NetFlow kaj IPFIX estas ambaŭ teknologioj uzataj por monitorado kaj analizo de retfluo. Ili provizas komprenojn pri rettrafikaj padronoj, helpante en rendimenta optimumigo, problemsolvado kaj sekureca analizo.
NetFlow:
Kio estas NetFlow?
NetFlowestas la originala solvo por fluo-monitorado, origine evoluigita de Cisco fine de la 1990-aj jaroj. Ekzistas pluraj malsamaj versioj, sed plej multaj deplojoj baziĝas sur aŭ NetFlow v5 aŭ NetFlow v9. Kvankam ĉiu versio havas malsamajn kapablojn, la baza funkciado restas la sama:
Unue, enkursigilo, ŝaltilo, fajromuro, aŭ alia tipo de aparato kaptos informojn pri la retaj "fluoj" - baze aro da pakaĵetoj, kiuj dividas komunan aron de karakterizaĵoj kiel fonta kaj cela adreso, fonta kaj cela pordo, kaj protokoltipo. Post kiam fluo fariĝis dormanta aŭ antaŭdifinita tempodaŭro pasis, la aparato eksportos la fluajn rekordojn al ento konata kiel "fluokolektilo".
Fine, "fluoanalizilo" komprenas tiujn registrojn, provizante komprenojn en la formo de bildigoj, statistikoj kaj detalaj historiaj kaj realtempaj raportoj. En praktiko, kolektantoj kaj analiziloj ofte estas ununura ento, ofte kombinitaj en pli grandan solvon por monitori la rendimenton de la reto.
NetFlow funkcias laŭ stato. Kiam klienta maŝino kontaktas servilon, NetFlow komencas kapti kaj agregi metadatenojn el la fluo. Post kiam la seanco finiĝas, NetFlow eksportas unu kompletan rekordon al la kolektanto.
Kvankam ĝi estas ankoraŭ ofte uzata, NetFlow v5 havas kelkajn limigojn. La eksportitaj kampoj estas fiksitaj, monitorado estas subtenata nur en la enira direkto, kaj modernaj teknologioj kiel IPv6, MPLS kaj VXLAN ne estas subtenataj. NetFlow v9, ankaŭ nomata Flexible NetFlow (FNF), traktas kelkajn el ĉi tiuj limigoj, permesante al uzantoj krei kutimajn ŝablonojn kaj aldonante subtenon por pli novaj teknologioj.
Multaj vendistoj ankaŭ havas siajn proprajn proprietajn efektivigojn de NetFlow, kiel ekzemple jFlow de Juniper kaj NetStream de Huawei. Kvankam la agordo povas iom diferenci, ĉi tiuj efektivigoj ofte produktas fluajn rekordojn, kiuj estas kongruaj kun NetFlow-kolektiloj kaj analiziloj.
Ĉefaj Trajtoj de NetFlow:
~ Fluaj DatumojNetFlow generas fluajn rikordojn, kiuj inkluzivas detalojn kiel fontajn kaj celajn IP-adresojn, pordojn, tempstampojn, pakaĵajn kaj bajtajn nombrojn, kaj protokoltipojn.
~ Trafika MonitoradoNetFlow provizas videblecon pri rettrafikaj padronoj, permesante al administrantoj identigi ĉefajn aplikaĵojn, finpunktojn kaj trafikfontojn.
~Anomalio-DetektoAnalizante fluajn datumojn, NetFlow povas detekti anomaliojn kiel troan bendolarĝan utiligon, retŝtopiĝon aŭ nekutimajn trafikpadronojn.
~ Sekureca AnalizoNetFlow povas esti uzata por detekti kaj esplori sekurecajn okazaĵojn, kiel ekzemple distribuitajn neo-de-servo (DDoS) atakojn aŭ neaŭtorizitajn alirprovojn.
NetFlow-versiojNetFlow evoluis laŭlonge de la tempo, kaj diversaj versioj estis publikigitaj. Kelkaj rimarkindaj versioj inkluzivas NetFlow v5, NetFlow v9, kaj Flexible NetFlow. Ĉiu versio enkondukas plibonigojn kaj aldonajn kapablojn.
IP-FIXO:
Kio estas IPFIX?
IETF-normo aperinta komence de la 2000-aj jaroj, Internet Protocol Flow Information Export (IPFIX) estas ekstreme simila al NetFlow. Fakte, NetFlow v9 funkciis kiel bazo por IPFIX. La ĉefa diferenco inter la du estas, ke IPFIX estas malferma normo, kaj estas subtenata de multaj retvendistoj krom Cisco. Kun la escepto de kelkaj pliaj kampoj aldonitaj en IPFIX, la formatoj estas alie preskaŭ identaj. Fakte, IPFIX estas foje eĉ nomata "NetFlow v10".
Parte pro siaj similecoj al NetFlow, IPFIX ĝuas larĝan subtenon inter retmonitoraj solvoj same kiel retinterkapaciaĵoj.
IPFIX (Internet Protocol Flow Information Export - Eksporto de Fluaj Informoj pri Interreta Protokolo) estas malferma norma protokolo disvolvita de la Internet Engineering Task Force (IETF). Ĝi baziĝas sur la specifo NetFlow Versio 9 kaj provizas normigitan formaton por eksporti fluajn rekordojn de retaj aparatoj.
IPFIX baziĝas sur la konceptoj de NetFlow kaj vastigas ilin por oferti pli da fleksebleco kaj interoperaciebleco inter malsamaj vendistoj kaj aparatoj. Ĝi enkondukas la koncepton de ŝablonoj, permesante dinamikan difinon de la strukturo kaj enhavo de fluaj registroj. Ĉi tio ebligas la inkludon de kutimaj kampoj, subtenon por novaj protokoloj kaj etendeblecon.
Ĉefaj Trajtoj de IPFIX:
~ Ŝablono-Bazita AliroIPFIX uzas ŝablonojn por difini la strukturon kaj enhavon de fluaj rikordoj, ofertante flekseblecon en akomodi malsamajn datenkampojn kaj protokol-specifajn informojn.
~ InteroperacieblecoIPFIX estas malfermita normo, certigante koherajn kapablojn pri fluomonitorado tra malsamaj retvendistoj kaj aparatoj.
~ IPv6-SubtenoIPFIX native subtenas IPv6, igante ĝin taŭga por monitorado kaj analizado de trafiko en IPv6-retoj.
~Plibonigita SekurecoIPFIX inkluzivas sekurecajn funkciojn kiel ĉifrado de Transport Layer Security (TLS) kaj mesaĝajn integreckontrolojn por protekti la konfidencon kaj integrecon de fluodatumoj dum dissendo.
IPFIX estas vaste subtenata de diversaj vendistoj de retaj ekipaĵoj, igante ĝin vendist-neŭtrala kaj vaste adoptita elekto por monitorado de retfluo.
Do, kio estas la diferenco inter NetFlow kaj IPFIX?
La simpla respondo estas, ke NetFlow estas proprieta protokolo de Cisco enkondukita ĉirkaŭ 1996 kaj IPFIX estas ĝia frato aprobita de normigaj instancoj.
Ambaŭ protokoloj servas la saman celon: ebligi al retinĝenieroj kaj administrantoj kolekti kaj analizi retnivelajn IP-trafikfluojn. Cisco evoluigis NetFlow por ke ĝiaj ŝaltiloj kaj enkursigiloj povu eligi ĉi tiujn valorajn informojn. Konsiderante la dominecon de Cisco-ekipaĵo, NetFlow rapide fariĝis la fakta normo por analizo de rettrafiko. Tamen, industriaj konkurantoj rimarkis, ke uzi proprietan protokolon kontrolitan de ĝia ĉefa rivalo ne estis bona ideo kaj tial la IETF gvidis klopodon normigi malferman protokolon por analizo de trafiko, kiu estas IPFIX.
IPFIX baziĝas sur NetFlow versio 9 kaj estis origine enkondukita ĉirkaŭ 2005, sed necesis kelkaj jaroj por akiri industrian adopton. Ĝis nun, la du protokoloj estas esence la samaj, kaj kvankam la termino NetFlow estas ankoraŭ pli ofta, plej multaj efektivigoj (kvankam ne ĉiuj) estas kongruaj kun la IPFIX-normo.
Jen tabelo resumanta la diferencojn inter NetFlow kaj IPFIX:
| Aspekto | NetFlow | IPFIKS |
|---|---|---|
| Origino | Proprieta teknologio evoluigita de Cisco | Industri-norma protokolo bazita sur NetFlow Versio 9 |
| Normigado | Cisco-specifa teknologio | Malferma normo difinita de IETF en RFC 7011 |
| Fleksebleco | Evoluintaj versioj kun specifaj trajtoj | Pli granda fleksebleco kaj interoperaciebleco inter vendistoj |
| Datenformato | Fiksgrandecaj pakaĵetoj | Ŝablon-bazita aliro por personigeblaj fluaj registraĵaj formatoj |
| Ŝablona Subteno | Ne subtenata | Dinamikaj ŝablonoj por fleksebla kampa inkludo |
| Vendista Subteno | Ĉefe Cisco-aparatoj | Larĝa subteno tra retprovizantoj |
| Etendebleco | Limigita adaptado | Inkludo de kutimaj kampoj kaj aplikaĵ-specifaj datumoj |
| Protokolaj Diferencoj | Cisco-specifaj variaĵoj | Denaska subteno de IPv6, plibonigitaj opcioj por registri fluojn |
| Sekurecaj Trajtoj | Limigitaj sekurecaj funkcioj | Ĉifrado de Transport Layer Security (TLS), mesaĝintegreco |
Reta Flua Monitoradoestas la kolektado, analizo kaj monitorado de trafiko trairanta difinitan reton aŭ retsegmenton. La celoj povas varii de solvado de konekteblecaj problemoj ĝis planado de estonta bendolarĝa asigno. Fluomonitorado kaj pakaĵa specimenigo eĉ povas esti utilaj por identigi kaj ripari sekurecajn problemojn.
Flumonitorado donas al retteamoj bonan ideon pri kiel reto funkcias, provizante komprenojn pri ĝenerala utiligo, aplikaĵa uzado, eblaj proplempunktoj, anomalioj kiuj povus signali sekurecminacojn, kaj pli. Ekzistas pluraj malsamaj normoj kaj formatoj uzataj en retfluomonitorado, inkluzive de NetFlow, sFlow, kaj Internet Protocol Flow Information Export (IPFIX). Ĉiu funkcias iom malsame, sed ĉiuj diferencas de portspegulado kaj profunda pakaĵinspektado ĉar ili ne kaptas la enhavon de ĉiu pakaĵo pasanta super port aŭ tra ŝaltilo. Tamen, fluomonitorado provizas pli da informoj ol SNMP, kiu ĝenerale limiĝas al larĝaj statistikoj kiel ĝenerala pakaĵuzado kaj bendolarĝuzado.
Komparitaj Iloj de Reta Fluo
| Trajto | NetFlow v5 | NetFlow v9 | sFlow | IPFIKS |
| Malferma aŭ Proprieta | Proprieta | Proprieta | Malferma | Malferma |
| Specimenita aŭ Fluo-Bazita | Ĉefe Fluo-Bazita; Specimenita Reĝimo estas havebla | Ĉefe Fluo-Bazita; Specimenita Reĝimo estas havebla | Provita | Ĉefe Fluo-Bazita; Specimenita Reĝimo estas havebla |
| Informoj Kaptitaj | Metadatenoj kaj statistikaj informoj, inkluzive de transdonitaj bajtoj, interfacaj nombriloj kaj tiel plu | Metadatenoj kaj statistikaj informoj, inkluzive de transdonitaj bajtoj, interfacaj nombriloj kaj tiel plu | Kompletaj Pakaĵaj Kaplinioj, Partaj Pakaĵaj Ŝarĝoj | Metadatenoj kaj statistikaj informoj, inkluzive de transdonitaj bajtoj, interfacaj nombriloj kaj tiel plu |
| Enira/Elira Monitorado | Nur Eniro | Eniro kaj Eliro | Eniro kaj Eliro | Eniro kaj Eliro |
| Subteno de IPv6/VLAN/MPLS | No | Jes | Jes | Jes |
Afiŝtempo: 18-a de marto 2024
