NetFlow i IPFIX són totes dues tecnologies utilitzades per al monitoratge i anàlisi del flux de xarxa. Proporcionen informació sobre els patrons de trànsit de xarxa, ajudant a l'optimització del rendiment, la resolució de problemes i l'anàlisi de seguretat.
NetFlow:
Què és NetFlow?
NetFlowés la solució de control de flux original, desenvolupada originalment per Cisco a finals dels anys noranta. Existeixen diverses versions diferents, però la majoria de desplegaments es basen en NetFlow v5 o NetFlow v9. Tot i que cada versió té capacitats diferents, el funcionament bàsic segueix sent el mateix:
En primer lloc, un encaminador, commutador, tallafoc o un altre tipus de dispositiu capturarà informació sobre els "fluxos" de la xarxa, bàsicament un conjunt de paquets que comparteixen un conjunt comú de característiques com l'adreça d'origen i destinació, el port d'origen i de destinació i el protocol. tipus. Després que un flux hagi quedat inactiu o hagi passat una quantitat de temps predefinida, el dispositiu exportarà els registres de flux a una entitat coneguda com a "col·lector de flux".
Finalment, un "analitzador de flux" dóna sentit a aquests registres, proporcionant informació en forma de visualitzacions, estadístiques i informes històrics detallats i en temps real. A la pràctica, els col·lectors i analitzadors solen ser una única entitat, sovint combinada en una solució de monitorització del rendiment de la xarxa més gran.
NetFlow funciona sobre una base d'estat. Quan una màquina client arriba a un servidor, NetFlow començarà a capturar i agregar metadades del flux. Un cop finalitzada la sessió, NetFlow exportarà un únic registre complet al col·lector.
Tot i que encara s'utilitza habitualment, NetFlow v5 té diverses limitacions. Els camps exportats són fixos, la supervisió només s'admet en la direcció d'entrada i les tecnologies modernes com IPv6, MPLS i VXLAN no són compatibles. NetFlow v9, també anomenat Flexible NetFlow (FNF), aborda algunes d'aquestes limitacions, permetent als usuaris crear plantilles personalitzades i afegir suport per a tecnologies més noves.
Molts venedors també tenen les seves pròpies implementacions propietat de NetFlow, com ara jFlow de Juniper i NetStream de Huawei. Tot i que la configuració pot diferir una mica, aquestes implementacions sovint produeixen registres de flux que són compatibles amb els col·lectors i analitzadors NetFlow.
Característiques principals de NetFlow:
~ Dades de flux: NetFlow genera registres de flux que inclouen detalls com ara adreces IP d'origen i de destinació, ports, marques de temps, recomptes de paquets i bytes i tipus de protocol.
~ Seguiment del trànsit: NetFlow proporciona visibilitat dels patrons de trànsit de xarxa, permetent als administradors identificar les principals aplicacions, punts finals i fonts de trànsit.
~Detecció d'anomalies: mitjançant l'anàlisi de dades de flux, NetFlow pot detectar anomalies com ara l'ús excessiu de l'ample de banda, la congestió de la xarxa o els patrons de trànsit inusuals.
~ Anàlisi de seguretat: NetFlow es pot utilitzar per detectar i investigar incidents de seguretat, com ara atacs de denegació de servei distribuït (DDoS) o intents d'accés no autoritzat.
Versions de NetFlow: NetFlow ha anat evolucionant al llarg del temps i s'han llançat diferents versions. Algunes versions notables inclouen NetFlow v5, NetFlow v9 i Flexible NetFlow. Cada versió introdueix millores i capacitats addicionals.
IPFIX:
Què és IPFIX?
Un estàndard IETF que va sorgir a principis dels anys 2000, Internet Protocol Flow Information Export (IPFIX) és extremadament similar a NetFlow. De fet, NetFlow v9 va servir de base per a IPFIX. La diferència principal entre els dos és que IPFIX és un estàndard obert i és compatible amb molts venedors de xarxes a part de Cisco. Amb l'excepció d'alguns camps addicionals afegits a IPFIX, els formats són gairebé idèntics. De fet, IPFIX de vegades fins i tot es coneix com "NetFlow v10".
A causa, en part, de les seves similituds amb NetFlow, IPFIX gaudeix d'un ampli suport entre solucions de monitorització de xarxa i equips de xarxa.
IPFIX (Internet Protocol Flow Information Export) és un protocol estàndard obert desenvolupat per Internet Engineering Task Force (IETF). Es basa en l'especificació de la versió 9 de NetFlow i proporciona un format estandarditzat per exportar registres de flux des de dispositius de xarxa.
IPFIX es basa en els conceptes de NetFlow i els amplia per oferir més flexibilitat i interoperabilitat entre diferents proveïdors i dispositius. Introdueix el concepte de plantilles, permetent la definició dinàmica de l'estructura i el contingut del registre de flux. Això permet la inclusió de camps personalitzats, suport per a nous protocols i extensibilitat.
Característiques principals d'IPFIX:
~ Enfocament basat en plantilles: IPFIX utilitza plantilles per definir l'estructura i el contingut dels registres de flux, oferint flexibilitat per acollir diferents camps de dades i informació específica del protocol.
~ Interoperabilitat: IPFIX és un estàndard obert, que garanteix capacitats de control de flux coherents entre diferents proveïdors i dispositius de xarxes.
~ Suport IPv6: IPFIX admet IPv6 de manera nativa, per la qual cosa és adequat per supervisar i analitzar el trànsit a les xarxes IPv6.
~Seguretat millorada: IPFIX inclou funcions de seguretat com ara el xifratge TLS (Transport Layer Security) i les comprovacions d'integritat dels missatges per protegir la confidencialitat i la integritat de les dades de flux durant la transmissió.
IPFIX és àmpliament compatible amb diversos proveïdors d'equips de xarxa, la qual cosa el converteix en una opció neutral per a proveïdors i àmpliament adoptada per al monitoratge del flux de xarxa.
Aleshores, quina diferència hi ha entre NetFlow i IPFIX?
La resposta senzilla és que NetFlow és un protocol propietari de Cisco introduït al voltant de 1996 i IPFIX és el seu germà aprovat per l'organisme d'estàndards.
Tots dos protocols tenen el mateix propòsit: permetre als enginyers i administradors de xarxa recopilar i analitzar els fluxos de trànsit IP a nivell de xarxa. Cisco va desenvolupar NetFlow perquè els seus commutadors i encaminadors poguessin generar aquesta valuosa informació. Donat el domini de l'equip Cisco, NetFlow es va convertir ràpidament en l'estàndard de facto per a l'anàlisi del trànsit de xarxa. Tanmateix, els competidors de la indústria es van adonar que utilitzar un protocol propietari controlat pel seu principal rival no era una bona idea i, per tant, l'IETF va liderar un esforç per estandarditzar un protocol obert per a l'anàlisi del trànsit, que és IPFIX.
IPFIX es basa en la versió 9 de NetFlow i es va introduir originalment al voltant de l'any 2005, però va trigar alguns anys a aconseguir l'adopció de la indústria. En aquest punt, els dos protocols són essencialment els mateixos i encara que el terme NetFlow és encara més freqüent, la majoria de les implementacions (encara que no totes) són compatibles amb l'estàndard IPFIX.
Aquí hi ha una taula que resumeix les diferències entre NetFlow i IPFIX:
Aspecte | NetFlow | IPFIX |
---|---|---|
Origen | Tecnologia pròpia desenvolupada per Cisco | Protocol estàndard del sector basat en la versió 9 de NetFlow |
Normalització | Tecnologia específica de Cisco | Estàndard obert definit per IETF a RFC 7011 |
Flexibilitat | Versions evolucionades amb característiques específiques | Major flexibilitat i interoperabilitat entre proveïdors |
Format de dades | Paquets de mida fixa | Enfocament basat en plantilles per a formats de registre de flux personalitzables |
Suport de plantilles | No s'admet | Plantilles dinàmiques per a la inclusió de camps flexible |
Suport al venedor | Principalment dispositius Cisco | Ampli suport entre els proveïdors de xarxes |
Extensibilitat | Personalització limitada | Inclusió de camps personalitzats i dades específiques de l'aplicació |
Diferències de protocol | Variacions específiques de Cisco | Compatibilitat nativa amb IPv6, opcions de registre de flux millorades |
Característiques de seguretat | Característiques de seguretat limitades | Xifratge de seguretat de la capa de transport (TLS), integritat del missatge |
Monitorització del flux de xarxaés la recollida, l'anàlisi i el seguiment del trànsit que travessa una xarxa o segment de xarxa determinats. Els objectius poden variar des de resoldre problemes de connectivitat fins a planificar una futura assignació d'ample de banda. El control de flux i el mostreig de paquets poden ser útils fins i tot per identificar i solucionar problemes de seguretat.
La supervisió del flux ofereix als equips de xarxa una bona idea de com funciona una xarxa, proporcionant informació sobre la utilització general, l'ús d'aplicacions, possibles colls d'ampolla, anomalies que poden indicar amenaces de seguretat i molt més. Hi ha diversos estàndards i formats diferents utilitzats en la supervisió del flux de xarxa, com ara NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Cadascun funciona d'una manera lleugerament diferent, però tots es diferencien de la rèplica de ports i la inspecció profunda de paquets, ja que no capturen el contingut de cada paquet que passa per un port o per un commutador. Tanmateix, el control de flux proporciona més informació que SNMP, que generalment es limita a estadístiques àmplies com l'ús global de paquets i ample de banda.
Comparació d'eines de flux de xarxa
Característica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Obert o propietari | Propietari | Propietari | Obert | Obert |
Mostrat o basat en flux | Basat principalment en el flux; El mode mostra està disponible | Basat principalment en el flux; El mode mostra està disponible | Mostrat | Basat principalment en el flux; El mode mostra està disponible |
Informació capturada | Metadades i informació estadística, incloent bytes transferits, comptadors d'interfícies, etc | Metadades i informació estadística, incloent bytes transferits, comptadors d'interfícies, etc | Capçaleres completes de paquets, càrregues útils de paquets parcials | Metadades i informació estadística, incloent bytes transferits, comptadors d'interfícies, etc |
Monitorització d'entrada/sortida | Només entrada | Entrada i sortida | Entrada i sortida | Entrada i sortida |
Suport IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Hora de publicació: 18-mar-2024