NetFlow an IPFIX sinn allebéid Technologien, déi fir d'Iwwerwaachung an d'Analyse vum Netzwierkfluss benotzt ginn. Si bidden Abléck an d'Muster vum Netzwierkverkéier a hëllefen dobäi, d'Performanceoptimiséierung, d'Troubleshooting an d'Sécherheetsanalyse ze optimiséieren.
NetFlow:
Wat ass NetFlow?
NetFlowass déi originell Flow-Iwwerwaachungsléisung, déi ursprénglech Enn vun den 1990er Joren vu Cisco entwéckelt gouf. Et gëtt verschidde Versiounen, awer déi meescht Implementatioune baséieren entweder op NetFlow v5 oder NetFlow v9. Wärend all Versioun verschidde Funktiounen huet, bleift d'Basisfunktioun déiselwecht:
Als éischt erfaasst e Router, Switch, Firewall oder en aneren Typ vun Apparat Informatiounen iwwer den Netzwierk-"Flows" - am Fong eng Rei vu Paketen, déi e gemeinsame Set vu Charakteristiken deelen, wéi Quell- an Destinatiounsadress, Quell- an Destinatiounsport, a Protokolltyp. Nodeems e Flow inaktiv gouf oder eng virdefinéiert Zäit vergaangen ass, exportéiert den Apparat d'Flow-Records an eng Entitéit, déi als "Flow-Sammler" bekannt ass.
Schlussendlech erkennt en "Flow-Analysator" dës Opzeechnungen a liwwert Abléck a Form vu Visualiséierungen, Statistiken a detailléierten historeschen a Echtzäitberichterstattung. An der Praxis sinn Sammler an Analysatoren dacks eng eenzeg Entitéit, déi dacks zu enger méi grousser Netzwierkleistungs-Iwwerwaachungsléisung kombinéiert gëtt.
NetFlow funktionéiert op enger stateful Basis. Wann e Client-Maschinn e Server kontaktéiert, fänkt NetFlow un, Metadaten aus dem Flow ze erfassen an ze sammelen. Nodeems d'Sessioun ofgeschloss ass, exportéiert NetFlow een eenzege komplette Rekord un de Collector.
Och wann et nach ëmmer dacks benotzt gëtt, huet NetFlow v5 eng Rei vu Limitatiounen. D'Felder, déi exportéiert ginn, si fix, d'Iwwerwaachung gëtt nëmmen an der Ingress-Richtung ënnerstëtzt, a modern Technologien wéi IPv6, MPLS a VXLAN ginn net ënnerstëtzt. NetFlow v9, och bekannt als Flexible NetFlow (FNF), adresséiert e puer vun dëse Limitatiounen, andeems et de Benotzer erlaabt, personaliséiert Templates ze erstellen an Ënnerstëtzung fir méi nei Technologien bäizefügen.
Vill Ubidder hunn och hir eege proprietär Implementatioune vun NetFlow, wéi zum Beispill jFlow vu Juniper an NetStream vun Huawei. Och wann d'Konfiguratioun e bëssen ënnerschiddlech ka sinn, produzéieren dës Implementatioune dacks Flow-Opzeechnungen, déi mat NetFlow-Sammler an -Analysatoren kompatibel sinn.
Schlësselmerkmale vun NetFlow:
~ FlowdatenNetFlow generéiert Flow-Records, déi Detailer wéi Quell- an Destinatiouns-IP-Adressen, Ports, Zäitstempel, Paket- a Bytezuelen a Protokolltypen enthalen.
~ VerkéiersiwwerwaachungNetFlow bitt Iwwerbléck iwwer d'Netzwierkverkéiersmuster, sou datt Administrateuren déi wichtegst Applikatiounen, Endpunkten a Verkéiersquellen identifizéiere kënnen.
~Anomalie-DetektiounDuerch d'Analyse vu Flowdaten kann NetFlow Anomalien wéi exzessiv Bandbreitenauslastung, Netzwierkstauung oder ongewéinlech Trafficmuster erkennen.
~ SécherheetsanalyseNetFlow kann benotzt ginn fir Sécherheetsincidenter z'entdecken an z'ënnersichen, wéi zum Beispill verdeelt Denial-of-Service (DDoS)-Attacken oder onerlaabten Zougangsversich.
NetFlow VersiounenNetFlow huet sech mat der Zäit weiderentwéckelt, an et goufen ënnerschiddlech Versioune verëffentlecht. Zu de bekanntste Versioune gehéieren NetFlow v5, NetFlow v9 a Flexible NetFlow. All Versioun bréngt Verbesserungen an zousätzlech Funktiounen.
IPFIX:
Wat ass IPFIX?
Internet Protocol Flow Information Export (IPFIX), en IETF-Standard, deen an den fréien 2000er Joren entstanen ass, ass extrem ähnlech wéi NetFlow. Tatsächlech huet NetFlow v9 als Basis fir IPFIX gedéngt. Den Haaptunterschied tëscht deenen zwee ass, datt IPFIX en oppene Standard ass, deen ausser Cisco vu ville Netzwierkhersteller ënnerstëtzt gëtt. Mat Ausnam vun e puer zousätzleche Felder, déi an IPFIX bäigefüügt goufen, sinn d'Formater soss bal identesch. Tatsächlech gëtt IPFIX heiansdo souguer als "NetFlow v10" bezeechent.
Deelweis wéinst senge Ähnlechkeeten mat NetFlow genéisst IPFIX eng breet Ënnerstëtzung bei Netzwierk-Iwwerwaachungsléisungen souwéi Netzwierkausrüstung.
IPFIX (Internet Protocol Flow Information Export) ass en oppene Standardprotokoll, dee vun der Internet Engineering Task Force (IETF) entwéckelt gouf. E baséiert op der NetFlow Versioun 9 Spezifikatioun a bitt e standardiséierte Format fir den Export vu Flow-Records vun Netzwierkapparater.
IPFIX baut op de Konzepter vun NetFlow op a baut se aus, fir méi Flexibilitéit an Interoperabilitéit tëscht verschiddene Fournisseuren an Apparater ze bidden. Et féiert de Konzept vun Templates an, wat eng dynamesch Definitioun vun der Struktur an dem Inhalt vun de Flow-Records erméiglecht. Dëst erméiglecht d'Integratioun vu personaliséierte Felder, Ënnerstëtzung fir nei Protokoller an Erweiterbarkeet.
Schlësselmerkmale vun IPFIX:
~ Schablounbaséiert ApprocheIPFIX benotzt Schablounen fir d'Struktur an den Inhalt vu Flow-Records ze definéieren, wat Flexibilitéit bei der Ënnerdeelung vu verschiddenen Datenfelder a protokollspezifeschen Informatiounen bitt.
~ InteroperabilitéitIPFIX ass en oppene Standard, deen konsequent Flow-Iwwerwaachungsméiglechkeeten iwwer verschidden Netzwierkhersteller an Apparater garantéiert.
~ IPv6 ËnnerstëtzungIPFIX ënnerstëtzt IPv6 nativ, doduerch ass et gëeegent fir d'Iwwerwaachung an d'Analyse vum Traffic an IPv6-Netzwierker.
~Verbessert SécherheetIPFIX enthält Sécherheetsfeatures wéi Transport Layer Security (TLS) Verschlësselung a Messageintegritéitskontrollen fir d'Vertraulechkeet an d'Integritéit vun den Datenfluss während der Iwwerdroung ze schützen.
IPFIX gëtt vu verschiddene Fournisseuren vun Netzwierkausrüstung wäit ënnerstëtzt, wouduerch et eng Fournisseur-neutral a wäit verbreet Wiel fir d'Iwwerwaachung vum Netzwierkfluss ass.
Also, wat ass den Ënnerscheed tëscht NetFlow an IPFIX?
Déi einfach Äntwert ass, datt NetFlow e proprietärt Protokoll vu Cisco ass, dat ëm 1996 agefouert gouf, an IPFIX säi vun der Standardiséierungsorganisatioun guttgeheescht Brudder ass.
Béid Protokoller déngen dem selwechten Zweck: Netzwierkingenieuren an Administrateuren z'erméiglechen, IP-Verkéiersflëss op Netzwierkniveau ze sammelen an z'analyséieren. Cisco huet NetFlow entwéckelt, fir datt seng Switchen a Routeren dës wäertvoll Informatioune kéinte weiderginn. Wéinst der Dominanz vu Cisco-Ausrüstung gouf NetFlow séier zum de facto Standard fir d'Analyse vum Netzwierkverkéier. Konkurrenten an der Industrie hunn awer gemierkt, datt d'Benotzung vun engem proprietäre Protokoll, dee vu sengem Haaptrival kontrolléiert gëtt, keng gutt Iddi war, an dofir huet den IETF eng Ustrengung ugefouert, fir en oppent Protokoll fir d'Verkéiersanalyse ze standardiséieren, nämlech IPFIX.
IPFIX baséiert op der NetFlow Versioun 9 a gouf ursprénglech ëm 2005 agefouert, awer et huet e puer Joer gedauert, bis et an der Industrie adoptéiert gouf. Zu dësem Zäitpunkt sinn déi zwee Protokoller am Fong d'selwecht an obwuel den Term NetFlow nach ëmmer méi verbreet ass, sinn déi meescht Implementatiounen (awer net all) kompatibel mam IPFIX Standard.
Hei ass eng Tabelle déi d'Ënnerscheeder tëscht NetFlow an IPFIX zesummefaasst:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Urspronk | Proprietär Technologie entwéckelt vu Cisco | Industriestandardprotokoll baséiert op NetFlow Versioun 9 |
| Standardiséierung | Cisco-spezifesch Technologie | Oppene Standard definéiert vum IETF am RFC 7011 |
| Flexibilitéit | Entwéckelt Versioune mat spezifesche Funktiounen | Méi Flexibilitéit an Interoperabilitéit tëscht den Ubidder |
| Datenformat | Paketen mat fester Gréisst | Schablounbaséiert Approche fir personaliséierbar Flow-Recordformater |
| Schablounenënnerstëtzung | Net ënnerstëtzt | Dynamesch Schablounen fir flexibel Feldinführung |
| Ënnerstëtzung vum Liwwerant | Haaptsächlech Cisco-Geräter | Breet Ënnerstëtzung vun Netzwierk-Ubidder |
| Erweiterbarkeet | Limitéiert Personnalisatioun | Inklusioun vu personaliséierte Felder an applikatiounsspezifeschen Donnéeën |
| Protokollënnerscheeder | Cisco-spezifesch Variatiounen | Native IPv6 Ënnerstëtzung, verbessert Flow-Opzeechnungsoptiounen |
| Sécherheetsfeatures | Limitéiert Sécherheetsfeatures | Transport Layer Security (TLS) Verschlësselung, Messageintegritéit |
Netzwierkfluss Iwwerwaachungass d'Sammlung, d'Analyse an d'Iwwerwaachung vum Traffic, deen en Netzwierk oder Netzwierksegment duerchkräizt. D'Ziler kënne vun der Problemléisung vu Konnektivitéitsproblemer bis zur Planung vun zukünfteger Bandbreetzouweisung variéieren. Flow-Iwwerwaachung a Pakett-Sampling kënne souguer nëtzlech sinn fir Sécherheetsproblemer z'identifizéieren an ze behiewen.
D'Flow-Iwwerwaachung gëtt Netzwierkteams eng gutt Iddi dovun, wéi en Netzwierk funktionéiert, andeems se Abléck an d'Gesamtnotzung, d'Applikatiounsnotzung, potenziell Engpässe, Anomalien, déi Sécherheetsbedrohungen uweise kënnen, a méi liwwert. Et gi verschidde Standarden a Formater, déi an der Netzwierk-Flow-Iwwerwaachung benotzt ginn, dorënner NetFlow, sFlow an Internet Protocol Flow Information Export (IPFIX). Jidderee funktionéiert op eng liicht aner Manéier, awer all ënnerscheede sech vu Port Mirroring an Deep Packet Inspection doduerch, datt se net den Inhalt vun all Paket erfassen, deen iwwer e Port oder duerch e Switch geet. D'Flow-Iwwerwaachung liwwert awer méi Informatiounen wéi SNMP, wat sech allgemeng op breet Statistiken wéi d'Gesamtpaket- a Bandbreetnotzung beschränkt.
Netzwierk Flow Tools am Verglach
| Fonktioun | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Oppen oder proprietär | Proprietär | Proprietär | Opmaachen | Opmaachen |
| Geprobt oder Flow-baséiert | Haaptsächlech Flow-baséiert; Sampled Modus ass verfügbar | Haaptsächlech Flow-baséiert; Sampled Modus ass verfügbar | Probeiert | Haaptsächlech Flow-baséiert; Sampled Modus ass verfügbar |
| Informatiounen erfaasst | Metadaten an statistesch Informatiounen, dorënner transferéiert Bytes, Interface-Zähler a sou weider | Metadaten an statistesch Informatiounen, dorënner transferéiert Bytes, Interface-Zähler a sou weider | Komplett Paketheaderen, deelweis Paketnotaen | Metadaten an statistesch Informatiounen, dorënner transferéiert Bytes, Interface-Zähler a sou weider |
| Iwwerwaachung vun Entrée/Ausgang | Nëmmen Entrée | Entrée an Ausgang | Entrée an Ausgang | Entrée an Ausgang |
| IPv6/VLAN/MPLS Ënnerstëtzung | No | Jo | Jo | Jo |
Zäitpunkt vun der Verëffentlechung: 18. Mäerz 2024
