MPLS en VXLAN wurde net stipe. NetFlow v9, ek wol bekend as Flexible NetFlow (FNF), pakt guon fan dizze beheiningen oan, wêrtroch brûkers oanpaste sjabloanen kinne bouwe en stipe tafoege wurdt foar nijere technologyen.
In protte leveransiers hawwe ek har eigen proprietêre ymplemintaasjes fan NetFlow, lykas jFlow fan Juniper en NetStream fan Huawei. Hoewol de konfiguraasje wat ferskille kin, produsearje dizze ymplemintaasjes faak streamrecords dy't kompatibel binne mei NetFlow-kollektors en -analysators.
Wichtige funksjes fan NetFlow:
~ FlowgegevensNetFlow genereart streamrecords dy't details befetsje lykas boarne- en bestimmings-IP-adressen, poarten, tiidstempels, pakket- en bytetellingen, en protokoltypen.
~ FerkearsmonitoringNetFlow biedt ynsjoch yn netwurkferkearspatroanen, wêrtroch behearders de wichtichste applikaasjes, einpunten en ferkearsboarnen kinne identifisearje.
~AnomaliedeteksjeTroch streamgegevens te analysearjen kin NetFlow anomalieën opspoare lykas oermjittich bânbreedtegebrûk, netwurkoerlêst of ûngewoane ferkearspatroanen.
~ FeiligensanalyseNetFlow kin brûkt wurde om befeiligingsynsidinten te detektearjen en te ûndersykjen, lykas ferspraat denial-of-service (DDoS)-oanfallen of net-autorisearre tagongspogingen.
NetFlow-ferzjesNetFlow is yn 'e rin fan' e tiid evoluearre, en ferskate ferzjes binne útbrocht. Guon opmerklike ferzjes binne NetFlow v5, NetFlow v9, en Flexible NetFlow. Elke ferzje yntrodusearret ferbetteringen en ekstra mooglikheden.
IPFIX:
Wat is IPFIX?
Internet Protocol Flow Information Export (IPFIX), in IETF-standert dy't yn 'e iere 2000's ûntstie, is tige ferlykber mei NetFlow. Eins tsjinne NetFlow v9 as basis foar IPFIX. It primêre ferskil tusken de twa is dat IPFIX in iepen standert is, en wurdt stipe troch in protte netwurkleveransiers neist Cisco. Mei útsûndering fan in pear ekstra fjilden dy't tafoege binne yn IPFIX, binne de formaten fierder hast identyk. Eins wurdt IPFIX soms sels oantsjutten as "NetFlow v10".
Fanwegen syn oerienkomsten mei NetFlow genietet IPFIX in brede stipe ûnder netwurkmonitoringoplossingen en netwurkapparatuer.
IPFIX (Internet Protocol Flow Information Export) is in iepen standertprotokol ûntwikkele troch de Internet Engineering Task Force (IETF). It is basearre op de NetFlow Ferzje 9-spesifikaasje en biedt in standerdisearre formaat foar it eksportearjen fan streamrecords fan netwurkapparaten.
IPFIX bout fierder op 'e konsepten fan NetFlow en wreidet se út om mear fleksibiliteit en ynteroperabiliteit te bieden tusken ferskate leveransiers en apparaten. It yntrodusearret it konsept fan sjabloanen, wêrtroch dynamyske definysje fan streamrekordstruktuer en ynhâld mooglik is. Dit makket it opnimmen fan oanpaste fjilden, stipe foar nije protokollen en útwreidberens mooglik.
Wichtige funksjes fan IPFIX:
~ Sjabloan-basearre oanpakIPFIX brûkt sjabloanen om de struktuer en ynhâld fan streamrecords te definiearjen, en biedt fleksibiliteit by it foldwaan oan ferskate gegevensfjilden en protokolspesifike ynformaasje.
~ YnteroperabiliteitIPFIX is in iepen standert, dy't soarget foar konsekwinte streammonitoringmooglikheden oer ferskate netwurkleveransiers en apparaten.
~ IPv6-stipeIPFIX stipet IPv6 fan native aard, wêrtroch it geskikt is foar it kontrolearjen en analysearjen fan ferkear yn IPv6-netwurken.
~Ferbettere feiligensIPFIX omfettet feiligensfunksjes lykas Transport Layer Security (TLS) fersifering en berjochtintegriteitskontrôles om de fertroulikens en yntegriteit fan streamgegevens te beskermjen tidens oerdracht.
IPFIX wurdt breed stipe troch ferskate leveransiers fan netwurkapparatuer, wêrtroch it in leveransierneutrale en breed oannaam kar is foar netwurkstreammonitoring.
Dus, wat is it ferskil tusken NetFlow en IPFIX?
It ienfâldige antwurd is dat NetFlow in proprietêr protokol fan Cisco is dat om 1996 hinne yntrodusearre is en IPFIX is syn troch de standertynstelling goedkarde broer.
Beide protokollen tsjinje itselde doel: netwurkyngenieurs en behearders yn steat stelle om IP-ferkearsstreamen op netwurknivo te sammeljen en te analysearjen. Cisco ûntwikkele NetFlow sadat har switches en routers dizze weardefolle ynformaasje útfiere koene. Mei it each op de dominânsje fan Cisco-apparatuer waard NetFlow al gau de de facto standert foar netwurkferkearsanalyse. Konkurrenten yn 'e sektor realisearren har lykwols dat it brûken fan in proprietêr protokol dat kontroleare waard troch syn wichtichste rivaal gjin goed idee wie en dêrom liede de IETF in poging om in iepen protokol foar ferkearsanalyse te standardisearjen, dat is IPFIX.
IPFIX is basearre op NetFlow ferzje 9 en waard oarspronklik om 2005 hinne yntrodusearre, mar it duorre in oantal jierren foardat it troch de yndustry oannaam waard. Op dit stuit binne de twa protokollen yn essinsje itselde en hoewol de term NetFlow noch altyd faker foarkomt, binne de measte ymplemintaasjes (hoewol net allegear) kompatibel mei de IPFIX-standert.
Hjir is in tabel dy't de ferskillen tusken NetFlow en IPFIX gearfettet:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Oarsprong | Proprietêre technology ûntwikkele troch Cisco | Yndustrystandertprotokol basearre op NetFlow Ferzje 9 |
| Standardisaasje | Cisco-spesifike technology | Iepen standert definiearre troch IETF yn RFC 7011 |
| Fleksibiliteit | Evolúsjonearre ferzjes mei spesifike funksjes | Gruttere fleksibiliteit en ynteroperabiliteit tusken leveransiers |
| Gegevensformaat | Pakketten mei fêste grutte | Sjabloan-basearre oanpak foar oanpasbere streamrekordformaten |
| Sjabloanstipe | Net stipe | Dynamyske sjabloanen foar fleksibele fjildynklúzje |
| Stipe fan leveransiers | Benammen Cisco-apparaten | Brede stipe oer netwurkleveransiers |
| Útwreidberens | Beheinde oanpassing | Ynklúzje fan oanpaste fjilden en applikaasjespesifike gegevens |
| Protokolferskillen | Cisco-spesifike fariaasjes | Native IPv6-stipe, ferbettere streamopname-opsjes |
| Feiligensfunksjes | Beheinde feiligensfunksjes | Transport Layer Security (TLS) fersifering, berjochtintegriteit |
Netwurkstreammonitoringis it sammeljen, analysearjen en kontrolearjen fan ferkear dat in bepaald netwurk of netwurksegment trochkrúst. De doelen kinne fariearje fan it oplossen fan ferbiningsproblemen oant it plannen fan takomstige bânbreedtetoewizing. Flowmonitoring en pakketsampling kinne sels nuttich wêze by it identifisearjen en oplossen fan feiligensproblemen.
Flowmonitoring jout netwurkteams in goed idee fan hoe't in netwurk wurket, en jout ynsjoch yn it algemiene gebrûk, applikaasjegebrûk, potinsjele knelpunten, anomalieën dy't kinne wize op feiligensbedrigingen, en mear. D'r binne ferskate noarmen en formaten dy't brûkt wurde yn netwurkstreammonitoring, ynklusyf NetFlow, sFlow, en Internet Protocol Flow Information Export (IPFIX). Elk wurket op in wat oare manier, mar se binne allegear oars as port mirroring en djippe pakketynspeksje, om't se net de ynhâld fan elk pakket fêstlizze dat oer in poarte of troch in switch giet. Flowmonitoring jout lykwols mear ynformaasje as SNMP, dat oer it algemien beheind is ta brede statistiken lykas algemien pakket- en bânbreedtegebrûk.
Netwurkstream-ark fergelike
| Eigenskip | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Iepen of Proprietêr | Eigen | Eigen | Iepen | Iepen |
| Sampled of stream-basearre | Primêr basearre op stream; Sampled-modus is beskikber | Primêr basearre op stream; Sampled-modus is beskikber | Sampled | Primêr basearre op stream; Sampled-modus is beskikber |
| Ynformaasje fêstlein | Metadata en statistyske ynformaasje, ynklusyf oerdroegen bytes, ynterfacetellers en sa fierder | Metadata en statistyske ynformaasje, ynklusyf oerdroegen bytes, ynterfacetellers en sa fierder | Folsleine pakketheaders, dielde pakketladingen | Metadata en statistyske ynformaasje, ynklusyf oerdroegen bytes, ynterfacetellers en sa fierder |
| Yngong/útgongsmonitoring | Allinnich yngong | Yngong en Útgong | Yngong en Útgong | Yngong en Útgong |
| IPv6/VLAN/MPLS-stipe | No | Ja | Ja | Ja |
Pleatsingstiid: 18 maart 2024
