NetFlow dhe IPFIX janë të dyja teknologji të përdorura për monitorimin dhe analizën e rrjedhës së rrjetit. Ato ofrojnë njohuri mbi modelet e trafikut të rrjetit, duke ndihmuar në optimizimin e performancës, zgjidhjen e problemeve dhe analizën e sigurisë.
NetFlow:
Çfarë është NetFlow?
NetFlowështë zgjidhja origjinale e monitorimit të rrjedhës, e zhvilluar fillimisht nga Cisco në fund të viteve 1990. Ekzistojnë disa versione të ndryshme, por shumica e vendosjeve bazohen në NetFlow v5 ose NetFlow v9. Ndërsa secili version ka aftësi të ndryshme, operacioni bazë mbetet i njëjtë:
Së pari, një ruter, një ndërprerës, një mur zjarri ose një lloj tjetër pajisjeje do të kapë informacion mbi "rrjedhjet" e rrjetit - në thelb një grup paketash që ndajnë një grup të përbashkët karakteristikash si adresa e burimit dhe destinacionit, porta e burimit dhe destinacionit dhe protokolli. lloji. Pasi një rrjedhë të ketë shkuar në gjumë ose të ketë kaluar një kohë e paracaktuar, pajisja do të eksportojë të dhënat e rrjedhës te një njësi ekonomike e njohur si "mbledhës i rrjedhës".
Së fundi, një "analizues i rrjedhës" u jep kuptim atyre regjistrimeve, duke ofruar njohuri në formën e vizualizimeve, statistikave dhe raportimit të detajuar historik dhe në kohë reale. Në praktikë, mbledhësit dhe analizuesit janë shpesh një entitet i vetëm, shpesh i kombinuar në një zgjidhje më të madhe të monitorimit të performancës së rrjetit.
NetFlow funksionon mbi baza shtetërore. Kur një makinë klienti arrin te një server, NetFlow do të fillojë të kapë dhe të grumbullojë meta të dhënat nga rrjedha. Pas përfundimit të seancës, NetFlow do të eksportojë një rekord të vetëm të plotë te koleksionisti.
Megjithëse përdoret ende zakonisht, NetFlow v5 ka një numër kufizimesh. Fushat e eksportuara janë fikse, monitorimi mbështetet vetëm në drejtimin e hyrjes dhe teknologjitë moderne si IPv6, MPLS dhe VXLAN nuk mbështeten. NetFlow v9, i quajtur gjithashtu si NetFlow Flexible (FNF), adreson disa nga këto kufizime, duke i lejuar përdoruesit të ndërtojnë shabllone të personalizuara dhe duke shtuar mbështetje për teknologjitë më të reja.
Shumë shitës kanë gjithashtu implementimet e tyre të pronarit të NetFlow, si jFlow nga Juniper dhe NetStream nga Huawei. Megjithëse konfigurimi mund të ndryshojë disi, këto zbatime shpesh prodhojnë regjistrime të rrjedhës që janë të pajtueshme me kolektorët dhe analizuesit NetFlow.
Karakteristikat kryesore të NetFlow:
~ Të dhënat e rrjedhës: NetFlow gjeneron regjistrime të rrjedhës që përfshijnë detaje të tilla si adresat IP të burimit dhe destinacionit, portet, stampat kohore, numërimin e paketave dhe bajteve dhe llojet e protokolleve.
~ Monitorimi i trafikut: NetFlow ofron dukshmëri në modelet e trafikut të rrjetit, duke i lejuar administratorët të identifikojnë aplikacionet kryesore, pikat fundore dhe burimet e trafikut.
~Zbulimi i anomalive: Duke analizuar të dhënat e rrjedhës, NetFlow mund të zbulojë anomali të tilla si përdorimi i tepërt i gjerësisë së brezit, bllokimi i rrjetit ose modele të pazakonta trafiku.
~ Analiza e Sigurisë: NetFlow mund të përdoret për të zbuluar dhe hetuar incidente sigurie, të tilla si sulmet e shpërndara të mohimit të shërbimit (DDoS) ose përpjekjet për akses të paautorizuar.
Versionet e NetFlow: NetFlow ka evoluar me kalimin e kohës dhe janë lëshuar versione të ndryshme. Disa versione të dukshme përfshijnë NetFlow v5, NetFlow v9 dhe Flexible NetFlow. Çdo version prezanton përmirësime dhe aftësi shtesë.
IPFIX:
Çfarë është IPFIX?
Një standard IETF që u shfaq në fillim të viteve 2000, Eksporti i Informacionit të Rrjedhës së Protokollit të Internetit (IPFIX) është jashtëzakonisht i ngjashëm me NetFlow. Në fakt, NetFlow v9 shërbeu si bazë për IPFIX. Dallimi kryesor midis të dyve është se IPFIX është një standard i hapur dhe mbështetet nga shumë shitës rrjetesh, përveç Cisco-s. Me përjashtim të disa fushave shtesë të shtuara në IPFIX, formatet janë përndryshe pothuajse identike. Në fakt, IPFIX ndonjëherë përmendet edhe si "NetFlow v10".
Pjesërisht për shkak të ngjashmërive të tij me NetFlow, IPFIX gëzon mbështetje të gjerë midis zgjidhjeve të monitorimit të rrjetit, si dhe pajisjeve të rrjetit.
IPFIX (Internet Protocol Flow Information Export) është një protokoll standard i hapur i zhvilluar nga Task Forca e Inxhinierisë së Internetit (IETF). Ai bazohet në specifikimet e NetFlow Version 9 dhe ofron një format të standardizuar për eksportimin e të dhënave të rrjedhës nga pajisjet e rrjetit.
IPFIX bazohet në konceptet e NetFlow dhe i zgjeron ato për të ofruar më shumë fleksibilitet dhe ndërveprim midis shitësve dhe pajisjeve të ndryshme. Ai prezanton konceptin e shablloneve, duke lejuar përcaktimin dinamik të strukturës dhe përmbajtjes së regjistrimit të rrjedhës. Kjo mundëson përfshirjen e fushave të personalizuara, mbështetjen për protokollet e reja dhe zgjerimin.
Karakteristikat kryesore të IPFIX:
~ Qasje e bazuar në shabllon: IPFIX përdor shabllone për të përcaktuar strukturën dhe përmbajtjen e regjistrimeve të rrjedhës, duke ofruar fleksibilitet në akomodimin e fushave të ndryshme të të dhënave dhe informacioneve specifike të protokollit.
~ Ndërveprueshmëria: IPFIX është një standard i hapur, që siguron aftësi të vazhdueshme të monitorimit të rrjedhës nëpër shitës dhe pajisje të ndryshme të rrjeteve.
~ Mbështetje IPv6: IPFIX mbështet në mënyrë origjinale IPv6, duke e bërë atë të përshtatshëm për monitorimin dhe analizimin e trafikut në rrjetet IPv6.
~Siguri e zgjeruar: IPFIX përfshin veçoritë e sigurisë si kriptimi i Sigurisë së Shtresës së Transportit (TLS) dhe kontrollet e integritetit të mesazheve për të mbrojtur konfidencialitetin dhe integritetin e të dhënave të rrjedhës gjatë transmetimit.
IPFIX mbështetet gjerësisht nga shitës të ndryshëm të pajisjeve të rrjetit, duke e bërë atë një zgjedhje neutrale ndaj shitësve dhe të miratuar gjerësisht për monitorimin e rrjedhës së rrjetit.
Pra, cili është ndryshimi midis NetFlow dhe IPFIX?
Përgjigja e thjeshtë është se NetFlow është një protokoll pronësor i Cisco-s i prezantuar rreth vitit 1996 dhe IPFIX është vëllai i tij i miratuar i standardeve.
Të dy protokollet shërbejnë për të njëjtin qëllim: duke u mundësuar inxhinierëve dhe administratorëve të rrjetit të mbledhin dhe analizojnë flukset e trafikut IP të nivelit të rrjetit. Cisco zhvilloi NetFlow në mënyrë që çelsat dhe ruterët e saj të mund të nxirrnin këtë informacion të vlefshëm. Duke pasur parasysh dominimin e pajisjes Cisco, NetFlow u bë shpejt standardi de-facto për analizën e trafikut në rrjet. Sidoqoftë, konkurrentët e industrisë e kuptuan se përdorimi i një protokolli pronësor të kontrolluar nga rivali i tij kryesor nuk ishte një ide e mirë dhe për këtë arsye IETF udhëhoqi një përpjekje për të standardizuar një protokoll të hapur për analizën e trafikut, i cili është IPFIX.
IPFIX bazohet në versionin 9 të NetFlow dhe fillimisht u prezantua rreth vitit 2005, por iu deshën disa vite për të fituar miratimin e industrisë. Në këtë pikë, të dy protokollet janë në thelb të njëjta dhe megjithëse termi NetFlow është akoma më i përhapur, shumica e zbatimeve (megjithëse jo të gjitha) janë në përputhje me standardin IPFIX.
Këtu është një tabelë që përmbledh ndryshimet midis NetFlow dhe IPFIX:
Aspekti | NetFlow | IPFIX |
---|---|---|
Origjina | Teknologji pronësore e zhvilluar nga Cisco | Protokolli standard i industrisë i bazuar në versionin 9 të NetFlow |
Standardizimi | Teknologji specifike Cisco | Standardi i hapur i përcaktuar nga IETF në RFC 7011 |
Fleksibiliteti | Versione të evoluara me veçori specifike | Fleksibilitet dhe ndërveprim më i madh ndërmjet shitësve |
Formati i të Dhënave | Paketa me madhësi fikse | Qasje e bazuar në shabllon për formate të personalizueshme të regjistrimit të rrjedhës |
Mbështetja e modelit | Nuk mbështetet | Modele dinamike për përfshirje fleksibël të fushës |
Mbështetja e shitësit | Kryesisht pajisjet Cisco | Mbështetje e gjerë në të gjithë shitësit e rrjeteve |
Zgjerimi | Përshtatje e kufizuar | Përfshirja e fushave të personalizuara dhe të dhënave specifike për aplikacionin |
Dallimet e protokollit | Ndryshimet specifike të Cisco-s | Mbështetje vendase IPv6, opsione të përmirësuara të regjistrimit të rrjedhës |
Karakteristikat e sigurisë | Karakteristikat e kufizuara të sigurisë | Kriptimi i Sigurisë së Shtresës së Transportit (TLS), integriteti i mesazhit |
Monitorimi i rrjedhës së rrjetitështë mbledhja, analiza dhe monitorimi i trafikut që përshkon një rrjet ose segment të caktuar rrjeti. Objektivat mund të ndryshojnë nga zgjidhja e problemeve të lidhjes deri te planifikimi i alokimit të gjerësisë së brezit në të ardhmen. Monitorimi i rrjedhës dhe kampionimi i paketave madje mund të jenë të dobishëm në identifikimin dhe korrigjimin e çështjeve të sigurisë.
Monitorimi i rrjedhës u jep ekipeve të rrjeteve një ide të mirë se si funksionon një rrjet, duke ofruar njohuri për përdorimin e përgjithshëm, përdorimin e aplikacionit, pengesat e mundshme, anomalitë që mund të sinjalizojnë kërcënime sigurie dhe më shumë. Ekzistojnë disa standarde dhe formate të ndryshme të përdorura në monitorimin e rrjedhës së rrjetit, duke përfshirë NetFlow, sFlow dhe Eksporti i Informacionit të Rrjedhës së Protokollit të Internetit (IPFIX). Secila funksionon në një mënyrë paksa të ndryshme, por të gjitha janë të dallueshme nga pasqyrimi i portit dhe inspektimi i thellë i paketave në atë që nuk kapin përmbajtjen e çdo pakete që kalon mbi një port ose përmes një ndërprerës. Sidoqoftë, monitorimi i rrjedhës siguron më shumë informacion sesa SNMP, i cili në përgjithësi është i kufizuar në statistika të gjera si përdorimi i përgjithshëm i paketave dhe gjerësisë së brezit.
Krahasuar mjetet e rrjedhës së rrjetit
Veçori | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
E hapur ose e pronarit | Pronësisë | Pronësisë | Hapur | Hapur |
Kampionuar ose bazuar në rrjedhën | Kryesisht i bazuar në rrjedhën; Modaliteti i mostrës është i disponueshëm | Kryesisht i bazuar në rrjedhën; Modaliteti i mostrës është i disponueshëm | Kampionuar | Kryesisht i bazuar në rrjedhën; Modaliteti i mostrës është i disponueshëm |
Informacioni i kapur | Të dhënat meta dhe statistikore, duke përfshirë bajtë të transferuar, numëruesit e ndërfaqes dhe kështu me radhë | Të dhënat meta dhe statistikore, duke përfshirë bajtë të transferuar, numëruesit e ndërfaqes dhe kështu me radhë | Titujt e plotë të paketave, ngarkesat e pjesshme të paketave | Të dhënat meta dhe statistikore, duke përfshirë bajtë të transferuar, numëruesit e ndërfaqes dhe kështu me radhë |
Monitorimi i hyrjes/daljes | Vetëm hyrje | Hyrja dhe Dalja | Hyrja dhe Dalja | Hyrja dhe Dalja |
Mbështetje IPv6/VLAN/MPLS | No | po | po | po |
Koha e postimit: Mar-18-2024