NetFlow dan IPFIX adalah kedua-dua teknologi yang digunakan untuk pemantauan dan analisis aliran rangkaian. Mereka memberikan cerapan tentang corak trafik rangkaian, membantu dalam pengoptimuman prestasi, penyelesaian masalah dan analisis keselamatan.
NetFlow:
Apakah NetFlow?
NetFlowialah penyelesaian pemantauan aliran asal, yang pada asalnya dibangunkan oleh Cisco pada akhir 1990-an. Beberapa versi berbeza wujud, tetapi kebanyakan penggunaan adalah berdasarkan sama ada NetFlow v5 atau NetFlow v9. Walaupun setiap versi mempunyai keupayaan yang berbeza, operasi asas tetap sama:
Pertama, penghala, suis, tembok api atau jenis peranti lain akan menangkap maklumat mengenai "aliran" rangkaian - pada asasnya satu set paket yang berkongsi set ciri yang sama seperti alamat sumber dan destinasi, sumber dan port destinasi serta protokol taip. Selepas aliran menjadi tidak aktif atau jumlah masa yang telah ditetapkan telah berlalu, peranti akan mengeksport rekod aliran kepada entiti yang dikenali sebagai "pengumpul aliran".
Akhir sekali, "penganalisis aliran" memahami rekod tersebut, memberikan cerapan dalam bentuk visualisasi, statistik dan pelaporan sejarah dan masa nyata yang terperinci. Dalam amalan, pengumpul dan penganalisis selalunya merupakan satu entiti, selalunya digabungkan menjadi penyelesaian pemantauan prestasi rangkaian yang lebih besar.
NetFlow beroperasi secara stateful. Apabila mesin pelanggan menghubungi pelayan, NetFlow akan mula menangkap dan mengagregat metadata daripada aliran. Selepas sesi ditamatkan, NetFlow akan mengeksport satu rekod lengkap kepada pengumpul.
Walaupun ia masih biasa digunakan, NetFlow v5 mempunyai beberapa batasan. Medan yang dieksport adalah tetap, pemantauan hanya disokong dalam arah kemasukan dan teknologi moden seperti IPv6, MPLS dan VXLAN tidak disokong. NetFlow v9, juga dijenamakan sebagai Flexible NetFlow (FNF), menangani beberapa batasan ini, membenarkan pengguna membina templat tersuai dan menambah sokongan untuk teknologi yang lebih baharu.
Banyak vendor juga mempunyai pelaksanaan proprietari NetFlow mereka sendiri, seperti jFlow daripada Juniper dan NetStream daripada Huawei. Walaupun konfigurasi mungkin agak berbeza, pelaksanaan ini sering menghasilkan rekod aliran yang serasi dengan pengumpul dan penganalisis NetFlow.
Ciri Utama NetFlow:
~ Data Aliran: NetFlow menjana rekod aliran yang merangkumi butiran seperti alamat IP sumber dan destinasi, port, cap masa, kiraan paket dan bait serta jenis protokol.
~ Pemantauan Trafik: NetFlow menyediakan keterlihatan ke dalam corak trafik rangkaian, membenarkan pentadbir mengenal pasti aplikasi teratas, titik akhir dan sumber trafik.
~Pengesanan Anomali: Dengan menganalisis data aliran, NetFlow boleh mengesan anomali seperti penggunaan lebar jalur yang berlebihan, kesesakan rangkaian atau corak trafik yang luar biasa.
~ Analisis Keselamatan: NetFlow boleh digunakan untuk mengesan dan menyiasat insiden keselamatan, seperti serangan distributed denial-of-service (DDoS) atau percubaan akses tanpa kebenaran.
Versi NetFlow: NetFlow telah berkembang dari semasa ke semasa, dan versi berbeza telah dikeluarkan. Beberapa versi yang ketara termasuk NetFlow v5, NetFlow v9 dan NetFlow Fleksibel. Setiap versi memperkenalkan peningkatan dan keupayaan tambahan.
IPFIX:
Apakah IPFIX?
Piawaian IETF yang muncul pada awal 2000-an, Eksport Maklumat Aliran Protokol Internet (IPFIX) sangat serupa dengan NetFlow. Malah, NetFlow v9 berfungsi sebagai asas untuk IPFIX. Perbezaan utama antara kedua-duanya ialah IPFIX ialah standard terbuka, dan disokong oleh banyak vendor rangkaian selain daripada Cisco. Dengan pengecualian beberapa medan tambahan yang ditambahkan dalam IPFIX, format sebaliknya hampir sama. Malah, IPFIX kadangkala dirujuk sebagai "NetFlow v10".
Disebabkan sebahagiannya persamaannya dengan NetFlow, IPFIX menikmati sokongan luas di kalangan penyelesaian pemantauan rangkaian serta peralatan rangkaian.
IPFIX (Eksport Maklumat Aliran Protokol Internet) ialah protokol standard terbuka yang dibangunkan oleh Pasukan Petugas Kejuruteraan Internet (IETF). Ia adalah berdasarkan spesifikasi NetFlow Versi 9 dan menyediakan format piawai untuk mengeksport rekod aliran daripada peranti rangkaian.
IPFIX membina konsep NetFlow dan mengembangkannya untuk menawarkan lebih fleksibiliti dan kesalingoperasian merentas vendor dan peranti yang berbeza. Ia memperkenalkan konsep templat, membolehkan definisi dinamik struktur rekod aliran dan kandungan. Ini membolehkan kemasukan medan tersuai, sokongan untuk protokol baharu dan kebolehlanjutan.
Ciri-ciri Utama IPFIX:
~ Pendekatan Berasaskan Templat: IPFIX menggunakan templat untuk menentukan struktur dan kandungan rekod aliran, menawarkan fleksibiliti dalam menampung medan data yang berbeza dan maklumat khusus protokol.
~ Saling kendali: IPFIX ialah standard terbuka, memastikan keupayaan pemantauan aliran yang konsisten merentas vendor dan peranti rangkaian yang berbeza.
~ Sokongan IPv6: IPFIX secara asli menyokong IPv6, menjadikannya sesuai untuk memantau dan menganalisis trafik dalam rangkaian IPv6.
~Keselamatan yang Dipertingkatkan: IPFIX termasuk ciri keselamatan seperti penyulitan Transport Layer Security (TLS) dan semakan integriti mesej untuk melindungi kerahsiaan dan integriti data aliran semasa penghantaran.
IPFIX disokong secara meluas oleh pelbagai vendor peralatan rangkaian, menjadikannya pilihan neutral vendor dan diterima pakai secara meluas untuk pemantauan aliran rangkaian.
Jadi, apakah perbezaan antara NetFlow dan IPFIX?
Jawapan mudah ialah NetFlow ialah protokol proprietari Cisco yang diperkenalkan sekitar tahun 1996 dan IPFIX ialah saudara yang diluluskan badan piawainya.
Kedua-dua protokol mempunyai tujuan yang sama: membolehkan jurutera dan pentadbir rangkaian mengumpul dan menganalisis aliran trafik IP peringkat rangkaian. Cisco membangunkan NetFlow supaya suis dan penghalanya boleh mengeluarkan maklumat berharga ini. Memandangkan penguasaan peralatan Cisco, NetFlow dengan cepat menjadi standard de-facto untuk analisis trafik rangkaian. Walau bagaimanapun, pesaing industri menyedari bahawa menggunakan protokol proprietari yang dikawal oleh pesaing utamanya bukanlah idea yang baik dan oleh itu IETF mengetuai usaha untuk menyeragamkan protokol terbuka untuk analisis trafik, iaitu IPFIX.
IPFIX adalah berdasarkan NetFlow versi 9 dan pada asalnya diperkenalkan sekitar tahun 2005 tetapi mengambil masa beberapa tahun untuk mendapat penggunaan industri. Pada ketika ini, kedua-dua protokol pada dasarnya adalah sama dan walaupun istilah NetFlow masih lebih lazim kebanyakan pelaksanaan (walaupun tidak semua) serasi dengan piawaian IPFIX.
Berikut ialah jadual yang meringkaskan perbezaan antara NetFlow dan IPFIX:
Aspek | NetFlow | IPFIX |
---|---|---|
asal usul | Teknologi proprietari yang dibangunkan oleh Cisco | Protokol standard industri berdasarkan NetFlow Versi 9 |
Penyeragaman | Teknologi khusus Cisco | Standard terbuka yang ditakrifkan oleh IETF dalam RFC 7011 |
Fleksibiliti | Versi berkembang dengan ciri khusus | Fleksibiliti dan kesalingoperasian yang lebih baik merentas vendor |
Format Data | Paket bersaiz tetap | Pendekatan berasaskan templat untuk format rekod aliran boleh disesuaikan |
Sokongan Templat | Tidak disokong | Templat dinamik untuk kemasukan medan yang fleksibel |
Sokongan Vendor | Terutamanya peranti Cisco | Sokongan luas merentas vendor rangkaian |
Kebolehlanjutan | Penyesuaian terhad | Kemasukan medan tersuai dan data khusus aplikasi |
Perbezaan Protokol | Variasi khusus Cisco | Sokongan IPv6 asli, pilihan rekod aliran dipertingkatkan |
Ciri Keselamatan | Ciri keselamatan terhad | Penyulitan Keselamatan Lapisan Pengangkutan (TLS), integriti mesej |
Pemantauan Aliran Rangkaianialah pengumpulan, analisis dan pemantauan trafik yang merentasi rangkaian atau segmen rangkaian tertentu. Objektif mungkin berbeza daripada menyelesaikan masalah ketersambungan kepada perancangan peruntukan lebar jalur masa hadapan. Pemantauan aliran dan pensampelan paket juga boleh berguna dalam mengenal pasti dan menyelesaikan isu keselamatan.
Pemantauan aliran memberi pasukan rangkaian idea yang baik tentang cara rangkaian beroperasi, memberikan cerapan tentang penggunaan keseluruhan, penggunaan aplikasi, potensi kesesakan, anomali yang mungkin menandakan ancaman keselamatan dan banyak lagi. Terdapat beberapa piawaian dan format berbeza yang digunakan dalam pemantauan aliran rangkaian, termasuk NetFlow, sFlow dan Eksport Maklumat Aliran Protokol Internet (IPFIX). Setiap satu berfungsi dengan cara yang sedikit berbeza, tetapi semuanya berbeza daripada pencerminan port dan pemeriksaan paket dalam kerana ia tidak menangkap kandungan setiap paket yang melalui port atau melalui suis. Walau bagaimanapun, pemantauan aliran menyediakan lebih banyak maklumat daripada SNMP, yang biasanya terhad kepada statistik luas seperti penggunaan keseluruhan paket dan lebar jalur.
Alat Aliran Rangkaian Berbanding
Ciri | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Terbuka atau Milik | Hak milik | Hak milik | Buka | Buka |
Disampel atau Berdasarkan Aliran | Terutamanya Berdasarkan Aliran; Mod Sampel tersedia | Terutamanya Berdasarkan Aliran; Mod Sampel tersedia | Disampel | Terutamanya Berdasarkan Aliran; Mod Sampel tersedia |
Maklumat Ditangkap | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, pembilang antara muka dan sebagainya | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, pembilang antara muka dan sebagainya | Pengepala Paket Lengkap, Muatan Paket Separa | Metadata dan maklumat statistik, termasuk bait yang dipindahkan, pembilang antara muka dan sebagainya |
Pemantauan Masuk/Keluar | Masuk Sahaja | Masuk dan Keluar | Masuk dan Keluar | Masuk dan Keluar |
Sokongan IPv6/VLAN/MPLS | No | ya | ya | ya |
Masa siaran: Mac-18-2024