NetFlow an IPFIX si béid Technologien déi fir Netzwierkfloss Iwwerwaachung an Analyse benotzt ginn. Si bidden Abléck an Netzwierkverkéiermuster, hëllefen bei der Leeschtungsoptimiséierung, Troubleshooting a Sécherheetsanalyse.
NetFlow:
Wat ass NetFlow?
NetFlowass déi ursprénglech Flow Iwwerwaachungsléisung, ursprénglech vu Cisco am spéiden 1990er entwéckelt. Verschidde verschidde Versiounen existéieren, awer déi meescht Deployementer baséieren op entweder NetFlow v5 oder NetFlow v9. Wärend all Versioun verschidde Fäegkeeten huet, bleift d'Basisoperatioun d'selwecht:
Als éischt wäert e Router, Schalter, Firewall oder eng aner Zort Apparat Informatioun iwwer d'Netzwierk "Flows" erfaassen - am Fong eng Rei vu Päckchen déi e gemeinsame Set vu Charakteristiken deelen wéi Quell an Destinatiounsadress, Quell, an Destinatiounsport a Protokoll. Typ. Nodeems e Flow dormant gaang ass oder e virdefinéierte Betrag vun Zäit vergaang ass, exportéiert den Apparat d'Flowrecords an eng Entitéit bekannt als "Flow Sammler".
Schlussendlech mécht e "Flow Analyser" Sënn vun dësen Opzeechnungen, bitt Abléck a Form vu Visualiséierungen, Statistiken an detailléierten historeschen an Echtzäit Berichterstattung. An der Praxis sinn Sammler an Analysatoren dacks eng eenzeg Entitéit, dacks kombinéiert an eng méi grouss Netzwierkleistungs Iwwerwaachungsléisung.
NetFlow operéiert op enger staatlecher Basis. Wann eng Clientmaschinn op e Server erreecht gëtt, fänkt NetFlow un Metadaten aus dem Flow z'erfaassen an ze aggregéieren. Nodeems d'Sessioun ofgeschloss ass, exportéiert NetFlow en eenzege komplette Rekord un de Sammler.
Och wann et nach ëmmer allgemeng benotzt gëtt, huet NetFlow v5 eng Zuel vu Aschränkungen. Déi exportéiert Felder si fixéiert, d'Iwwerwaachung gëtt nëmmen an der Ingressrichtung ënnerstëtzt, a modern Technologien wéi IPv6, MPLS a VXLAN ginn net ënnerstëtzt. NetFlow v9, och markéiert als Flexible NetFlow (FNF), adresséiert e puer vun dësen Aschränkungen, wat d'Benotzer erlaabt personaliséiert Templates ze bauen an Ënnerstëtzung fir méi nei Technologien ze addéieren.
Vill Ubidder hunn och hir eege propriétaire Implementatioune vun NetFlow, sou wéi jFlow vum Juniper an NetStream vun Huawei. Och wann d'Konfiguratioun e bëssen ënnerscheede kann, produzéieren dës Implementatiounen dacks Flowrecords déi kompatibel sinn mat NetFlow Sammler an Analysatoren.
Schlëssel Feature vum NetFlow:
~ Flow Daten: NetFlow generéiert Flowrecords déi Detailer enthalen wéi Quell- an Destinatiouns-IP Adressen, Ports, Zäitstempel, Paket- a Bytezuelen, a Protokolltypen.
~ Verkéier Iwwerwachung: NetFlow bitt Visibilitéit an Netzverkéiermuster, wat Administrateuren erlaabt Top Uwendungen, Endpunkten a Verkéiersquellen z'identifizéieren.
~Anomalie Detektioun: Andeems Dir Flowdaten analyséiert, kann NetFlow Anomalien entdecken wéi exzessiv Bandbreedbenotzung, Netzwierkstau oder ongewéinlech Trafficmuster.
~ Sécherheet Analyse: NetFlow ka benotzt ginn fir Sécherheetsinfällen z'entdecken an z'ënnersichen, sou wéi verdeelt Denial-of-Service (DDoS) Attacken oder onerlaabten Zougangsversich.
NetFlow Versiounen: NetFlow huet sech mat der Zäit entwéckelt, a verschidde Versioune goufen verëffentlecht. E puer bemierkenswäert Versioune enthalen NetFlow v5, NetFlow v9, a Flexible NetFlow. All Versioun féiert Verbesserungen an zousätzlech Fäegkeeten vir.
IPFIX:
Wat ass IPFIX?
En IETF Standard deen an de fréien 2000er entstanen ass, Internet Protocol Flow Information Export (IPFIX) ass extrem ähnlech wéi NetFlow. Tatsächlech huet NetFlow v9 als Basis fir IPFIX gedéngt. De primären Ënnerscheed tëscht deenen zwee ass datt IPFIX en oppene Standard ass, a gëtt vu villen Netzwierkverkeefer ausser Cisco ënnerstëtzt. Mat Ausnam vun e puer zousätzlech Felder déi am IPFIX bäigefüügt sinn, sinn d'Formater soss bal identesch. Tatsächlech gëtt IPFIX heiansdo souguer als "NetFlow v10" bezeechent.
Wéinst deelweis seng Ähnlechkeeten zu NetFlow, IPFIX genéisst breet Ënnerstëtzung ënnert Netzwierker Iwwerwachung Léisungen souwéi Reseau Equipement.
IPFIX (Internet Protocol Flow Information Export) ass en oppene Standard Protokoll entwéckelt vun der Internet Engineering Task Force (IETF). Et baséiert op der NetFlow Versioun 9 Spezifizéierung a bitt e standardiséierte Format fir Export vu Flowrecords vun Netzwierkapparater.
IPFIX baut op d'Konzepter vum NetFlow an erweidert se fir méi Flexibilitéit an Interoperabilitéit iwwer verschidden Ubidder an Apparater ze bidden. Et stellt d'Konzept vu Templates vir, wat eng dynamesch Definitioun vu Flow Record Struktur an Inhalt erlaabt. Dëst erméiglecht d'Inklusioun vu personaliséierte Felder, Ënnerstëtzung fir nei Protokoller, an Erweiterbarkeet.
Schlëssel Feature vum IPFIX:
~ Schabloun-baséiert Approche: IPFIX benotzt Schabloune fir d'Struktur an den Inhalt vun de Flowrecords ze definéieren, Flexibilitéit ubitt fir verschidden Datefelder a Protokollspezifesch Informatioun z'empfänken.
~ Interoperabilitéit: IPFIX ass en oppene Standard, dee konsequent Flow Iwwerwaachungsfäegkeeten iwwer verschidden Netzwierkverkeefer an Apparater garantéiert.
~ IPv6 Ënnerstëtzung: IPFIX ënnerstëtzt nativ IPv6, sou datt et gëeegent ass fir Traffic an IPv6 Netzwierker ze iwwerwaachen an ze analyséieren.
~Erweidert Sécherheet: IPFIX enthält Sécherheetsfeatures wéi Transport Layer Security (TLS) Verschlësselung a Message Integritéit Kontrollen fir d'Vertraulechkeet an d'Integritéit vu Flowdaten während der Iwwerdroung ze schützen.
IPFIX gëtt wäit vun verschiddenen Netzwierkausrüstungsverkeefer ënnerstëtzt, sou datt et e Verkeeferneutral a wäit adoptéiert Choix fir Netzwierkfluss Iwwerwaachung mécht.
Also, wat ass den Ënnerscheed tëscht NetFlow an IPFIX?
Déi einfach Äntwert ass datt NetFlow e Cisco propriétaire Protokoll ass agefouert ronderëm 1996 an IPFIX ass säi Standard Kierper guttgeheescht Brudder.
Béid Protokoller déngen deeselwechten Zweck: Netzwierkingenieuren an Administrateuren z'erméiglechen, Netzniveau IP Traffic Flux ze sammelen an ze analyséieren. Cisco entwéckelt NetFlow sou datt seng Schalter a Router dës wäertvoll Informatioun ausginn. Mat der Dominanz vu Cisco Gear, gouf NetFlow séier den de-facto Standard fir Netzwierkverkéiersanalyse. Wéi och ëmmer, Industriekonkurrenten hu gemierkt datt d'Benotzung vun engem propriétaire Protokoll kontrolléiert vu sengem Chefkonkurrent net eng gutt Iddi war an dofir huet den IETF en Effort gefouert fir en oppene Protokoll fir Trafficanalyse ze standardiséieren, wat IPFIX ass.
IPFIX baséiert op NetFlow Versioun 9 a gouf ursprénglech ëm 2005 agefouert, awer huet e puer Joer gedauert fir d'Industrieadoptioun ze kréien. Zu dësem Zäitpunkt sinn déi zwee Protokoller am Wesentlechen d'selwecht an och wann de Begrëff NetFlow nach ëmmer méi heefeg ass, sinn déi meescht Implementatiounen (awer net all) kompatibel mam IPFIX Standard.
Hei ass eng Tabell déi d'Ënnerscheeder tëscht NetFlow an IPFIX resüméiert:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Urspronk | Proprietär Technologie entwéckelt vu Cisco | Industriestandard Protokoll baséiert op NetFlow Versioun 9 |
| Standardiséierung | Cisco-spezifesch Technologie | Open Standard definéiert vum IETF am RFC 7011 |
| Flexibilitéit | Evoluéiert Versioune mat spezifesche Funktiounen | Méi Flexibilitéit an Interoperabilitéit iwwer Ubidder |
| Daten Format | Fixer Gréisst Pakete | Schabloun-baséiert Approche fir personaliséierbar Flow Record Formater |
| Schabloun Ënnerstëtzung | Net ënnerstëtzt | Dynamesch Template fir flexibel Feldinclusioun |
| Verkeefer Ënnerstëtzung | Haaptsächlech Cisco Apparater | Breet Ënnerstëtzung iwwer Netzwierk Ubidder |
| Extensibility | Limitéiert Personnalisatioun | Inklusioun vu personaliséierte Felder an Applikatiounspezifesch Daten |
| Protokoll Differenzen | Cisco-spezifesch Variatiounen | Native IPv6 Ënnerstëtzung, verbessert Flow Record Optiounen |
| Sécherheet Fonctiounen | Limitéiert Sécherheet Fonctiounen | Transport Layer Security (TLS) Verschlësselung, Message Integritéit |
Network Flow Iwwerwaachungass d'Sammlung, d'Analyse an d'Iwwerwaachung vum Traffic deen e bestëmmten Netzwierk oder Netzwierksegment duerchkreest. D'Ziler kënne variéiere vu Probleemer mat Konnektivitéitsprobleemer bis zukünfteg Bandbreedungsallokatioun ze plangen. Flow Iwwerwachung a Paketprobe kënne souguer nëtzlech sinn fir d'Sécherheetsprobleemer z'identifizéieren an ze sanéieren.
Flow Iwwerwachung gëtt Netzwierkteams eng gutt Iddi wéi e Netzwierk funktionnéiert, bitt Abléck an d'Gesamtbenotzung, d'Applikatiounsnotzung, potenziell Flaschenhals, Anomalien déi Sécherheetsbedrohungen signaliséieren, a méi. Et gi verschidde verschidde Standarden a Formater, déi an der Netzwierkfloss Iwwerwaachung benotzt ginn, dorënner NetFlow, sFlow, an Internet Protocol Flow Information Export (IPFIX). Jidderee funktionnéiert op eng liicht aner Manéier, awer all ënnerscheede sech vum Portspigel an déif Paketinspektioun, datt se net den Inhalt vun all Paket erfaassen, deen iwwer e Port oder duerch e Schalter passéiert. Wéi och ëmmer, Flow Iwwerwaachung liwwert méi Informatioun wéi SNMP, wat allgemeng limitéiert ass op breet Statistike wéi Gesamtpacket a Bandbreedung.
Network Flow Tools Verglach
| Fonktioun | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Open oder Proprietär | Proprietär | Proprietär | Oppen | Oppen |
| Sample oder Flowbaséiert | Haaptsächlech Flow Baséiert; Sample Modus ass verfügbar | Haaptsächlech Flow Baséiert; Sample Modus ass verfügbar | Echantillon | Haaptsächlech Flow Baséiert; Sample Modus ass verfügbar |
| Informatioun erfaasst | Metadaten a statistesch Informatiounen, dorënner Bytes iwwerdroen, Interface counters an sou op | Metadaten a statistesch Informatiounen, dorënner Bytes iwwerdroen, Interface counters an sou op | Komplett Packet Header, Partiell Packet Notzlaascht | Metadaten a statistesch Informatiounen, dorënner Bytes iwwerdroen, Interface counters an sou op |
| Ingress / Egress Iwwerwaachung | Nëmmen Ingress | Ingress an Egress | Ingress an Egress | Ingress an Egress |
| IPv6 / VLAN / MPLS Ënnerstëtzung | No | Jo | Jo | Jo |
Post Zäit: Mar-18-2024
