NetFlow و IPFIX هر دو فناوری هستند که برای نظارت و تجزیه و تحلیل جریان شبکه استفاده می شوند. آنها بینش هایی در مورد الگوهای ترافیک شبکه ، کمک به بهینه سازی عملکرد ، عیب یابی و تجزیه و تحلیل امنیتی ارائه می دهند.
NetFlow:
Netflow چیست؟
گرگراه حل اصلی نظارت بر جریان است که در ابتدا توسط سیسکو در اواخر دهه 1990 ساخته شده است. چندین نسخه مختلف وجود دارد ، اما بیشتر استقرارها بر اساس NetFlow V5 یا NetFlow V9 است. در حالی که هر نسخه از قابلیت های متفاوتی برخوردار است ، عملکرد اصلی یکسان است:
ابتدا ، یک روتر ، سوئیچ ، فایروال یا نوع دیگری از دستگاه اطلاعات مربوط به "جریان" شبکه را ضبط می کند - اساساً مجموعه ای از بسته ها که مجموعه مشترکی از خصوصیات مانند آدرس منبع و مقصد ، منبع و درگاه مقصد و نوع پروتکل را به اشتراک می گذارند. پس از گذشت یک جریان خفته یا مدت زمان از پیش تعریف شده ، دستگاه سوابق جریان را به یک نهاد معروف به "جمع کننده جریان" صادر می کند.
سرانجام ، "آنالایزر جریان" این سوابق را حس می کند و بینش هایی را در قالب تجسم ، آمار و گزارش های دقیق تاریخی و در زمان واقعی ارائه می دهد. در عمل ، کلکسیونرها و آنالیزورها اغلب یک نهاد واحد هستند که اغلب در یک راه حل نظارت بر عملکرد شبکه بزرگتر ترکیب می شوند.
Netflow به صورت دولتی فعالیت می کند. هنگامی که یک دستگاه مشتری به سرور می رسد ، Netflow شروع به ضبط و جمع آوری ابرداده از جریان خواهد کرد. پس از خاتمه جلسه ، Netflow یک رکورد کامل را به جمع کننده صادر می کند.
اگرچه هنوز هم معمولاً مورد استفاده قرار می گیرد ، Netflow V5 محدودیت های مختلفی دارد. زمینه های صادر شده ثابت هستند ، نظارت فقط در جهت ورود به سیستم پشتیبانی می شود و فن آوری های مدرن مانند IPv6 ، MPLS و VXLAN پشتیبانی نمی شوند. Netflow V9 ، همچنین به عنوان انعطاف پذیر Netflow (FNF) ، به برخی از این محدودیت ها می پردازد و به کاربران امکان می دهد تا الگوهای سفارشی بسازند و از فناوری های جدیدتر پشتیبانی کنند.
بسیاری از فروشندگان همچنین پیاده سازی اختصاصی خود را از Netflow مانند JFlow از Juniper و NetStream از Huawei دارند. اگرچه پیکربندی ممکن است تا حدودی متفاوت باشد ، این پیاده سازی ها اغلب سوابق جریان را تولید می کنند که با جمع کننده ها و آنالیزورهای NetFlow سازگار است.
ویژگی های اصلی Netflow:
~ داده های جریان: NetFlow سوابق جریان را تولید می کند که شامل جزئیاتی از قبیل آدرس های منبع و مقصد IP ، پورت ها ، جدول زمانی ، بسته ها و تعداد بایت و انواع پروتکل است.
~ نظارت: NetFlow دید را به الگوهای ترافیک شبکه ارائه می دهد و به مدیران این امکان را می دهد تا برنامه های برتر ، نقاط پایانی و منابع ترافیکی را شناسایی کنند.
~تشخیص ناهنجاری: با تجزیه و تحلیل داده های جریان ، NetFlow می تواند ناهنجاری هایی مانند استفاده از پهنای باند بیش از حد ، احتقان شبکه یا الگوهای ترافیکی غیرمعمول را تشخیص دهد.
~ تحلیل امنیتی: NetFlow می تواند برای تشخیص و بررسی حوادث امنیتی مانند حملات توزیع خدمات (DDOS) توزیع شده یا تلاش های دسترسی غیرمجاز استفاده شود.
نسخه های NetFlow: Netflow با گذشت زمان تکامل یافته و نسخه های مختلفی منتشر شده است. برخی از نسخه های قابل توجه شامل Netflow V5 ، NetFlow V9 و NetFlow انعطاف پذیر است. هر نسخه پیشرفت ها و قابلیت های اضافی را معرفی می کند.
ipfix:
IPFIX چیست؟
یک استاندارد IETF که در اوایل دهه 2000 پدیدار شد ، صادرات اطلاعات جریان پروتکل اینترنت (IPFIX) بسیار شبیه NetFlow است. در حقیقت ، Netflow V9 به عنوان پایه ای برای IPFIX خدمت کرده است. تفاوت اصلی این دو در این است که IPFIX یک استاندارد باز است و توسط بسیاری از فروشندگان شبکه جدا از سیسکو پشتیبانی می شود. به استثنای چند زمینه اضافی اضافه شده در IPFIX ، قالب ها در غیر این صورت تقریباً یکسان هستند. در حقیقت ، IPFIX حتی گاهی اوقات به عنوان "NetFlow V10" گفته می شود.
IPFIX به دلیل شباهت های خود با Netflow ، از پشتیبانی گسترده ای در بین راه حل های نظارت بر شبکه و همچنین تجهیزات شبکه برخوردار است.
IPFIX (صادرات اطلاعات جریان پروتکل اینترنت) یک پروتکل استاندارد باز است که توسط کارگروه مهندسی اینترنت (IETF) تهیه شده است. این بنا بر اساس مشخصات NetFlow نسخه 9 است و یک قالب استاندارد برای صادرات سوابق جریان از دستگاه های شبکه ارائه می دهد.
IPFIX مفاهیم NetFlow را بنا می کند و آنها را گسترش می دهد تا انعطاف پذیری و قابلیت همکاری بیشتری را در بین فروشندگان و دستگاه های مختلف ارائه دهند. این مفهوم الگوها را معرفی می کند ، و این امکان را برای تعریف پویا از ساختار ضبط جریان و محتوا فراهم می کند. این امر امکان ورود به زمینه های سفارشی ، پشتیبانی از پروتکل های جدید و قابلیت گسترش را فراهم می کند.
ویژگی های اصلی IPFIX:
~ رویکرد مبتنی بر الگوی: IPFIX از الگوهای برای تعریف ساختار و محتوای سوابق جریان استفاده می کند ، و انعطاف پذیری را در اسکان در زمینه های مختلف داده و اطلاعات خاص پروتکل ارائه می دهد.
~ قابلیت همکاری: IPFIX یک استاندارد باز است و از قابلیت های مانیتورینگ ثابت جریان در بین فروشندگان و دستگاه های مختلف شبکه اطمینان حاصل می کند.
~ پشتیبانی IPv6: IPFIX به طور بومی از IPv6 پشتیبانی می کند ، و آن را برای نظارت و تجزیه و تحلیل ترافیک در شبکه های IPv6 مناسب می کند.
~امنیت پیشرفته: IPFIX شامل ویژگی های امنیتی مانند رمزگذاری Layer Security (TLS) و بررسی یکپارچگی پیام برای محافظت از محرمانه بودن و یکپارچگی داده های جریان در هنگام انتقال است.
IPFIX به طور گسترده توسط فروشندگان تجهیزات مختلف شبکه پشتیبانی می شود ، و آن را به عنوان یک انتخابی خنثی و به طور گسترده اتخاذ شده برای نظارت بر جریان شبکه تبدیل می کند.
بنابراین ، تفاوت بین NetFlow و IPFIX چیست؟
پاسخ ساده این است که Netflow یک پروتکل اختصاصی سیسکو است که در حدود سال 1996 معرفی شده است و IPFIX برادر تأیید شده توسط بدنه آن است.
هر دو پروتکل به همان هدف خدمت می کنند: مهندسان و سرپرستان شبکه را قادر می سازند تا سطح ترافیک IP سطح شبکه را جمع آوری و تجزیه و تحلیل کنند. سیسکو Netflow را توسعه داد تا سوئیچ ها و روترهای آن بتوانند این اطلاعات ارزشمند را تولید کنند. با توجه به تسلط دنده سیسکو ، Netflow به سرعت به استاندارد DE-FACTO برای تجزیه و تحلیل ترافیک شبکه تبدیل شد. با این حال ، رقبای صنعت فهمیدند که استفاده از یک پروتکل اختصاصی که توسط رقیب اصلی آن کنترل می شود ایده خوبی نیست و از این رو IETF تلاش برای استاندارد سازی یک پروتکل باز برای تجزیه و تحلیل ترافیک ، که IPFIX است ، انجام داد.
IPFIX مبتنی بر نسخه 9 Netflow است و در ابتدا در حدود سال 2005 معرفی شد اما چندین سال برای به دست آوردن تصویب صنعت طول کشید. در این مرحله ، این دو پروتکل اساساً یکسان هستند و اگرچه اصطلاح NetFlow هنوز هم بیشتر اجراها شیوع دارد (هرچند همه) با استاندارد IPFIX سازگار هستند.
در اینجا یک جدول خلاصه تفاوت های بین NetFlow و IPFIX وجود دارد:
| جنبه | گرگ | با هم |
|---|---|---|
| منشاء | فناوری اختصاصی که توسط سیسکو ساخته شده است | پروتکل استاندارد صنعت بر اساس نسخه 9 Netflow |
| استاندارد سازی | فناوری خاص سیسکو | استاندارد باز تعریف شده توسط IETF در RFC 7011 |
| انعطاف پذیری | نسخه های تکامل یافته با ویژگی های خاص | انعطاف پذیری و قابلیت همکاری بیشتر در بین فروشندگان |
| قالب داده ها | بسته های با اندازه ثابت | رویکرد مبتنی بر الگوی برای قالب های ضبط جریان قابل تنظیم |
| پشتیبانی الگو | پشتیبانی نشده است | الگوهای پویا برای ورود به میدان انعطاف پذیر |
| پشتیبانی فروشنده | در درجه اول دستگاه های سیسکو | پشتیبانی گسترده در بین فروشندگان شبکه |
| قابلیت گسترش | سفارشی سازی محدود | گنجاندن قسمتهای سفارشی و داده های خاص برنامه |
| تفاوت پروتکل | تغییرات خاص سیسکو | پشتیبانی IPv6 بومی ، گزینه های پیشرفته ضبط جریان |
| ویژگی های امنیتی | ویژگی های امنیتی محدود | رمزگذاری Security Layer Security (TLS) ، یکپارچگی پیام |
نظارت بر جریان شبکهجمع آوری ، تجزیه و تحلیل و نظارت بر ترافیک در حال گذر از یک شبکه یا بخش شبکه معین است. اهداف ممکن است از عیب یابی مسائل اتصال به برنامه ریزی تخصیص پهنای باند آینده متفاوت باشد. نظارت بر جریان و نمونه گیری بسته حتی می تواند در شناسایی و اصلاح مسائل امنیتی مفید باشد.
نظارت بر جریان به تیم های شبکه ایده خوبی در مورد نحوه عملکرد یک شبکه می دهد ، و بینش هایی در مورد استفاده کلی ، استفاده از برنامه ، تنگناهای بالقوه ، ناهنجاری هایی که ممکن است نشانگر تهدیدات امنیتی و موارد دیگر باشد ، ارائه می دهد. چندین استاندارد و قالب های مختلف در نظارت بر جریان شبکه استفاده می شود ، از جمله صادرات اطلاعات جریان NetFlow ، Sflow و Internet Protocol (IPFIX). هر یک به روشی کمی متفاوت کار می کنند ، اما همه از بازرسی از بندر و بسته های عمیق متمایز هستند زیرا محتویات هر بسته ای را که از طریق درگاه یا از طریق سوئیچ عبور می کند ، ضبط نمی کنند. با این حال ، نظارت بر جریان اطلاعات بیشتری نسبت به SNMP ارائه می دهد ، که به طور کلی به آمار گسترده ای مانند بسته های کلی و استفاده از پهنای باند محدود می شود.
ابزارهای جریان شبکه مقایسه شده است
| نشان | Netflow v5 | Netflow V9 | گل | با هم |
| باز یا اختصاصی | اختصاصی | اختصاصی | باز | باز |
| نمونه برداری یا مبتنی بر جریان | در درجه اول مبتنی بر جریان ؛ حالت نمونه برداری در دسترس است | در درجه اول مبتنی بر جریان ؛ حالت نمونه برداری در دسترس است | نمونه برداری | در درجه اول مبتنی بر جریان ؛ حالت نمونه برداری در دسترس است |
| اطلاعات ضبط شده | ابرداده و اطلاعات آماری ، از جمله بایت های منتقل شده ، پیشخوان های رابط و غیره | ابرداده و اطلاعات آماری ، از جمله بایت های منتقل شده ، پیشخوان های رابط و غیره | هدر بسته های کامل ، بارهای بسته بندی جزئی | ابرداده و اطلاعات آماری ، از جمله بایت های منتقل شده ، پیشخوان های رابط و غیره |
| نظارت/نظارت بر. | فقط ورود | جنجال | جنجال | جنجال |
| پشتیبانی IPv6/VLAN/MPLS | No | بله | بله | بله |
زمان پست: مارس 18-2024
