Netflow en Ipfix binne beide technologyen dy't brûkt wurde foar netwurkstream-monitoaring en analyse. Se leverje ynsjoch yn netwurkferkearspatroanen, hoefolle optimalisaasje, probleemoplossingsprobleem, en feiligensanalyse.
Netflow:
Wat is netflow?
NetflowIs de orizjinele FLOW Monitoring-oplossing, oarspronklik ûntwikkele troch Cisco yn 'e lette jierren 1990. Ferskate ferskillende ferzjes bestean, mar de measte ynstellingen binne basearre op UNFLOW V5 of Netflow v9. Wylst elke ferzje ferskate mooglikheden hat, bliuwt de basisopaasje itselde:
Earst, in router, wikselje, Firewall, as in oar soarte apparaat sil opnimme oer it netwurk "Flows" - yn prinsipe in Set fan pakketten dy't diele as boarne en bestimmingsadres, boarne, boarne, boarne en protocol-type. Nei't in stream wie sliepend as in foarôf definieare hoemannichte tiid is foarby, sil it apparaat eksportearje de streamrjochten nei in entiteit bekend as in "stream samler".
Uteinlik makket in "Flow Analysator" sin fan dy records, ynsjoch dy't ynsjoch leverje yn 'e foarm fan visualisaasjes, statistiken, en detaillearre histoaryske en realtime rapportaazje. Yn 'e praktyk binne samlers en analysearders faaks in inkelde entiteit, faak kombineare yn in gruttere netwurkprestaasjesmonitoring-oplossing.
Netflow wurket op in stateaze basis. As in kliïntasjine nei in server berikt nei in server, sil netflow begjinne, sil de metadata fange en aggregearje fan 'e stream. Neidat de sesje wurdt beëinige, sil netflow, kinne netflow eksportearje in ienige folsleine record nei de samler.
Hoewol it noch altyd wurdt brûkt, hat Netflow V5 in oantal beheiningen. De fjilden eksporteare binne fêst, kontroleare wurdt allinich stipe yn 'e ingrinsrjochting, en moderne technologyen lykas IPV6, MPLS, en VXLAN binne net stipe. Netflow v9, ek branded as fleksibele netflow (FNF), adressen guon fan dizze beheiningen, dy't brûkers tastean om oanpaste sjabloanen te bouwen en stipe te bouwen foar nijere technologyen.
In protte leveransaars hawwe ek har eigen eigendomde ymplemintaasjes fan Netflow, lykas Jflow fan Juniper en Netstream út Huawei. Hoewol de konfiguraasje wat oars ferskille kin, produsearje dizze ymplemintaasjes faaks streame-records dy't kompatibel binne mei netflow-samlers en analysearders.
Key Funksjes fan Netflow:
~ Flowgegevens: Netflow genereart Flow Records dy't details omfetsje, lykas Boarne en Destination IP-adressen, Haven, tiidstempels, Pakket en byte tellen, en protokolftypen.
~ Ferkear tafersjoch: Netflow leveret sichtberens yn netwurkferkearspatroanen, tastean fan behearen om topapplikaasjes te identifisearjen, endpels, end-boarnen.
~Anomaly-deteksje: Troch Flow-gegevens analysearjen kinne netflow Anomalies detektearje, lykas oermjittige bandbreedte utilisaasje, netwurkstop, as ûngewoane ferkearspatroanen.
~ Boarch-analyse: Netflow kin brûkt wurde om feiligensynsidinten te detektearjen en te ûndersiikjen, lykas ferspraat ûntkende-fan-tsjinst (DDOS) oanfallen of net autorisearre tagongspogingen.
Netflow ferzjes: Netflow is oer de tiid evoluearre, en ferskate ferzjes binne frijlitten. Guon notabele ferzjes omfetsje Netflow v5, Netflow v9, en fleksibele netflow. Elke ferzje yntroduseart ferbetteringen en ekstra mooglikheden.
Ipfix:
Wat is ipfix?
In IETF-standert dat yn 'e iere 2000-er jierren kaam, Internation Protokol Flow-ynformaasje Export (IPFIX) is ekstreem gelyk oan Netflow. Yn feite tsjinne netflow v9 as de basis foar ipfix. It primêre ferskil tusken de twa is dat IPFIX in iepen standert is, en wurdt stipe troch in protte netwurkferkeapen apart fan Cisco. Mei útsûndering fan in pear ekstra fjilden tafoege yn ipfix, binne de formaten oars hast identyk. Eins wurdt ipfix soms sels ferwiisd as "Netflow v10".
Fanwegen in diel oan syn oerienkomsten om ipfiag te nimmen, genietet ipfix, genietet ipfix by bredere stipe ûnder de oplossingen fan netwurkkonitoren as netwurkapparatuer.
Ipfix (ynternetprotokol FLOW-ynformaasje EXPORT) is in iepen standertprotokol ûntwikkele troch de Task Force fan 'e ynternetherieurering (IETF). It is basearre op de netflow-ferzje 9 spesifikaasje en leveret in standerdisearre opmaak foar it eksportearjen fan Flow Records út netwurkapparaten.
Ipfix bout op 'e begripen fan netflow en wreidzje se út om mear fleksibiliteit te bieden en ynteroperabiliteit oer ferskate vendors en apparaten. It yntroduseart it konsept fan sjabloanen, wêrtroch't joamyske definysje fan streamcordstruktuer en ynhâld tastean. Hjirmei kinne it ynklúzje fan oanpaste fjilden, stipe foar nije protokollen, en metensheid.
Key Funksjes fan IPFIX:
~ Template-basearre oanpak: Ipfix brûkt sjabloanen om de struktuer en ynhâld fan streamregisters te definiearjen, fleksibiliteit oanbiede yn foldwaande ferskillende gegevensfjilden en protokol-spesifike ynformaasje.
~ Ynteroperabiliteit: Ipfix is in iepen standert, soargje foar konsekwint streambealingen oer ferskate netwurkferkeapers en apparaten.
~ IPV6-stipe: IPFIx stipet iPv6 op dat IPV6 stipet, wêrtroch it geskikt makket foar tafersjoch en analysearjen fan ferkear yn ipv6 netwurken.
~Ferbettere feiligens: IPFIX omfettet befeiligingsfunksjes lykas transportlaachfeiligens (TLS) -crecity (TLS) -fieding en berjochten entiniteitskontrôles om de fertroulikens en yntegriteit fan streamgegevens te beskermjen by de oerdracht.
Ipfix wurdt breed stipe troch ferskate leveransiers, wêrtroch it in vendor-neutraal makket en breed oannommen kar foar konmakker foar netwurkstream.
Dat, wat is it ferskil tusken Netflow en Ipfix?
It ienfâldige antwurd is dat netflow is in Cisco-proprietêr protriatol ynskeakele yn 1996 en IPFIX is syn standerts lichem goedkarde broer.
Beide protokollen tsjinje itselde doel: Ynskakelje netwurkyngenieurs en behearders ynskeakelje om netwurknivo te sammeljen en analysearjen fan netwurknivo ip-ferkearsplakken. Cisco ûntwikkele netflow, sadat har skeakels en routers dizze weardefolle ynformaasje kinne útfiere. Sjoen it dominânsje fan Cisco-gear, waard netflow, waard netflow gau de DE-FACTO standert foar netwurkferkearanalyse. Sektorekompetitors realisearren lykwols dat it brûken fan in propriatysk-protokol regele waard troch de Haad-rivaal net in goed idee, laat dat de IETS-proto-analyse is foar ferkearsanalyse, dat is IPFIX.
IPFIX is basearre op NetFlow-ferzje 9 en waard oarspronklik ynsteld om 2005 yntrodusearre, mar naam wat oantal jierren om yndustry oannimmer oan te pakken. Op dit punt binne de twa protokollen essensjeel itselde, en hoewol de term net-netflow is noch altyd mear prevalent, de measte ymplemintaasje (hoewol net allegear) binne kompatibel mei de IPFIX-standert.
Hjir is in tafel dat de ferskillen gearfettet tusken Netflow en IPFIX:
| Aspekt | Netflow | Ipfix |
|---|---|---|
| Oarsprong | Proprietêre technology ûntwikkele troch Cisco | Yndustry-standertprotokol basearre op NetFlow Ferzje 9 |
| Standerdisearring | Cisco-spesifike technology | Iepenje standert definieare troch IETF yn RFC 7011 |
| Fleksibiliteit | Evoluearre ferzjes mei spesifike funksjes | Gruttere fleksibiliteit en ynteroperabiliteit oer vendors |
| Data formaat | Pakketten fan fêste grutte | Template-basearre oanpak foar oanpassende femporten |
| Sjabloan stipe | Net stipe | Dynamyske sjabloanen foar fleksibele fjild ynklúzje |
| Vendor Support | Primêr Cisco-apparaten | Brede stipe oer netwurkferkeaper |
| Foarkommen | Beheinde oanpassing | Ynklúzje fan oanpaste fjilden en applikaasje-spesifike gegevens |
| Protokol ferskillen | Cisco-spesifike fariaasjes | Native IPV6 stipe, ferbettere Flownordopsjes |
| Befeiligingsfunksjes | Beheinde befeiligingsfunksjes | Ferfier Layer Security (TLS) Fersifering, Meldbern-yntegriteit |
Netwurk Flow Monitoringis de kolleksje, analyse, en tafersjoch op ferkear fan it trochkommen fan in bepaald netwurk as netwurksegment. De doelstellingen kinne ferskille fan it probleemoplossing fan ferbiningsprobleemje om takomstige bandbreedte allokaasje te plannen. Flow-monitoaring en pakket-sampling kinne sels nuttich wêze by it identifisearjen en fernijt fan befeiligingsproblemen.
Flow-monitoaring jout netwurkteams In goed idee fan hoe't in netwurk ynsjocht is, ynsjoch yn 't algemiene gebrûk, potinsjele brûken, anomalies dy't feiligensbedrigingen kinne signalearje, en mear. D'r binne ferskate ferskillende noarmen en formaten brûkt yn netwurkstoffen, ynklusyf netflow, Sflow, Sflow, en Internet Protocol Flow Information Export (IPFIX). Elk wurket op in bytsje oare manier, mar allegear binne ûnderskieden fan poartespregeljen en djippe pakketynspeksje yn dat se de ynhâld fan elke pakket net oergeane oer in poarte of fia in skeakel. Stream Monitor leveret lykwols mear ynformaasje dan SNMP, dy't algemien beheind is ta brede statistiken lykas it algemien pakket en bandbreedte gebrûk.
Netwurkstream Tools fergelike
| Eigenskip | Netflow v5 | Netflow v9 | sflow | Ipfix |
| Iepen as proprietêr | Proprietêr | Proprietêr | Iepen | Iepen |
| Sampled as stream basearre | Primêr streame basearre; Samped Mode is beskikber | Primêr streame basearre; Samped Mode is beskikber | Sampled | Primêr streame basearre; Samped Mode is beskikber |
| Ynformaasje finzen | Metadata en statistyske ynformaasje, ynklusyf bytes oerdroegen, ynterface counters ensafuorthinne | Metadata en statistyske ynformaasje, ynklusyf bytes oerdroegen, ynterface counters ensafuorthinne | Folsleine pakketkoppen, partielpakketferpleatst | Metadata en statistyske ynformaasje, ynklusyf bytes oerdroegen, ynterface counters ensafuorthinne |
| Ingress / Egress Monitoring | Ingress Allinich | Ingress en egress | Ingress en egress | Ingress en egress |
| IPV6 / VLAN / MPLS-stipe | No | Ja | Ja | Ja |
Posttiid: MAR-18-2024
