НетФлов и ИПФИКС су обе технологије које се користе за праћење и анализу тока мреже. Они пружају увид у обрасце мрежног саобраћаја, помажући у оптимизацији перформанси, решавању проблема и безбедносној анализи.
НетФлов:
Шта је НетФлов?
НетФловје оригинално решење за праћење протока, које је првобитно развио Цисцо касних 1990-их. Постоји неколико различитих верзија, али већина имплементација је заснована на НетФлов в5 или НетФлов в9. Иако свака верзија има различите могућности, основна операција остаје иста:
Прво, рутер, прекидач, заштитни зид или други тип уређаја ће ухватити информације о мрежним „токовима“ – у основи скуп пакета који деле заједнички скуп карактеристика као што су изворна и одредишна адреса, изворни и одредишни порт и протокол тип. Након што је ток неактиван или је прошло унапред дефинисано време, уређај ће извести записе о току у ентитет познат као „сакупљач тока“.
Коначно, „анализатор тока“ даје смисао тим записима, пружајући увид у облику визуелизације, статистике и детаљног историјског извештавања и извештавања у реалном времену. У пракси, колектори и анализатори су често један ентитет, често комбинован у веће решење за праћење перформанси мреже.
НетФлов ради на бази стања. Када клијентска машина дође до сервера, НетФлов ће почети да хвата и агрегира метаподатке из тока. Након што се сесија заврши, НетФлов ће извести један комплетан запис у колектор.
Иако се и даље често користи, НетФлов в5 има бројна ограничења. Извезена поља су фиксна, праћење је подржано само у улазном правцу, а модерне технологије као што су ИПв6, МПЛС и ВКСЛАН нису подржане. НетФлов в9, такође брендиран као Флексибилни НетФлов (ФНФ), решава нека од ових ограничења, омогућавајући корисницима да направе прилагођене шаблоне и додајући подршку за новије технологије.
Многи добављачи такође имају сопствене власничке имплементације НетФлов-а, као што су јФлов од Јунипер-а и НетСтреам од Хуавеи-а. Иако се конфигурација може донекле разликовати, ове имплементације често производе записе тока који су компатибилни са НетФлов колекторима и анализаторима.
Кључне карактеристике НетФлов-а:
~ Подаци о току: НетФлов генерише записе тока који укључују детаље као што су изворне и одредишне ИП адресе, портови, временске ознаке, број пакета и бајтова и типови протокола.
~ Надгледање саобраћаја: НетФлов пружа увид у обрасце мрежног саобраћаја, омогућавајући администраторима да идентификују најбоље апликације, крајње тачке и изворе саобраћаја.
~Аномали Детецтион: Анализом података о протоку, НетФлов може открити аномалије као што су прекомерно коришћење пропусног опсега, загушење мреже или необични обрасци саобраћаја.
~ Анализа безбедности: НетФлов се може користити за откривање и истраживање безбедносних инцидената, као што су дистрибуирани напади ускраћивања услуге (ДДоС) или покушаји неовлашћеног приступа.
НетФлов верзије: НетФлов је еволуирао током времена и објављене су различите верзије. Неке значајне верзије укључују НетФлов в5, НетФлов в9 и Флексибилни НетФлов. Свака верзија уводи побољшања и додатне могућности.
ИПФИКС:
Шта је ИПФИКС?
ИЕТФ стандард који се појавио почетком 2000-их, Интернет Протоцол Флов Информатион Екпорт (ИПФИКС) је изузетно сличан НетФлов-у. У ствари, НетФлов в9 је служио као основа за ИПФИКС. Основна разлика између њих је та што је ИПФИКС отворени стандард и подржавају га многи добављачи умрежавања, осим Цисцо-а. Са изузетком неколико додатних поља додатих у ИПФИКС, формати су иначе скоро идентични. У ствари, ИПФИКС се понекад чак назива и „НетФлов в10“.
Делимично захваљујући сличностима са НетФлов-ом, ИПФИКС ужива широку подршку међу решењима за праћење мреже као и мрежном опремом.
ИПФИКС (Интернет Протоцол Флов Информатион Екпорт) је протокол отвореног стандарда који је развио Радна група за Интернет инжењеринг (ИЕТФ). Заснован је на спецификацији НетФлов верзије 9 и обезбеђује стандардизовани формат за извоз записа тока са мрежних уређаја.
ИПФИКС се надограђује на концепте НетФлов-а и проширује их како би понудио већу флексибилност и интероперабилност међу различитим произвођачима и уређајима. Уводи концепт шаблона, омогућавајући динамичко дефинисање структуре и садржаја записа тока. Ово омогућава укључивање прилагођених поља, подршку за нове протоколе и проширивост.
Кључне карактеристике ИПФИКС-а:
~ Приступ заснован на шаблонима: ИПФИКС користи шаблоне за дефинисање структуре и садржаја записа тока, нудећи флексибилност у прилагођавању различитих поља података и информација специфичних за протокол.
~ Интероперабилност: ИПФИКС је отворени стандард, који обезбеђује конзистентне могућности праћења протока на различитим мрежним добављачима и уређајима.
~ ИПв6 подршка: ИПФИКС изворно подржава ИПв6, што га чини погодним за праћење и анализу саобраћаја у ИПв6 мрежама.
~Енханцед Сецурити: ИПФИКС укључује безбедносне функције као што је шифровање транспортног слоја (ТЛС) и провере интегритета порука ради заштите поверљивости и интегритета података о току током преноса.
ИПФИКС је широко подржан од стране разних добављача мрежне опреме, што га чини неутралним и широко прихваћеним избором за праћење мрежног тока.
Дакле, која је разлика између НетФлов-а и ИПФИКС-а?
Једноставан одговор је да је НетФлов власнички протокол компаније Цисцо уведен око 1996. године, а ИПФИКС је брат који је одобрио орган за стандарде.
Оба протокола служе истој сврси: омогућавају мрежним инжењерима и администраторима да прикупљају и анализирају токове ИП саобраћаја на нивоу мреже. Цисцо је развио НетФлов тако да његови свичеви и рутери могу да излазе ове вредне информације. С обзиром на доминацију Цисцо опреме, НетФлов је брзо постао де-факто стандард за анализу мрежног саобраћаја. Међутим, индустријски конкуренти су схватили да коришћење власничког протокола који контролише његов главни ривал није била добра идеја и стога је ИЕТФ предводио напор да стандардизује отворени протокол за анализу саобраћаја, а то је ИПФИКС.
ИПФИКС је заснован на НетФлов верзији 9 и првобитно је представљен око 2005. године, али је требало неколико година да се усвоји у индустрији. У овом тренутку, два протокола су у суштини иста и иако је термин НетФлов и даље распрострањенији, већина имплементација (иако не све) је компатибилна са ИПФИКС стандардом.
Ево табеле која резимира разлике између НетФлов-а и ИПФИКС-а:
| Аспецт | НетФлов | ИПФИКС |
|---|---|---|
| Порекло | Власничка технологија коју је развио Цисцо | Протокол индустријски стандард заснован на НетФлов верзији 9 |
| Стандардизација | Технологија специфична за Цисцо | Отворени стандард дефинисан од стране ИЕТФ-а у РФЦ 7011 |
| Флексибилност | Развијене верзије са специфичним карактеристикама | Већа флексибилност и интероперабилност међу добављачима |
| Формат података | Пакети фиксне величине | Приступ заснован на шаблонима за прилагодљиве формате записа тока |
| Подршка за шаблоне | Није подржано | Динамички шаблони за флексибилно укључивање поља |
| Подршка добављача | Пре свега Цисцо уређаји | Широка подршка код добављача умрежавања |
| Проширивост | Ограничено прилагођавање | Укључивање прилагођених поља и података специфичних за апликацију |
| Разлике у протоколу | Варијације специфичне за Цисцо | Изворна подршка за ИПв6, побољшане опције записа тока |
| Сигурносне карактеристике | Ограничене безбедносне карактеристике | Транспорт Лаиер Сецурити (ТЛС) енкрипција, интегритет поруке |
Мониторинг мрежног токаје прикупљање, анализа и праћење саобраћаја који пролази кроз дату мрежу или сегмент мреже. Циљеви могу варирати од решавања проблема са повезивањем до планирања будуће алокације пропусног опсега. Праћење тока и узорковање пакета могу чак бити корисни у идентификацији и отклањању безбедносних проблема.
Праћење тока даје тимовима за умрежавање добру представу о томе како мрежа функционише, пружајући увид у укупно коришћење, коришћење апликација, потенцијална уска грла, аномалије које могу сигнализирати безбедносне претње и још много тога. Постоји неколико различитих стандарда и формата који се користе у праћењу мрежног тока, укључујући НетФлов, сФлов и извоз информација о протоку Интернет протокола (ИПФИКС). Сваки од њих ради на мало другачији начин, али се сви разликују од пресликавања порта и дубинске инспекције пакета по томе што не хватају садржај сваког пакета који пролази преко порта или преко комутатора. Међутим, праћење тока пружа више информација од СНМП-а, који је генерално ограничен на широку статистику као што је укупна употреба пакета и пропусног опсега.
Упоређени алати за мрежни проток
| Феатуре | НетФлов в5 | НетФлов в9 | сФлов | ИПФИКС |
| Отворена или власничка | Власнички | Власнички | Отвори | Отвори |
| Узоркована или заснована на протоку | Примарно Флов Басед; Доступан је узорковани режим | Примарно Флов Басед; Доступан је узорковани режим | Узорковано | Примарно Флов Басед; Доступан је узорковани режим |
| Информатион Цаптуред | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље | Комплетна заглавља пакета, делимична корисна оптерећења пакета | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље |
| Надгледање улаза/излаза | Ингресс Онли | Улазак и излаз | Улазак и излаз | Улазак и излаз |
| ИПв6/ВЛАН/МПЛС подршка | No | Да | Да | Да |
Време поста: 18.03.2024
