NetFlow kaj IPFix estas ambaŭ teknologioj uzataj por monitorado kaj analizo de retaj fluoj. Ili donas komprenojn pri retaj trafikaj ŝablonoj, helpante optimumigon de agoj, solvado de problemoj kaj sekureca analizo.
Netflow:
Kio estas NetFlow?
Netflowestas la originala fluo -monitorada solvo, origine disvolvita de Cisco en la malfruaj 1990 -aj jaroj. Pluraj malsamaj versioj ekzistas, sed plej multaj deplojoj baziĝas sur aŭ NetFlow V5 aŭ NetFlow V9. Dum ĉiu versio havas malsamajn kapablojn, la baza operacio restas la sama:
Unue, enkursigilo, ŝaltilo, firewall aŭ alia speco de aparato kaptos informojn pri la "fluoj" de la reto - esence aro de pakaĵoj, kiuj dividas komunan aron de trajtoj kiel fonto kaj celloko, fonto kaj destina haveno kaj protokola tipo. Post kiam fluo dormis aŭ antaŭdifinita tempo pasis, la aparato eksportos la fluajn rekordojn al ento konata kiel "flua kolektanto".
Fine, "fluo-analizilo" komprenas tiujn registrojn, havigante komprenojn en formo de bildigoj, statistikoj kaj detala historia kaj realtempa raportado. En la praktiko, kolektantoj kaj analiziloj ofte estas ununura ento, ofte kombinitaj en pli grandan retan rendimentan monitoradan solvon.
Netflow funkcias laŭ ŝtata bazo. Kiam klienta maŝino atingas servilon, NetFlow komencos kapti kaj agregi metadatojn de la fluo. Post kiam la kunsido finiĝos, NetFlow eksportos ununuran kompletan rekordon al la kolektanto.
Kvankam ĝi ankoraŭ estas ofte uzata, NetFlow V5 havas kelkajn limojn. La kampoj eksportitaj estas fiksitaj, monitorado estas subtenata nur en la enira direkto, kaj modernaj teknologioj kiel IPv6, MPLS kaj VXLAN ne estas subtenataj. NetFlow V9, ankaŭ markita kiel Fleksebla NetFlow (FNF), traktas iujn el ĉi tiuj limigoj, permesante al uzantoj konstrui kutimajn ŝablonojn kaj aldoni subtenon por pli novaj teknologioj.
Multaj vendistoj ankaŭ havas siajn proprajn proprietajn efektivigojn de Netflow, kiel JFlow de Juniper kaj Netstream de Huawei. Kvankam la agordo povas diferenci iom, ĉi tiuj efektivigoj ofte produktas fluajn rekordojn kongruajn kun NetFlow -kolektantoj kaj analiziloj.
Ŝlosilaj ecoj de NetFlow:
~ Fluaj Datumoj: NetFlow generas fluajn rekordojn, kiuj inkluzivas detalojn kiel fontaj kaj cellokaj IP -adresoj, havenoj, markotempoj, paketoj kaj bajtaj kalkuloj, kaj protokolaj tipoj.
~ Trafika monitorado: NetFlow provizas videblecon en retaj trafikaj ŝablonoj, permesante al administrantoj identigi pintajn aplikojn, finpunktojn kaj trafikajn fontojn.
~Anomalia detekto: Analizante fluajn datumojn, NetFlow povas detekti anomaliojn kiel troa uzado de larĝa bando, kongesto de retoj aŭ nekutimaj trafikaj ŝablonoj.
~ Sekureca analizo: NetFlow povas esti uzata por detekti kaj esplori sekurecajn incidentojn, kiel ekzemple distribuitaj neado de servaj (DDoS) atakoj aŭ ne rajtigitaj aliraj provoj.
Netflow -versioj: Netflow evoluis kun la tempo, kaj malsamaj versioj estis liberigitaj. Iuj rimarkindaj versioj inkluzivas NetFlow V5, NetFlow V9, kaj flekseblan NetFlow. Ĉiu versio enkondukas plibonigojn kaj aldonajn kapablojn.
Ipfix:
Kio estas IPFIX?
IETF -normo aperinta en la fruaj 2000 -aj jaroj, Interreta Protokola Flua Informo -Eksportado (IPFIX) estas ege simila al NetFlow. Fakte, NetFlow V9 funkciis kiel bazo por IPFIX. La ĉefa diferenco inter ambaŭ estas, ke IPFIX estas malferma normo, kaj estas subtenata de multaj retaj vendistoj krom Cisco. Krom kelkaj pliaj kampoj aldonitaj en IPFIX, la formatoj estas alie preskaŭ identaj. Fakte, IPFIX estas foje eĉ nomata "NetFlow V10".
Pro parto al siaj similecoj al NetFlow, IPFIX ĝuas larĝan subtenon inter retaj monitoradaj solvoj same kiel retaj ekipaĵoj.
IPFIX (Interreta Protokola Flua Informo -Eksportado) estas malferma norma protokolo disvolvita de la Interreta Inĝenieristika Taskrupo (IETF). Ĝi baziĝas sur la specifo NetFlow -versio 9 kaj provizas normigitan formaton por eksportado de fluaj rekordoj de retaj aparatoj.
IPFIX baziĝas sur la konceptoj de NetFlow kaj pligrandigas ilin por oferti pli da fleksebleco kaj interoperableco tra diversaj vendistoj kaj aparatoj. Ĝi enkondukas la koncepton de ŝablonoj, ebligante dinamikan difinon de flua rekorda strukturo kaj enhavo. Ĉi tio ebligas la inkluzivon de kutimaj kampoj, subteno por novaj protokoloj kaj etendigebleco.
Ŝlosilaj ecoj de IPFIX:
~ Ŝablono-bazita aliro: IPFIX uzas ŝablonojn por difini la strukturon kaj enhavon de fluaj registroj, ofertante flekseblecon en akomodado de diversaj datumkampoj kaj protokol-specifaj informoj.
~ Interoperableco: IPFIX estas malferma normo, certigante konsekvencajn fluajn monitoradajn kapablojn tra diversaj retaj vendistoj kaj aparatoj.
~ IPv6 -subteno: IPFix denaske subtenas IPv6, igante ĝin taŭga por monitorado kaj analizado de trafiko en IPv6 -retoj.
~Plibonigita Sekureco: IPFIX inkluzivas sekurecajn funkciojn kiel ekzemple transportaj tavolaj sekurecaj (TLS) ĉifrado kaj mesaĝaj integrecoj por protekti la konfidencon kaj integrecon de fluaj datumoj dum transdono.
IPFIX estas vaste subtenata de diversaj vendistoj de retaj ekipaĵoj, igante ĝin vendisto-neŭtrala kaj vaste adoptita elekto por monitorado de retaj fluoj.
Do, kio estas la diferenco inter NetFlow kaj IPFIX?
La simpla respondo estas, ke NetFlow estas Cisco -proprieta protokolo enkondukita ĉirkaŭ 1996 kaj IPFIX estas ĝia normo -aprobita frato.
Ambaŭ protokoloj servas la saman celon: ebligante retajn inĝenierojn kaj administrantojn kolekti kaj analizi retajn nivelajn IP -trafikajn fluojn. Cisco disvolvis NetFlow tiel ke ĝiaj ŝaltiloj kaj enkursigiloj povus eligi ĉi tiun valoran informon. Konsiderante la regadon de Cisco-ilaro, NetFlow rapide fariĝis la de-fakta normo por analizo de retaj trafikoj. Tamen, industriaj konkurantoj rimarkis, ke uzi proprietan protokolon kontrolitan de ĝia ĉefa rivalo ne estis bona ideo kaj tial la IETF gvidis penon normigi malferman protokolon por trafika analizo, kiu estas IPFix.
IPFIX baziĝas sur NetFlow -versio 9 kaj estis origine enkondukita ĉirkaŭ 2005 sed prenis kelkajn jarojn por akiri industrian adopton. En ĉi tiu punkto, la du protokoloj estas esence la samaj kaj kvankam la termino NetFlow estas ankoraŭ pli ĝenerala plej multaj efektivigoj (kvankam ne ĉiuj) kongruas kun la normo IPFIX.
Jen tablo resumanta la diferencojn inter NetFlow kaj IPFIX:
| Aspekto | Netflow | Ipfix |
|---|---|---|
| Origino | Proprieta teknologio disvolvita de Cisco | Industria-Normala Protokolo Bazita sur NetFlow Versio 9 |
| Normigado | Cisco-specifa teknologio | Malferma normo difinita de IETF en RFC 7011 |
| Fleksebleco | Evoluis versioj kun specifaj ecoj | Pli granda fleksebleco kaj interoperableco inter vendistoj |
| Datuma formato | Fiksgrandaj pakaĵoj | Ŝablono-bazita alproksimiĝo por agordeblaj fluaj rekordaj formatoj |
| Ŝablona Subteno | Ne subtenata | Dinamikaj Ŝablonoj por Fleksebla Kampo -Inkludo |
| Vendista subteno | Ĉefe Cisco -aparatoj | Larĝa subteno tra retaj vendistoj |
| Etendebleco | Limigita personigo | Inkludo de kutimaj kampoj kaj aplik-specifaj datumoj |
| Protokolaj diferencoj | Cisco-specifaj variaĵoj | Denaska IPv6 -subteno, plibonigitaj fluaj rekordaj opcioj |
| Sekurecaj Trajtoj | Limigitaj sekurecaj trajtoj | Transporta Tavolo -Sekureco (TLS) Ĉifrado, Mesaĝa Integreco |
Retfluo -monitoradoestas la kolekto, analizo kaj monitorado de trafiko trairante donitan retan aŭ retan segmenton. La celoj povas varii de problemoj pri konektebleco ĝis planado de estonta larĝa bando. Flua monitorado kaj paka specimenado eĉ povas esti utilaj por identigi kaj remedii sekurecajn problemojn.
Flua monitorado donas al retaj teamoj bonan ideon pri kiel reto funkcias, provizante komprenojn pri ĝenerala uzado, uzado de aplikoj, eblaj boteloj, anomalioj, kiuj eble signalas sekurecajn minacojn, kaj pli. Ekzistas pluraj malsamaj normoj kaj formatoj uzataj en monitorado de retaj fluoj, inkluzive de NetFlow, SFLOW, kaj Interreta Protokola Fluo -Eksportado (IPFIX). Ĉiu funkcias laŭ iomete malsama maniero, sed ĉiuj diferencas de spegulado de haveno kaj profunda paka inspektado, ĉar ili ne kaptas la enhavon de ĉiu paketo preterpasanta havenon aŭ tra ŝaltilo. Tamen, fluo -monitorado donas pli da informoj ol SNMP, kio estas ĝenerale limigita al larĝaj statistikoj kiel entuta paketo kaj larĝa bando.
Retaj fluaj iloj komparitaj
| Karakterizaĵo | Netflow V5 | Netflow v9 | sflow | Ipfix |
| Malferma aŭ Proprieta | Proprieta | Proprieta | Malferma | Malferma |
| Specimenita aŭ flua bazita | Ĉefe flue bazita; Specimenita reĝimo haveblas | Ĉefe flue bazita; Specimenita reĝimo haveblas | Specimenita | Ĉefe flue bazita; Specimenita reĝimo haveblas |
| Informoj kaptitaj | Metadatumoj kaj statistikaj informoj, inkluzive de bajtoj translokigitaj, interfacaj nombriloj kaj tiel plu | Metadatumoj kaj statistikaj informoj, inkluzive de bajtoj translokigitaj, interfacaj nombriloj kaj tiel plu | Kompletigu paketajn titolojn, partajn paketajn ŝarĝojn | Metadatumoj kaj statistikaj informoj, inkluzive de bajtoj translokigitaj, interfacaj nombriloj kaj tiel plu |
| Monitorado de eniro/egreso | Ingress nur | Ingreso kaj Egress | Ingreso kaj Egress | Ingreso kaj Egress |
| Subteno IPv6/VLAN/MPLS | No | Jes | Jes | Jes |
Afiŝotempo: mar-18-2024
