NetFlow dhe IPFIX janë të dyja teknologji që përdoren për monitorimin dhe analizën e rrjedhës së rrjetit. Ato ofrojnë njohuri mbi modelet e trafikut të rrjetit, duke ndihmuar në optimizimin e performancës, zgjidhjen e problemeve dhe analizën e sigurisë.
Netflow:
Çfarë është NetFlow?
NetFlowështë zgjidhja origjinale e monitorimit të rrjedhës, e zhvilluar fillimisht nga Cisco në fund të viteve 1990. Ekzistojnë disa versione të ndryshme, por shumica e implementimeve bazohen në NetFlow v5 ose NetFlow v9. Ndërsa çdo version ka aftësi të ndryshme, funksionimi bazë mbetet i njëjtë:
Së pari, një router, switch, firewall ose një lloj tjetër pajisjeje do të kapë informacionin mbi "rrjedhat" e rrjetit - në thelb një grup paketash që ndajnë një grup të përbashkët karakteristikash si adresa e burimit dhe destinacionit, porta e burimit dhe destinacionit, dhe lloji i protokollit. Pasi një rrjedhë të ketë kaluar në gjendje joaktive ose të ketë kaluar një sasi e paracaktuar kohe, pajisja do të eksportojë të dhënat e rrjedhës në një entitet të njohur si një "mbledhës rrjedhash".
Së fundmi, një “analizues rrjedhjeje” i jep kuptim këtyre të dhënave, duke ofruar njohuri në formën e vizualizimeve, statistikave dhe raportimeve të detajuara historike dhe në kohë reale. Në praktikë, mbledhësit dhe analizuesit shpesh janë një entitet i vetëm, shpesh të kombinuar në një zgjidhje më të madhe të monitorimit të performancës së rrjetit.
NetFlow funksionon në bazë të gjendjes. Kur një makinë klienti lidhet me një server, NetFlow do të fillojë të kapë dhe të grumbullojë meta të dhëna nga rrjedha. Pasi të përfundojë seanca, NetFlow do të eksportojë një të dhënë të vetme të plotë te koleksionisti.
Edhe pse përdoret ende gjerësisht, NetFlow v5 ka një numër kufizimesh. Fushat e eksportuara janë të fiksuara, monitorimi mbështetet vetëm në drejtimin e hyrjes dhe teknologjitë moderne si IPv6, MPLS dhe VXLAN nuk mbështeten. NetFlow v9, i quajtur edhe Flexible NetFlow (FNF), adreson disa nga këto kufizime, duke u lejuar përdoruesve të ndërtojnë shabllone të personalizuara dhe duke shtuar mbështetje për teknologji më të reja.
Shumë shitës kanë gjithashtu implementimet e tyre të patentuara të NetFlow, të tilla si jFlow nga Juniper dhe NetStream nga Huawei. Edhe pse konfigurimi mund të ndryshojë disi, këto implementime shpesh prodhojnë të dhëna rrjedhjeje që janë të pajtueshme me mbledhësit dhe analizuesit e NetFlow.
Karakteristikat kryesore të NetFlow:
~ Të dhënat e rrjedhësNetFlow gjeneron të dhëna të rrjedhës që përfshijnë detaje të tilla si adresat IP të burimit dhe destinacionit, portet, pullat kohore, numërimi i paketave dhe bajteve, dhe llojet e protokolleve.
~ Monitorimi i TrafikutNetFlow ofron dukshmëri në modelet e trafikut të rrjetit, duke u lejuar administratorëve të identifikojnë aplikacionet kryesore, pikat fundore dhe burimet e trafikut.
~Zbulimi i AnomaliveDuke analizuar të dhënat e rrjedhës, NetFlow mund të zbulojë anomali të tilla si shfrytëzimi i tepërt i bandwidth-it, mbingarkesa e rrjetit ose modelet e pazakonta të trafikut.
~ Analiza e SigurisëNetFlow mund të përdoret për të zbuluar dhe hetuar incidente sigurie, të tilla si sulmet e shpërndara të mohimit të shërbimit (DDoS) ose përpjekjet e paautorizuara për akses.
Versionet e NetFlowNetFlow ka evoluar me kalimin e kohës dhe janë publikuar versione të ndryshme. Disa versione të shquara përfshijnë NetFlow v5, NetFlow v9 dhe Flexible NetFlow. Çdo version prezanton përmirësime dhe aftësi shtesë.
IPFIX:
Çfarë është IPFIX?
Një standard IETF që doli në fillim të viteve 2000, Internet Protocol Flow Information Export (IPFIX) është jashtëzakonisht i ngjashëm me NetFlow. Në fakt, NetFlow v9 shërbeu si bazë për IPFIX. Dallimi kryesor midis të dyjave është se IPFIX është një standard i hapur dhe mbështetet nga shumë shitës rrjetesh përveç Cisco. Me përjashtim të disa fushave shtesë të shtuara në IPFIX, formatet janë përndryshe pothuajse identike. Në fakt, IPFIX ndonjëherë quhet edhe "NetFlow v10".
Pjesërisht për shkak të ngjashmërive të tij me NetFlow, IPFIX gëzon mbështetje të gjerë midis zgjidhjeve të monitorimit të rrjetit, si dhe pajisjeve të rrjetit.
IPFIX (Eksportimi i Informacionit të Fluksit të Protokollit të Internetit) është një protokoll standard i hapur i zhvilluar nga Task Forca e Inxhinierisë së Internetit (IETF). Ai bazohet në specifikimin NetFlow Version 9 dhe ofron një format të standardizuar për eksportimin e të dhënave të rrjedhës nga pajisjet e rrjetit.
IPFIX ndërtohet mbi konceptet e NetFlow dhe i zgjeron ato për të ofruar më shumë fleksibilitet dhe ndërveprim midis shitësve dhe pajisjeve të ndryshme. Ai prezanton konceptin e shablloneve, duke lejuar përcaktimin dinamik të strukturës dhe përmbajtjes së regjistrave të rrjedhës. Kjo mundëson përfshirjen e fushave të personalizuara, mbështetjen për protokollet e reja dhe zgjerueshmërinë.
Karakteristikat kryesore të IPFIX:
~ Qasje e Bazuar në ShablloneIPFIX përdor shabllone për të përcaktuar strukturën dhe përmbajtjen e të dhënave të rrjedhës, duke ofruar fleksibilitet në akomodimin e fushave të ndryshme të të dhënave dhe informacionit specifik të protokollit.
~ NdërveprimiIPFIX është një standard i hapur, që siguron aftësi të qëndrueshme të monitorimit të rrjedhës në të gjithë shitësit dhe pajisjet e ndryshme të rrjetëzimit.
~ Mbështetje për IPv6IPFIX mbështet në mënyrë native IPv6, duke e bërë atë të përshtatshëm për monitorimin dhe analizimin e trafikut në rrjetet IPv6.
~Siguri e PërmirësuarIPFIX përfshin veçori sigurie të tilla si enkriptimi i Transport Layer Security (TLS) dhe kontrollet e integritetit të mesazheve për të mbrojtur konfidencialitetin dhe integritetin e të dhënave të rrjedhës gjatë transmetimit.
IPFIX mbështetet gjerësisht nga shitës të ndryshëm të pajisjeve të rrjetit, duke e bërë atë një zgjedhje neutrale ndaj shitësve dhe të përdorur gjerësisht për monitorimin e rrjedhës së rrjetit.
Pra, cili është ndryshimi midis NetFlow dhe IPFIX?
Përgjigja e thjeshtë është se NetFlow është një protokoll pronësor i Cisco-s i prezantuar rreth vitit 1996 dhe IPFIX është vëllai i tij i miratuar nga organi i standardeve.
Të dy protokollet shërbejnë për të njëjtin qëllim: u mundësojnë inxhinierëve dhe administratorëve të rrjetit të mbledhin dhe analizojnë rrjedhat e trafikut IP në nivelin e rrjetit. Cisco zhvilloi NetFlow në mënyrë që switch-et dhe routerët e saj të mund të nxirrnin këtë informacion të vlefshëm. Duke pasur parasysh dominimin e pajisjeve Cisco, NetFlow u bë shpejt standardi de facto për analizën e trafikut të rrjetit. Megjithatë, konkurrentët e industrisë e kuptuan se përdorimi i një protokolli të patentuar të kontrolluar nga rivali i tij kryesor nuk ishte një ide e mirë dhe për këtë arsye IETF udhëhoqi një përpjekje për të standardizuar një protokoll të hapur për analizën e trafikut, i cili është IPFIX.
IPFIX bazohet në versionin 9 të NetFlow dhe u prezantua fillimisht rreth vitit 2005, por u deshën disa vite që të përvetësohej nga industria. Në këtë pikë, të dy protokollet janë në thelb të njëjta dhe megjithëse termi NetFlow është ende më i përhapur, shumica e implementimeve (edhe pse jo të gjitha) janë të pajtueshme me standardin IPFIX.
Ja një tabelë që përmbledh ndryshimet midis NetFlow dhe IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Origjina | Teknologji e patentuar e zhvilluar nga Cisco | Protokolli standard i industrisë bazuar në NetFlow Version 9 |
| Standardizimi | Teknologji specifike për Cisco | Standard i hapur i përcaktuar nga IETF në RFC 7011 |
| Fleksibilitet | Versione të evoluara me karakteristika specifike | Fleksibilitet dhe ndërveprim më i madh midis shitësve |
| Formati i të dhënave | Pako me madhësi fikse | Qasje e bazuar në shabllone për formatet e personalizueshme të regjistrimit të rrjedhës |
| Mbështetje për shabllone | Nuk mbështetet | Shabllone dinamike për përfshirje fleksibile të fushave |
| Mbështetja e Furnizuesit | Kryesisht pajisje Cisco | Mbështetje e gjerë në të gjithë shitësit e rrjeteve |
| Zgjerueshmëria | Personalizim i kufizuar | Përfshirja e fushave të personalizuara dhe të dhënave specifike për aplikacionin |
| Dallimet e Protokollit | Variacione specifike për Cisco-n | Mbështetje IPv6 vendase, opsione të përmirësuara të regjistrimit të rrjedhës |
| Karakteristikat e Sigurisë | Karakteristika të kufizuara sigurie | Enkriptimi i Sigurisë së Shtresës së Transportit (TLS), integriteti i mesazhit |
Monitorimi i rrjedhës së rrjetitështë mbledhja, analiza dhe monitorimi i trafikut që përshkon një rrjet ose segment të caktuar të rrjetit. Objektivat mund të ndryshojnë nga zgjidhja e problemeve të lidhjes deri te planifikimi i ndarjes së ardhshme të bandwidth-it. Monitorimi i rrjedhës dhe marrja e mostrave të paketave mund të jenë të dobishme edhe në identifikimin dhe korrigjimin e problemeve të sigurisë.
Monitorimi i rrjedhës u jep ekipeve të rrjetëzimit një ide të mirë se si funksionon një rrjet, duke ofruar njohuri mbi shfrytëzimin e përgjithshëm, përdorimin e aplikacioneve, pengesat e mundshme, anomalitë që mund të sinjalizojnë kërcënime sigurie dhe më shumë. Ekzistojnë disa standarde dhe formate të ndryshme që përdoren në monitorimin e rrjedhës së rrjetit, duke përfshirë NetFlow, sFlow dhe Internet Protocol Flow Information Export (IPFIX). Secili funksionon në një mënyrë paksa të ndryshme, por të gjitha dallohen nga pasqyrimi i porteve dhe inspektimi i thellë i paketave në atë që ato nuk kapin përmbajtjen e çdo pakete që kalon mbi një port ose përmes një ndërprerësi. Megjithatë, monitorimi i rrjedhës ofron më shumë informacion sesa SNMP, i cili në përgjithësi është i kufizuar në statistika të gjera si përdorimi i përgjithshëm i paketave dhe bandwidth-it.
Krahasimi i mjeteve të rrjedhës së rrjetit
| Karakteristikë | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| I hapur ose pronësor | Pronësor | Pronësor | Hap | Hap |
| I marrë me mostra ose i bazuar në rrjedhë | Kryesisht i bazuar në rrjedhë; Modaliteti i mostrës është i disponueshëm | Kryesisht i bazuar në rrjedhë; Modaliteti i mostrës është i disponueshëm | Mostra | Kryesisht i bazuar në rrjedhë; Modaliteti i mostrës është i disponueshëm |
| Informacion i Kapur | Metadata dhe informacion statistikor, duke përfshirë bajtet e transferuara, numëruesit e ndërfaqes etj. | Metadata dhe informacion statistikor, duke përfshirë bajtet e transferuara, numëruesit e ndërfaqes etj. | Kokat e Paketave të Plota, Ngarkesat e Paketave të Pjesshme | Metadata dhe informacion statistikor, duke përfshirë bajtet e transferuara, numëruesit e ndërfaqes etj. |
| Monitorimi i Hyrjes/Daljes | Vetëm Hyrje | Hyrja dhe Dalja | Hyrja dhe Dalja | Hyrja dhe Dalja |
| Mbështetje për IPv6/VLAN/MPLS | No | Po | Po | Po |
Koha e postimit: 18 Mars 2024
