NetFlow און IPFIX זענען ביידע טעכנאָלאָגיעס געניצט פֿאַר נעץ פלוס מאָניטאָרינג און אַנאַליז. זיי צושטעלן ינסייץ אין נעץ טראַפיק פּאַטערנז, העלפּינג אין פאָרשטעלונג אָפּטימיזאַטיאָן, טראָובלעשווטינג און זיכערהייט אַנאַליז.
נעטפלאָו:
וואָס איז נעטפלאָו?
נעטפלאָואיז די ארגינעלע פלוס מאָניטאָרינג לייזונג, ארגינעל דעוועלאָפּעד דורך סיסקאָ אין די שפּעטע 1990ער יאָרן. עטלעכע פאַרשידענע ווערסיעס עקזיסטירן, אָבער רובֿ דיפּלוימאַנץ זענען באזירט אויף אָדער NetFlow v5 אָדער NetFlow v9. כאָטש יעדע ווערסיע האט אַנדערע קייפּאַבילאַטיז, די גרונט אָפּעראַציע בלייבט די זעלבע:
ערשטנס, א ראוטער, סוויטש, פיירוואל, אדער אן אנדער טיפ אפאראט וועט כאפן אינפארמאציע אויף די נעטווארק "פלוסן" – באזיקלי א סעט פון פאקעטן וואס טיילן א געמיינזאמע סעט פון אייגנשאפטן ווי מקור און ציל אדרעס, מקור, און ציל פארט, און פראטאקאל טיפ. נאכדעם וואס א פלוס איז געווארן שלאפנד אדער א פאר-דעפינירטע צייט איז אדורך, וועט דער אפאראט עקספארטירן די פלוס רעקארדס צו אן ענטיטי באקאנט אלס א "פלוס קאלעקטאר".
צום סוף, א "פלוס אנאליזירער" מאכט זינען פון די רעקארדס, צושטעלנדיג איינזיכטן אין דער פארעם פון וויזואליזאציעס, סטאטיסטיק, און דעטאלירטע היסטארישע און רעאל-צייט באריכטן. אין פראקטיק, קאלעקטארן און אנאליזירער זענען אפט איין איינציקע ענטיטי, אפט קאמבינירט אין א גרעסערע נעץ פערפארמענס מאניטארינג לייזונג.
נעטפלאָו אַרבעט אויף אַ שטאַטפול באַזיס. ווען אַ קליענט מאַשין קאָנטאַקטירט אַ סערווער, וועט נעטפלאָו אָנהייבן כאַפּן און אַגגרעגירן מעטאַדאַטאַ פון דעם פלאָו. נאָך דעם ווי די סעסיע ווערט געענדיקט, וועט נעטפלאָו עקספּאָרטירן אַן איינציקן גאַנצן רעקאָרד צום קאָלעקטאָר.
כאָטש עס ווערט נאָך אָפט גענוצט, האט NetFlow v5 אַ צאָל לימיטאַציעס. די עקספּאָרטירטע פעלדער זענען פאַרפעסטיקט, מאָניטאָרינג ווערט געשטיצט בלויז אין דער אינגרעס ריכטונג, און מאָדערנע טעכנאָלאָגיעס ווי IPv6, MPLS, און VXLAN ווערן נישט געשטיצט. NetFlow v9, אויך באַקאַנט ווי Flexible NetFlow (FNF), אַדרעסירט עטלעכע פון די לימיטאַציעס, און ערלויבט באַניצער צו בויען אייגענע טעמפּלאַטן און צוגעבן שטיצע פֿאַר נייַערע טעכנאָלאָגיעס.
פילע פארקויפער האבן אויך זייערע אייגענע פראפּריעטאַרי אימפלעמענטאַציעס פון NetFlow, ווי למשל jFlow פון Juniper און NetStream פון Huawei. כאָטש די קאָנפיגוראַציע קען זיין עפּעס אַנדערש, פּראָדוצירן די אימפלעמענטאַציעס אָפט פלאָו רעקאָרדס וואָס זענען קאָמפּאַטיבל מיט NetFlow קאַלעקטאָרס און אַנאַליזערס.
הויפּט פֿעיִקייטן פֿון NetFlow:
~ פלוס דאַטןNetFlow דזשענערירט פלוס רעקארדס וואָס אַרייַננעמען פרטים ווי מקור און דעסטינאַציע IP אַדרעסן, פּאָרץ, צייטשטאַמפּס, פּאַקעט און בייט קאַונץ, און פּראָטאָקאָל טייפּס.
~ טראַפיק מאָניטאָרינגNetFlow גיט זעאונג אין נעץ טראַפיק פּאַטערנז, אַלאַוינג אַדמיניסטראַטאָרן צו ידענטיפיצירן שפּיץ אַפּלאַקיישאַנז, ענדפּוינץ און טראַפיק קוואלן.
~אנאמאליע דעטעקציעדורך אנאליזירן פלוס דאטן, קען NetFlow דעטעקטירן אנאמאליעס ווי איבערגעטריבענע באנדווידט באניץ, נעץ קאנדזשעסטשאן, אדער אומגעווענליכע טרעפיק מוסטערן.
~ זיכערהייט אנאליזNetFlow קען גענוצט ווערן צו דעטעקטירן און אויספארשן זיכערהייט אינצידענטן, ווי למשל דיסטריביוטעד דעניאַל-אָוו-סערוויס (DDoS) אטאקעס אדער נישט-אויטאריזירטע צוטריט פארזוכן.
נעטפלאָו ווערסיעסNetFlow האט זיך אנטוויקלט מיט דער צייט, און פארשידענע ווערסיעס זענען ארויסגעקומען. עטלעכע באמערקבארע ווערסיעס זענען NetFlow v5, NetFlow v9, און Flexible NetFlow. יעדע ווערסיע ברענגט פארבעסערונגען און צוגעלייגטע מעגלעכקייטן.
IPFIX:
וואָס איז IPFIX?
אן IETF סטאנדארט וואס איז ארויסגעקומען אין די פריע 2000ער יארן, אינטערנעט פראטאקאל פלאו אינפארמאציע עקספארט (IPFIX) איז גאר ענלעך צו נעטפלאו. אין פאקט, נעטפלאו v9 האט געדינט אלס די באזע פאר IPFIX. דער הויפט אונטערשייד צווישן די צוויי איז אז IPFIX איז אן אפענער סטאנדארט, און ווערט געשטיצט דורך אסאך נעטווארקינג פארקויפער אחוץ סיסקאָ. מיט דער אויסנאם פון א פאר צוגעלייגטע פעלדער אין IPFIX, זענען די פארמאטן כמעט אידענטיש. אין פאקט, IPFIX ווערט מאנchmal אפילו גערופן "נעטפלאו v10".
טיילווייז צוליב זיינע ענלעכקייטן צו NetFlow, האט IPFIX ברייטע שטיצע צווישן נעץ מאָניטאָרינג סאַלושאַנז און נעץ ויסריכט.
IPFIX (אינטערנעט פּראָטאָקאָל פלאָו אינפאָרמאַציע עקספּאָרט) איז אַן אָפענער סטאַנדאַרט פּראָטאָקאָל דעוועלאָפּעד דורך די אינטערנעט ענדזשאַנירינג טאַסק פאָרס (IETF). עס איז באַזירט אויף דער נעטפלאָו ווערסיע 9 ספּעציפיקאַציע און גיט אַ סטאַנדאַרדיזירטן פֿאָרמאַט פֿאַר עקספּאָרטירן פלאָו רעקאָרדס פֿון נעץ דעוויסעס.
IPFIX בויט אויף די קאנצעפטן פון NetFlow און פארברייטערט זיי צו פאָרשלאָגן מער בייגיקייט און אינטעראָפּעראַביליטי צווישן פאַרשידענע פאַרקויפער און דעוויסעס. עס פירט איין דעם קאנצעפט פון טעמפּלאַטעס, וואָס אַלאַוז פֿאַר דינאַמיש דעפֿיניציע פון פלאָו רעקאָרד סטרוקטור און אינהאַלט. דאָס אַלאַוז די ינקלוזשאַן פון מנהג פעלדער, שטיצע פֿאַר נייַע פּראָטאָקאָלן, און עקסטענסיביליטי.
הויפּט פֿעיִקייטן פֿון IPFIX:
~ טעמפּלאַט-באַזירט צוגאַנגIPFIX ניצט טעמפּלאַטן צו דעפינירן די סטרוקטור און אינהאַלט פון פלוס רעקאָרדס, און אָפֿערט בייגיקייט אין אַקאַמאַדירן פֿאַרשידענע דאַטן פֿעלדער און פּראָטאָקאָל-ספּעציפֿישע אינפֿאָרמאַציע.
~ אינטעראָפּעראַביליטיIPFIX איז אַן אָפענער סטאַנדאַרט, וואָס זיכערט קאָנסיסטענט פלוס מאָניטאָרינג קייפּאַבילאַטיז אַריבער פאַרשידענע נעטוואָרקינג פאַרקויפער און דעוויסעס.
~ IPv6 שטיצעIPFIX שטיצט נאַטיוו IPv6, מאַכנדיג עס פּאַסיק פֿאַר מאָניטאָרינג און אַנאַליזינג טראַפיק אין IPv6 נעטוואָרקס.
~פֿאַרבעסערטע זיכערהייטIPFIX כולל זיכערהייט פֿעיִקייטן ווי טראַנספּאָרט לייער זיכערהייט (TLS) ענקריפּשאַן און מעסעדזש אָרנטלעכקייט טשעקס צו באַשיצן די קאַנפאַדענשיאַלאַטי און אָרנטלעכקייט פון פלוס דאַטן בעשאַס טראַנסמיסיע.
IPFIX ווערט ברייט געשטיצט דורך פארשידענע נעטוואָרקינג עקוויפּמענט פאַרקויפער, מאַכנדיג עס אַ פאַרקויפער-נייטראַל און ברייט אנגענומען ברירה פֿאַר נעטוואָרק לויפן מאָניטאָרינג.
נו, וואָס איז דער חילוק צווישן NetFlow און IPFIX?
די פּשוטע ענטפֿער איז אַז NetFlow איז אַ Cisco פּראַפּרייאַטערי פּראָטאָקאָל וואָס איז איינגעפֿירט געוואָרן אַרום 1996 און IPFIX איז זײַן סטאַנדאַרדס גוף באַשטעטיקטער ברודער.
ביידע פּראָטאָקאָלן דינען דעם זעלבן צוועק: ערמעגלעכן נעץ אינזשענירן און אַדמיניסטראַטאָרן צו זאַמלען און אַנאַליזירן נעץ-לעוועל IP טראַפיק שטראָמען. סיסקאָ האָט אַנטוויקלט NetFlow אַזוי אַז זייַנע סוויטשעס און ראָוטערס קענען אַרויסגעבן די ווערטפולע אינפֿאָרמאַציע. געגעבן די דאָמינאַנץ פון סיסקאָ ויסריכט, איז NetFlow שנעל געוואָרן דער דע-פאַקטאָ סטאַנדאַרט פֿאַר נעץ טראַפיק אַנאַליז. אָבער, אינדוסטריע קאָנקורענטן האָבן איינגעזען אַז ניצן אַ פּראַפּריעטאַרי פּראָטאָקאָל קאָנטראָלירט דורך זיין הויפּט קאָנקורענט איז נישט אַ גוטע געדאַנק און דעריבער האָט די IETF געפֿירט אַן אָנשטרענגונג צו סטאַנדאַרדיזירן אַן אָפֿן פּראָטאָקאָל פֿאַר טראַפיק אַנאַליז, וואָס איז IPFIX.
IPFIX איז באזירט אויף NetFlow ווערסיע 9 און איז ארגינעל איינגעפירט געווארן ארום 2005 אבער עס האט גענומען א צאל יארן צו ווערן אנגענומען דורך דער אינדוסטריע. אין דעם פונקט זענען די צוויי פראטאקאלן אין עיקר די זעלבע און כאטש דער טערמין NetFlow איז נאך אלץ מער פארשפרייט זענען רוב אימפלעמענטאציעס (כאטש נישט אלע) קאמפאטיבל מיטן IPFIX סטאנדארט.
דאָ איז אַ טאַבעלע וואָס סומאַריזירט די אונטערשיידן צווישן NetFlow און IPFIX:
| אַספּעקט | נעטפלאָו | IPFIX |
|---|---|---|
| אָפּשטאַם | פּראַפּריעטאַרי טעכנאָלאָגיע דעוועלאָפּעד דורך סיסקאָ | אינדוסטריע-סטאַנדאַרט פּראָטאָקאָל באַזירט אויף NetFlow ווערסיע 9 |
| סטאַנדאַרדיזאַציע | סיסקאָ-ספּעציפֿישע טעכנאָלאָגיע | אפענער סטאַנדאַרט דעפינירט דורך IETF אין RFC 7011 |
| פלעקסיבילאַטי | עוואָלוציאָנערע ווערסיעס מיט ספּעציפֿישע פֿעיִקייטן | גרעסערע בייגיקייט און אינטעראָפּעראַביליטי צווישן ווענדאָרס |
| דאַטן פֿאָרמאַט | פאַרפעסטיקט-גרייס פּאַקעטן | טעמפּלאַט-באַזירט צוגאַנג פֿאַר קאַסטאַמייזאַבאַל פלאָו רעקאָרד פֿאָרמאַטן |
| טעמפּלאַט שטיצע | נישט געשטיצט | דינאַמישע טעמפּלאַטן פֿאַר פלעקסיבלע פֿעלד-איינשליסונג |
| פארקויפער שטיצע | הויפּטזעכלעך סיסקאָ דעוויסעס | ברייטע שטיצע צווישן נעטוואָרקינג פאַרקויפער |
| אויסברייטערבאַרקייט | לימיטירטע קאַסטאַמייזיישאַן | ארייננעמען פון אייגענע פעלדער און אַפּליקאַציע-ספּעציפֿישע דאַטן |
| פּראָטאָקאָל אונטערשיידן | סיסקאָ-ספּעציפֿישע וועריאַציעס | נאַטירלעכע IPv6 שטיצע, פֿאַרבעסערטע פֿלוס רעקאָרד אָפּציעס |
| זיכערהייט פֿעיִטשערז | לימיטירטע זיכערהייט פֿעיִטשערז | טראַנספּאָרט לייער זיכערהייט (TLS) ענקריפּשאַן, מעסעדזש אָרנטלעכקייט |
נעץ פלוס מאָניטאָרינגאיז די זאַמלונג, אַנאַליז און מאָניטאָרינג פון טראַפיק וואָס גייט דורך אַ געגעבענע נעץ אָדער נעץ סעגמענט. די צילן קענען זיין אַנדערש פון טראָובלעשאָאָטינג קאַנעקטיוויטי פּראָבלעמען ביז פּלאַנירונג צוקונפֿט באַנדווידט אַלאָקאַציע. פלאָו מאָניטאָרינג און פּאַקעט סאַמפּלינג קענען אפילו זיין נוציק אין ידענטיפיצירן און רימעדיאַטינג זיכערהייט פּראָבלעמען.
פלוס מאָניטאָרינג גיט נעטוואָרקינג טימז אַ גוטע אידעע ווי אַ נעטוואָרק אַרבעט, פּראַוויידינג ינסייץ אין קוילעלדיק נוצן, אַפּלאַקיישאַן נוצן, פּאָטענציעל באַטאַלנעקס, אַנאַמאַליז וואָס קען סיגנאַל זיכערהייט טרעץ, און מער. עס זענען עטלעכע פאַרשידענע סטאַנדאַרדס און פֿאָרמאַטן געניצט אין נעטוואָרק פלוס מאָניטאָרינג, אַרייַנגערעכנט NetFlow, sFlow, און Internet Protocol Flow Information Export (IPFIX). יעדער אַרבעט אין אַ ביסל אַנדערש וועג, אָבער אַלע זענען אַנדערש פון פּאָרט מירערינג און טיף פּאַקעט דורכקוק אין אַז זיי טאָן ניט כאַפּן די אינהאַלט פון יעדער פּאַקעט וואָס גייט איבער אַ פּאָרט אָדער דורך אַ סוויטש. אָבער, פלוס מאָניטאָרינג טוט צושטעלן מער אינפֿאָרמאַציע ווי SNMP, וואָס איז בכלל לימיטעד צו ברייט סטאַטיסטיק ווי קוילעלדיק פּאַקעט און באַנדווידט נוצן.
נעטוואָרק פלאָו מכשירים קאַמפּערד
| אייגנשאַפט | נעטפלאָו v5 | נעטפלאָו וו9 | sFlow | IPFIX |
| אָפֿן אָדער פּראַפּריעטאַרי | פּראַפּריעטאַרי | פּראַפּריעטאַרי | עפֿענען | עפֿענען |
| סאַמפּאַלד אָדער פלאָו באַזירט | הויפּטזעכלעך פלוס-באזירט; סאַמפּאַלד מאָדע איז בנימצא | הויפּטזעכלעך פלוס-באזירט; סאַמפּאַלד מאָדע איז בנימצא | געסאַמפּלט | הויפּטזעכלעך פלוס-באזירט; סאַמפּאַלד מאָדע איז בנימצא |
| אינפֿאָרמאַציע קאַפּטשערד | מעטאַדאַטאַ און סטאַטיסטישע אינפֿאָרמאַציע, אַרייַנגערעכנט טראַנספערירטע בייטס, אינטערפֿייס ציילערס און אַזוי ווייטער | מעטאַדאַטאַ און סטאַטיסטישע אינפֿאָרמאַציע, אַרייַנגערעכנט טראַנספערירטע בייטס, אינטערפֿייס ציילערס און אַזוי ווייטער | גאַנצע פּאַקעט כעדערס, טיילווייזע פּאַקעט פּיילאָודז | מעטאַדאַטאַ און סטאַטיסטישע אינפֿאָרמאַציע, אַרייַנגערעכנט טראַנספערירטע בייטס, אינטערפֿייס ציילערס און אַזוי ווייטער |
| אריינגאנג/ארויסגאנג מאָניטאָרינג | נאָר אַרייַנגאַנג | אריינגאנג און ארויסגאנג | אריינגאנג און ארויסגאנג | אריינגאנג און ארויסגאנג |
| IPv6/VLAN/MPLS שטיצע | No | יא | יא | יא |
פּאָסט צייט: 18טן מערץ 2024
