NetFlow dan IPFIX kedua-duanya merupakan teknologi yang digunakan untuk pemantauan dan analisis aliran rangkaian. Kedua-duanya memberikan pandangan tentang corak trafik rangkaian, membantu dalam pengoptimuman prestasi, penyelesaian masalah dan analisis keselamatan.
Aliran Bersih:
Apakah NetFlow?
Aliran Bersihialah penyelesaian pemantauan aliran asal, yang asalnya dibangunkan oleh Cisco pada akhir 1990-an. Terdapat beberapa versi berbeza, tetapi kebanyakan penggunaan adalah berdasarkan sama ada NetFlow v5 atau NetFlow v9. Walaupun setiap versi mempunyai keupayaan yang berbeza, operasi asasnya tetap sama:
Pertama, penghala, suis, tembok api atau jenis peranti lain akan menangkap maklumat pada "aliran" rangkaian – pada asasnya satu set paket yang berkongsi set ciri umum seperti alamat sumber dan destinasi, port sumber dan destinasi serta jenis protokol. Selepas aliran tidak aktif atau tempoh masa yang telah ditetapkan telah berlalu, peranti akan mengeksport rekod aliran ke entiti yang dikenali sebagai "pengumpul aliran".
Akhir sekali, "penganalisis aliran" memahami rekod tersebut, memberikan pandangan dalam bentuk visualisasi, statistik dan pelaporan sejarah dan masa nyata yang terperinci. Dalam praktiknya, pengumpul dan penganalisis selalunya merupakan satu entiti, yang selalunya digabungkan menjadi penyelesaian pemantauan prestasi rangkaian yang lebih besar.
NetFlow beroperasi secara stateful. Apabila mesin klien menghubungi pelayan, NetFlow akan mula menangkap dan mengagregatkan metadata daripada aliran tersebut. Selepas sesi ditamatkan, NetFlow akan mengeksport satu rekod lengkap kepada pengumpul.
Walaupun ia masih biasa digunakan, NetFlow v5 mempunyai beberapa batasan. Medan yang dieksport adalah tetap, pemantauan hanya disokong dalam arah kemasukan, dan teknologi moden seperti IPv6, MPLS dan VXLAN tidak disokong. NetFlow v9, juga dijenamakan sebagai Flexible NetFlow (FNF), menangani beberapa batasan ini, membolehkan pengguna membina templat tersuai dan menambah sokongan untuk teknologi yang lebih baharu.
Banyak vendor juga mempunyai pelaksanaan NetFlow proprietari mereka sendiri, seperti jFlow daripada Juniper dan NetStream daripada Huawei. Walaupun konfigurasinya mungkin sedikit berbeza, pelaksanaan ini selalunya menghasilkan rekod aliran yang serasi dengan pengumpul dan penganalisis NetFlow.
Ciri-ciri Utama NetFlow:
~ Data AliranNetFlow menjana rekod aliran yang merangkumi butiran seperti alamat IP sumber dan destinasi, port, cap waktu, kiraan paket dan bait serta jenis protokol.
~ Pemantauan TrafikNetFlow menyediakan keterlihatan ke dalam corak trafik rangkaian, membolehkan pentadbir mengenal pasti aplikasi utama, titik akhir dan sumber trafik.
~Pengesanan AnomaliDengan menganalisis data aliran, NetFlow dapat mengesan anomali seperti penggunaan lebar jalur yang berlebihan, kesesakan rangkaian atau corak trafik yang luar biasa.
~ Analisis KeselamatanNetFlow boleh digunakan untuk mengesan dan menyiasat insiden keselamatan, seperti serangan penafian perkhidmatan teragih (DDoS) atau percubaan akses tanpa kebenaran.
Versi NetFlowNetFlow telah berkembang dari semasa ke semasa, dan pelbagai versi telah dikeluarkan. Beberapa versi penting termasuk NetFlow v5, NetFlow v9 dan Flexible NetFlow. Setiap versi memperkenalkan penambahbaikan dan keupayaan tambahan.
IPFIX:
Apakah IPFIX?
Satu piawaian IETF yang muncul pada awal tahun 2000-an, Eksport Maklumat Aliran Protokol Internet (IPFIX) sangat serupa dengan NetFlow. Malah, NetFlow v9 berfungsi sebagai asas untuk IPFIX. Perbezaan utama antara kedua-duanya ialah IPFIX ialah standard terbuka dan disokong oleh banyak vendor rangkaian selain Cisco. Kecuali beberapa medan tambahan yang ditambah dalam IPFIX, formatnya hampir sama. Malah, IPFIX kadangkala dirujuk sebagai "NetFlow v10".
Sebahagiannya disebabkan oleh persamaannya dengan NetFlow, IPFIX menikmati sokongan meluas antara penyelesaian pemantauan rangkaian serta peralatan rangkaian.
IPFIX (Eksport Maklumat Aliran Protokol Internet) ialah protokol piawai terbuka yang dibangunkan oleh Pasukan Petugas Kejuruteraan Internet (IETF). Ia berdasarkan spesifikasi NetFlow Versi 9 dan menyediakan format piawai untuk mengeksport rekod aliran daripada peranti rangkaian.
IPFIX membina konsep NetFlow dan mengembangkannya untuk menawarkan lebih banyak fleksibiliti dan interoperabilitas merentasi vendor dan peranti yang berbeza. Ia memperkenalkan konsep templat, yang membolehkan definisi dinamik bagi struktur dan kandungan rekod aliran. Ini membolehkan penyertaan medan tersuai, sokongan untuk protokol baharu dan kebolehpanjangan.
Ciri-ciri Utama IPFIX:
~ Pendekatan Berasaskan TemplatIPFIX menggunakan templat untuk menentukan struktur dan kandungan rekod aliran, menawarkan fleksibiliti dalam menampung medan data yang berbeza dan maklumat khusus protokol.
~ KebolehkendalianIPFIX ialah standard terbuka, yang memastikan keupayaan pemantauan aliran yang konsisten merentasi vendor dan peranti rangkaian yang berbeza.
~ Sokongan IPv6IPFIX secara natifnya menyokong IPv6, menjadikannya sesuai untuk memantau dan menganalisis trafik dalam rangkaian IPv6.
~Keselamatan yang DipertingkatkanIPFIX merangkumi ciri keselamatan seperti penyulitan Keselamatan Lapisan Pengangkutan (TLS) dan pemeriksaan integriti mesej untuk melindungi kerahsiaan dan integriti data aliran semasa penghantaran.
IPFIX disokong secara meluas oleh pelbagai vendor peralatan rangkaian, menjadikannya pilihan neutral vendor dan diterima pakai secara meluas untuk pemantauan aliran rangkaian.
Jadi, apakah perbezaan antara NetFlow dan IPFIX?
Jawapan mudahnya ialah NetFlow ialah protokol proprietari Cisco yang diperkenalkan sekitar tahun 1996 dan IPFIX ialah saudaranya yang diluluskan oleh badan piawaiannya.
Kedua-dua protokol ini mempunyai tujuan yang sama: membolehkan jurutera rangkaian dan pentadbir mengumpul dan menganalisis aliran trafik IP peringkat rangkaian. Cisco membangunkan NetFlow supaya suis dan penghalanya dapat mengeluarkan maklumat berharga ini. Memandangkan dominasi peralatan Cisco, NetFlow dengan cepat menjadi standard de facto untuk analisis trafik rangkaian. Walau bagaimanapun, pesaing industri menyedari bahawa menggunakan protokol proprietari yang dikawal oleh pesaing utamanya bukanlah idea yang baik dan oleh itu IETF menerajui usaha untuk menyeragamkan protokol terbuka untuk analisis trafik, iaitu IPFIX.
IPFIX adalah berdasarkan NetFlow versi 9 dan pada asalnya diperkenalkan sekitar tahun 2005 tetapi mengambil masa beberapa tahun untuk diterima pakai oleh industri. Pada ketika ini, kedua-dua protokol pada dasarnya sama dan walaupun istilah NetFlow masih lebih lazim, kebanyakan pelaksanaan (walaupun tidak semua) serasi dengan piawaian IPFIX.
Berikut ialah jadual yang meringkaskan perbezaan antara NetFlow dan IPFIX:
| Aspek | Aliran Bersih | IPFIX |
|---|---|---|
| Asal | Teknologi proprietari yang dibangunkan oleh Cisco | Protokol piawai industri berdasarkan NetFlow Versi 9 |
| Penyeragaman | Teknologi khusus Cisco | Piawaian terbuka yang ditakrifkan oleh IETF dalam RFC 7011 |
| Fleksibiliti | Versi yang telah berkembang dengan ciri-ciri khusus | Fleksibiliti dan interoperabiliti yang lebih tinggi merentasi vendor |
| Format Data | Paket bersaiz tetap | Pendekatan berasaskan templat untuk format rekod aliran yang boleh disesuaikan |
| Sokongan Templat | Tidak disokong | Templat dinamik untuk penyertaan medan fleksibel |
| Sokongan Vendor | Terutamanya peranti Cisco | Sokongan meluas merentasi vendor rangkaian |
| Kebolehpanjangan | Penyesuaian terhad | Kemasukan medan tersuai dan data khusus aplikasi |
| Perbezaan Protokol | Variasi khusus Cisco | Sokongan IPv6 asli, pilihan rekod aliran yang dipertingkatkan |
| Ciri-ciri Keselamatan | Ciri keselamatan terhad | Penyulitan Keselamatan Lapisan Pengangkutan (TLS), integriti mesej |
Pemantauan Aliran Rangkaianialah pengumpulan, analisis dan pemantauan trafik yang merentasi rangkaian atau segmen rangkaian tertentu. Objektifnya mungkin berbeza daripada menyelesaikan masalah sambungan kepada perancangan peruntukan lebar jalur masa hadapan. Pemantauan aliran dan persampelan paket juga boleh berguna dalam mengenal pasti dan memulihkan isu keselamatan.
Pemantauan aliran memberikan pasukan rangkaian idea yang baik tentang cara rangkaian beroperasi, memberikan pandangan tentang penggunaan keseluruhan, penggunaan aplikasi, potensi kesesakan, anomali yang mungkin menandakan ancaman keselamatan dan banyak lagi. Terdapat beberapa piawaian dan format berbeza yang digunakan dalam pemantauan aliran rangkaian, termasuk NetFlow, sFlow dan Internet Protocol Flow Information Export (IPFIX). Setiap satu berfungsi dengan cara yang sedikit berbeza, tetapi semuanya berbeza daripada pencerminan port dan pemeriksaan paket mendalam kerana ia tidak menangkap kandungan setiap paket yang melalui port atau suis. Walau bagaimanapun, pemantauan aliran memberikan lebih banyak maklumat daripada SNMP, yang secara amnya terhad kepada statistik luas seperti penggunaan paket dan lebar jalur keseluruhan.
Alat Aliran Rangkaian Dibandingkan
| Ciri | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Terbuka atau Milik | Hak milik | Hak milik | Buka | Buka |
| Sampel atau Berdasarkan Aliran | Terutamanya Berasaskan Aliran; Mod Sampel tersedia | Terutamanya Berasaskan Aliran; Mod Sampel tersedia | Disampel | Terutamanya Berasaskan Aliran; Mod Sampel tersedia |
| Maklumat Ditangkap | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, kaunter antara muka dan sebagainya | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, kaunter antara muka dan sebagainya | Pengepala Paket Lengkap, Muatan Paket Separa | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, kaunter antara muka dan sebagainya |
| Pemantauan Masuk/Keluar | Kemasukan Sahaja | Masuk dan Keluar | Masuk dan Keluar | Masuk dan Keluar |
| Sokongan IPv6/VLAN/MPLS | No | Ya | Ya | Ya |
Masa siaran: 18 Mac 2024
