Netflow en IPFIX zijn beide technologieën die worden gebruikt voor netwerkstroombewaking en -analyse. Ze bieden inzicht in netwerkverkeerspatronen, die helpen bij het optimaliseren van prestaties, probleemoplossing en beveiligingsanalyse.
Netflow:
Wat is Netflow?
Netflowis de originele flow -monitoringoplossing, oorspronkelijk ontwikkeld door Cisco in de late jaren negentig. Er bestaan verschillende versies, maar de meeste implementaties zijn gebaseerd op NetFlow V5 of NetFlow V9. Hoewel elke versie verschillende mogelijkheden heeft, blijft de basisbewerking hetzelfde:
Ten eerste zal een router, schakelaar, firewall of een ander type apparaat informatie vastleggen op het netwerk "Flows" - in principe een set pakketten die een gemeenschappelijke set kenmerken delen, zoals bron- en bestemmingsadres, bron en bestemmingspoort en protocoltype. Nadat een stroom sluimerend is geworden of een vooraf gedefinieerde tijd is verstreken, zal het apparaat de stroomrecords exporteren naar een entiteit die bekend staat als een "stroomverzamelaar".
Ten slotte is een "flow-analysator" inzicht in die records, die inzichten biedt in de vorm van visualisaties, statistieken en gedetailleerde historische en realtime rapportage. In de praktijk zijn verzamelaars en analysatoren vaak een enkele entiteit, vaak gecombineerd in een grotere oplossing voor het monitoren van netwerkprestaties.
Netflow werkt op statige basis. Wanneer een clientmachine naar een server reikt, begint Netflow metadata te vangen en te aggregeren uit de stroom. Nadat de sessie is beëindigd, zal Netflow een enkel volledig record naar de collector exporteren.
Hoewel het nog steeds vaak wordt gebruikt, heeft NetFlow V5 een aantal beperkingen. De geëxporteerde velden worden vastgesteld, monitoring wordt alleen ondersteund in de ingangsrichting en moderne technologieën zoals IPv6, MPLS en VXLAN worden niet ondersteund. NetFlow V9, ook gebrandmerkt als flexibele NetFlow (FNF), behandelt enkele van deze beperkingen, waardoor gebruikers aangepaste sjablonen kunnen bouwen en ondersteuning kunnen toevoegen voor nieuwere technologieën.
Veel leveranciers hebben ook hun eigen eigen implementaties van Netflow, zoals JFlow van Juniper en Netstream uit Huawei. Hoewel de configuratie enigszins kan verschillen, produceren deze implementaties vaak stroomrecords die compatibel zijn met NetFlow -verzamelaars en analysatoren.
Belangrijkste kenmerken van Netflow:
~ Stroomgegevens: NetFlow genereert stroomrecords met details zoals bron- en bestemmings -IP -adressen, poorten, tijdstempels, pakket- en bytetellingen en protocoltypen.
~ Verkeersbewaking: Netflow biedt zichtbaarheid in netwerkverkeerspatronen, waardoor beheerders toptoepassingen, eindpunten en verkeersbronnen kunnen identificeren.
~Anomaliedetectie: Door flowgegevens te analyseren, kan NetFlow anomalieën detecteren, zoals overmatig bandbreedtegebruik, netwerkcongestie of ongebruikelijke verkeerspatronen.
~ Beveiligingsanalyse: Netflow kan worden gebruikt om beveiligingsincidenten te detecteren en te onderzoeken, zoals gedistribueerde Denial-of-Service (DDOS) -aanvallen of ongeautoriseerde toegangspogingen.
Netflow -versies: Netflow is in de loop van de tijd geëvolueerd en verschillende versies zijn vrijgegeven. Sommige opmerkelijke versies omvatten NetFlow V5, NetFlow V9 en flexibele Netflow. Elke versie introduceert verbeteringen en extra mogelijkheden.
Ipfix:
Wat is ipfix?
Een IETF -standaard die ontstond in de vroege jaren 2000, internetprotocolstroominformatie -export (IPFIX) is uiterst vergelijkbaar met NetFlow. Netflow V9 diende zelfs als basis voor IPFIX. Het primaire verschil tussen de twee is dat IPFIX een open standaard is en wordt ondersteund door veel netwerkleveranciers, behalve Cisco. Met uitzondering van enkele extra velden toegevoegd in IPFIX, zijn de formaten anders bijna identiek. IPFIX wordt zelfs soms zelfs "NetFlow V10" genoemd.
Gedeeltelijk te wijten aan de overeenkomsten met NetFlow, heeft IPFIX brede ondersteuning onder netwerkbewakingsoplossingen en netwerkapparatuur.
IPFIX (Internet Protocol Flow Information Export) is een open standaard protocol ontwikkeld door de Internet Engineering Task Force (IETF). Het is gebaseerd op de NetFlow -versie 9 -specificatie en biedt een gestandaardiseerd formaat voor het exporteren van stroomrecords van netwerkapparaten.
IPFIX bouwt voort op de concepten van Netflow en breidt ze uit om meer flexibiliteit en interoperabiliteit te bieden op verschillende leveranciers en apparaten. Het introduceert het concept van sjablonen, waardoor dynamische definitie van stroomrecordstructuur en inhoud mogelijk is. Dit maakt de opname van aangepaste velden, ondersteuning voor nieuwe protocollen en uitbreidbaarheid mogelijk.
Belangrijkste kenmerken van ipfix:
~ Sjabloongebaseerde aanpak: IPFIX gebruikt sjablonen om de structuur en inhoud van stroomrecords te definiëren, waardoor flexibiliteit wordt geboden bij het accommoderen van verschillende gegevensvelden en protocolspecifieke informatie.
~ Interoperabiliteit: IPFIX is een open standaard en zorgt voor consistente stroombewakingsmogelijkheden op verschillende netwerkleveranciers en apparaten.
~ IPv6 -ondersteuning: IPFIX ondersteunt native IPv6, waardoor het geschikt is voor het bewaken en analyseren van verkeer in IPv6 -netwerken.
~Verbeterde beveiliging: IPFIX bevat beveiligingsfuncties zoals coderingscontracten van transportlaag (TLS) en controles voor berichtintegriteit om de vertrouwelijkheid en integriteit van stroomgegevens tijdens de verzending te beschermen.
IPFIX wordt op grote schaal ondersteund door verschillende leveranciers van netwerkapparatuur, waardoor het een leverancierneutrale en algemeen aangenomen keuze is voor netwerkstroombewaking.
Dus, wat is het verschil tussen NetFlow en IPFIX?
Het eenvoudige antwoord is dat NetFlow een Cisco -eigen protocol is geïntroduceerd rond 1996 en IPFIX is de door de normen goedgekeurde broer.
Beide protocollen dienen hetzelfde doel: netwerkingenieurs en beheerders in staat stellen om IP -verkeersstromen op het netwerkniveau te verzamelen en te analyseren. Cisco ontwikkelde Netflow zodat de schakelaars en routers deze waardevolle informatie konden uitvoeren. Gezien de dominantie van Cisco-uitrusting werd Netflow al snel de Facto-standaard voor netwerkverkeersanalyse. De concurrenten uit de industrie realiseerden zich echter dat het gebruik van een eigen protocol bestuurd door de belangrijkste rivaal geen goed idee was en daarom leidde de IETF een poging om een open protocol te standaardiseren voor verkeersanalyse, dat is IPFIX.
IPFIX is gebaseerd op NetFlow -versie 9 en werd oorspronkelijk geïntroduceerd rond 2005, maar duurde een aantal jaren om de industriële acceptatie te krijgen. Op dit punt zijn de twee protocollen in wezen hetzelfde en hoewel de term netflow nog steeds vaker voorkomt, zijn de meeste implementaties (hoewel niet alle) compatibel met de IPFIX -standaard.
Hier is een tabel die de verschillen tussen NetFlow en IPFIX samenvat:
| Aspect | Netflow | Ipfix |
|---|---|---|
| Oorsprong | Proprietaire technologie ontwikkeld door Cisco | Industrie-standaard protocol op basis van NetFlow-versie 9 |
| Standaardisatie | Cisco-specifieke technologie | Open standaard gedefinieerd door IETF in RFC 7011 |
| Flexibiliteit | Geëvolueerde versies met specifieke kenmerken | Grotere flexibiliteit en interoperabiliteit tussen leveranciers |
| Gegevensformaat | Pakketten met een vaste grootte | Basis-gebaseerde aanpak voor aanpasbare stroomrecordformaten |
| Sjabloonondersteuning | Niet ondersteund | Dynamische sjablonen voor flexibele veldopname |
| Verkoperondersteuning | Voornamelijk Cisco -apparaten | Brede ondersteuning tussen netwerkverkopers |
| Uitbreidbaarheid | Beperkte aanpassing | Opname van aangepaste velden en applicatiespecifieke gegevens |
| Protocolverschillen | Cisco-specifieke variaties | Native IPv6 -ondersteuning, verbeterde flow record -opties |
| Beveiligingsfuncties | Beperkte beveiligingsfuncties | Transport Layer Security (TLS) codering, berichtintegriteit |
Netwerkstroombewakingis de verzameling, analyse en monitoring van verkeer dat een bepaald netwerk of netwerksegment doorkruist. De doelstellingen kunnen variëren van het oplossen van problemen met het oplossen van connectiviteit tot het plannen van toekomstige bandbreedtetoewijzing. Stroombewaking en pakketbemonstering kan zelfs nuttig zijn bij het identificeren en verhelpen van beveiligingsproblemen.
Flow -monitoring geeft netwerkteams een goed idee van hoe een netwerk werkt, waardoor inzichten worden gegeven in het algemene gebruik, toepassingsgebruik, potentiële knelpunten, afwijkingen die kunnen wijzen op beveiligingsbedreigingen en meer. Er zijn verschillende normen en formaten die worden gebruikt bij netwerkstroombewaking, waaronder NetFlow-, Sflow- en internetprotocolstroominformatie -informatie -export (IPFIX). Elk werkt op een iets andere manier, maar ze zijn allemaal verschillend van poortspiegeling en diepe pakketinspectie doordat ze niet de inhoud van elk pakket van een poort of door een schakelaar van een poort vangen. Flow -monitoring biedt echter meer informatie dan SNMP, die over het algemeen beperkt is tot brede statistieken, zoals het algemene gebruik van pakket en bandbreedte.
Netwerkstroomtools vergeleken
| Functie | Netflow V5 | Netflow V9 | sloeg | Ipfix |
| Open of eigendom | Eigendom | Eigendom | Open | Open |
| Bemonsterd of gebaseerd op stroom | Voornamelijk gebaseerd op stroom; De bemonsterde modus is beschikbaar | Voornamelijk gebaseerd op stroom; De bemonsterde modus is beschikbaar | Bemonsterd | Voornamelijk gebaseerd op stroom; De bemonsterde modus is beschikbaar |
| Informatie vastgelegd | Metadata en statistische informatie, inclusief bytes overgedragen, interfacetellers enzovoort | Metadata en statistische informatie, inclusief bytes overgedragen, interfacetellers enzovoort | Complete pakketkoppen, gedeeltelijke pakketpayloads | Metadata en statistische informatie, inclusief bytes overgedragen, interfacetellers enzovoort |
| Ingress/uitgang Monitoring | Alleen binnendringen | Ingress en uitgang | Ingress en uitgang | Ingress en uitgang |
| IPv6/VLAN/MPLS -ondersteuning | No | Ja | Ja | Ja |
Posttijd: maart-18-2024
