NetFlow و IPFIX هر دو فناوری هایی هستند که برای نظارت و تجزیه و تحلیل جریان شبکه استفاده می شوند. آنها بینشی در مورد الگوهای ترافیک شبکه ارائه می دهند، به بهینه سازی عملکرد، عیب یابی و تجزیه و تحلیل امنیتی کمک می کنند.
NetFlow:
NetFlow چیست؟
NetFlowراه حل اصلی نظارت بر جریان است که در ابتدا توسط سیسکو در اواخر دهه 1990 توسعه یافت. چندین نسخه مختلف وجود دارد، اما بیشتر استقرارها بر اساس NetFlow v5 یا NetFlow v9 هستند. در حالی که هر نسخه دارای قابلیت های متفاوتی است، عملیات اصلی یکسان باقی می ماند:
اول، یک روتر، سوئیچ، فایروال یا نوع دیگری از دستگاه، اطلاعاتی را در «جریانهای» شبکه جمعآوری میکند – اساساً مجموعهای از بستهها که مجموعهای از ویژگیهای مشترک مانند آدرس مبدا و مقصد، منبع، پورت مقصد و پروتکل را به اشتراک میگذارند. نوع پس از اینکه یک جریان غیرفعال شد یا مدت زمان از پیش تعریف شده سپری شد، دستگاه سوابق جریان را به نهادی به نام «جمعکننده جریان» صادر میکند.
در نهایت، یک «آنالیزگر جریان» آن سوابق را معنا میکند و بینشهایی را در قالب تجسم، آمار و گزارشهای تاریخی و لحظهای دقیق ارائه میکند. در عمل، جمع کننده ها و تحلیلگرها اغلب یک موجودیت واحد هستند که اغلب در یک راه حل نظارت بر عملکرد شبکه بزرگتر ترکیب می شوند.
NetFlow بر اساس وضعیت عمل می کند. هنگامی که یک ماشین سرویس گیرنده به یک سرور دسترسی پیدا می کند، NetFlow شروع به جمع آوری و جمع آوری ابرداده از جریان می کند. پس از پایان جلسه، NetFlow یک رکورد کامل را به جمع کننده صادر می کند.
اگرچه هنوز هم معمولاً مورد استفاده قرار می گیرد، NetFlow v5 تعدادی محدودیت دارد. فیلدهای صادر شده ثابت هستند، نظارت فقط در جهت ورودی پشتیبانی می شود و فناوری های مدرن مانند IPv6، MPLS و VXLAN پشتیبانی نمی شوند. NetFlow v9 که با نام NetFlow انعطافپذیر (FNF) نیز شناخته میشود، برخی از این محدودیتها را برطرف میکند و به کاربران اجازه میدهد تا قالبهای سفارشی بسازند و از فناوریهای جدیدتر پشتیبانی کنند.
بسیاری از فروشندگان نیز پیاده سازی های اختصاصی NetFlow خود را دارند، مانند jFlow از Juniper و NetStream از Huawei. اگرچه پیکربندی ممکن است تا حدودی متفاوت باشد، این پیاده سازی ها اغلب رکوردهای جریانی را تولید می کنند که با جمع کننده ها و تحلیلگرهای NetFlow سازگار هستند.
ویژگی های کلیدی NetFlow:
~ داده های جریان: NetFlow رکوردهای جریانی را تولید می کند که شامل جزئیاتی مانند آدرس های IP مبدا و مقصد، پورت ها، مهرهای زمانی، تعداد بسته ها و بایت ها و انواع پروتکل است.
~ نظارت بر ترافیک: NetFlow امکان مشاهده الگوهای ترافیک شبکه را فراهم می کند و به مدیران اجازه می دهد تا برنامه های کاربردی برتر، نقاط پایانی و منابع ترافیک را شناسایی کنند.
~تشخیص ناهنجاری: با تجزیه و تحلیل داده های جریان، NetFlow می تواند ناهنجاری هایی مانند استفاده بیش از حد از پهنای باند، ازدحام شبکه یا الگوهای ترافیک غیرعادی را تشخیص دهد.
~ تجزیه و تحلیل امنیتی: NetFlow می تواند برای شناسایی و بررسی حوادث امنیتی، مانند حملات انکار سرویس توزیع شده (DDoS) یا تلاش برای دسترسی غیرمجاز استفاده شود.
نسخه های NetFlow: NetFlow در طول زمان تکامل یافته است و نسخه های مختلفی منتشر شده است. برخی از نسخه های قابل توجه عبارتند از NetFlow v5، NetFlow v9 و Flexible NetFlow. هر نسخه پیشرفت ها و قابلیت های اضافی را معرفی می کند.
IPFIX:
IPFIX چیست؟
یک استاندارد IETF که در اوایل دهه 2000 ظهور کرد، صادرات اطلاعات جریان پروتکل اینترنت (IPFIX) بسیار شبیه به NetFlow است. در واقع، NetFlow v9 به عنوان پایه ای برای IPFIX عمل کرد. تفاوت اصلی بین این دو این است که IPFIX یک استاندارد باز است و توسط بسیاری از فروشندگان شبکه به غیر از سیسکو پشتیبانی می شود. به استثنای چند فیلد اضافی اضافه شده در IPFIX، فرمت ها تقریباً یکسان هستند. در واقع، IPFIX گاهی اوقات حتی به عنوان "NetFlow v10" نیز شناخته می شود.
IPFIX به دلیل شباهت هایش با NetFlow از پشتیبانی گسترده ای در میان راه حل های نظارت بر شبکه و همچنین تجهیزات شبکه برخوردار است.
IPFIX (صادرات اطلاعات جریان پروتکل اینترنت) یک پروتکل استاندارد باز است که توسط گروه وظیفه مهندسی اینترنت (IETF) توسعه یافته است. این بر اساس مشخصات NetFlow نسخه 9 است و یک قالب استاندارد برای صادرات سوابق جریان از دستگاه های شبکه ارائه می دهد.
IPFIX مبتنی بر مفاهیم NetFlow است و آنها را برای ارائه انعطافپذیری و قابلیت همکاری بیشتر در بین فروشندگان و دستگاههای مختلف گسترش میدهد. این مفهوم الگوها را معرفی می کند و امکان تعریف پویا از ساختار و محتوای رکورد جریان را فراهم می کند. این امکان گنجاندن فیلدهای سفارشی، پشتیبانی از پروتکل های جدید و توسعه پذیری را فراهم می کند.
ویژگی های کلیدی IPFIX:
~ رویکرد مبتنی بر الگو: IPFIX از الگوها برای تعریف ساختار و محتوای سوابق جریان استفاده میکند و انعطافپذیری را در انطباق با فیلدهای مختلف داده و اطلاعات خاص پروتکل ارائه میدهد.
~ قابلیت همکاری: IPFIX یک استاندارد باز است که از قابلیت های نظارت جریان ثابت در فروشندگان و دستگاه های مختلف شبکه اطمینان می دهد.
~ پشتیبانی IPv6: IPFIX به طور بومی از IPv6 پشتیبانی می کند و آن را برای نظارت و تجزیه و تحلیل ترافیک در شبکه های IPv6 مناسب می کند.
~امنیت پیشرفته: IPFIX شامل ویژگی های امنیتی مانند رمزگذاری لایه حمل و نقل (TLS) و بررسی یکپارچگی پیام برای محافظت از محرمانه بودن و یکپارچگی داده های جریان در طول انتقال است.
IPFIX به طور گسترده توسط فروشندگان تجهیزات شبکه پشتیبانی می شود و آن را به گزینه ای بی طرف از فروشنده و به طور گسترده برای نظارت بر جریان شبکه تبدیل می کند.
بنابراین، تفاوت بین NetFlow و IPFIX چیست؟
پاسخ ساده این است که NetFlow یک پروتکل اختصاصی سیسکو است که در حدود سال 1996 معرفی شد و IPFIX برادر تایید شده توسط بدنه استاندارد آن است.
هر دو پروتکل یک هدف را دنبال می کنند: مهندسان و مدیران شبکه را قادر می سازند تا جریان های ترافیک IP سطح شبکه را جمع آوری و تجزیه و تحلیل کنند. سیسکو NetFlow را توسعه داد تا سوئیچ ها و روترهایش بتوانند این اطلاعات ارزشمند را خروجی دهند. با توجه به تسلط سیسکو، NetFlow به سرعت تبدیل به استاندارد واقعی برای تجزیه و تحلیل ترافیک شبکه شد. با این حال، رقبای صنعت متوجه شدند که استفاده از یک پروتکل اختصاصی که توسط رقیب اصلی آن کنترل می شود ایده خوبی نیست و از این رو IETF تلاشی را برای استانداردسازی یک پروتکل باز برای تجزیه و تحلیل ترافیک، که IPFIX است، انجام داد.
IPFIX بر اساس NetFlow نسخه 9 است و در ابتدا در حدود سال 2005 معرفی شد، اما چند سال طول کشید تا صنعت مورد استفاده قرار گیرد. در این مرحله، این دو پروتکل اساساً یکسان هستند و اگرچه اصطلاح NetFlow همچنان رایجتر است، اکثر پیادهسازیها (اگرچه نه همه) با استاندارد IPFIX سازگار هستند.
در اینجا جدولی است که تفاوت های بین NetFlow و IPFIX را خلاصه می کند:
| جنبه | NetFlow | IPFIX |
|---|---|---|
| مبدا | فناوری اختصاصی توسعه یافته توسط سیسکو | پروتکل استاندارد صنعتی مبتنی بر NetFlow نسخه 9 |
| استانداردسازی | تکنولوژی خاص سیسکو | استاندارد باز تعریف شده توسط IETF در RFC 7011 |
| انعطاف پذیری | نسخه های تکامل یافته با ویژگی های خاص | انعطاف پذیری و قابلیت همکاری بیشتر بین فروشندگان |
| فرمت داده ها | بسته های با اندازه ثابت | رویکرد مبتنی بر الگو برای فرمتهای ضبط جریان قابل تنظیم |
| پشتیبانی از قالب | پشتیبانی نمی شود | الگوهای پویا برای گنجاندن میدان انعطاف پذیر |
| پشتیبانی فروشنده | در درجه اول دستگاه های سیسکو | پشتیبانی گسترده در میان فروشندگان شبکه |
| توسعه پذیری | سفارشی سازی محدود | گنجاندن فیلدهای سفارشی و داده های خاص برنامه |
| تفاوت های پروتکل | تغییرات خاص سیسکو | پشتیبانی از IPv6 بومی، گزینه های ضبط جریان پیشرفته |
| ویژگی های امنیتی | ویژگی های امنیتی محدود | رمزگذاری لایه حمل و نقل (TLS)، یکپارچگی پیام |
نظارت بر جریان شبکهجمع آوری، تجزیه و تحلیل و نظارت بر ترافیک عبوری از یک شبکه یا بخش شبکه معین است. اهداف ممکن است از عیب یابی مشکلات اتصال تا برنامه ریزی تخصیص پهنای باند آینده متفاوت باشد. نظارت بر جریان و نمونه برداری بسته حتی می تواند در شناسایی و رفع مشکلات امنیتی مفید باشد.
نظارت جریان به تیم های شبکه ایده خوبی از نحوه عملکرد یک شبکه می دهد، بینش هایی در مورد استفاده کلی، استفاده از برنامه، تنگناهای بالقوه، ناهنجاری هایی که ممکن است تهدیدات امنیتی را نشان دهند و موارد دیگر ارائه می دهد. چندین استاندارد و فرمت مختلف در نظارت بر جریان شبکه استفاده می شود، از جمله NetFlow، sFlow و Internet Protocol Flow Export (IPFIX). هر کدام به روشی اندکی متفاوت عمل می کنند، اما همه آنها از انعکاس پورت و بازرسی بسته عمیق متمایز هستند زیرا محتویات هر بسته ای را که از روی یک پورت یا از طریق یک سوئیچ عبور می کند، نمی گیرد. با این حال، نظارت بر جریان اطلاعات بیشتری نسبت به SNMP ارائه میکند، که عموماً به آمارهای گسترده مانند استفاده از بستهها و پهنای باند کلی محدود میشود.
مقایسه ابزارهای جریان شبکه
| ویژگی | NetFlow نسخه 5 | NetFlow نسخه 9 | sFlow | IPFIX |
| باز یا اختصاصی | اختصاصی | اختصاصی | باز کنید | باز کنید |
| نمونه برداری یا بر اساس جریان | اساساً بر اساس جریان. حالت نمونه در دسترس است | اساساً بر اساس جریان. حالت نمونه در دسترس است | نمونه برداری شد | اساساً بر اساس جریان. حالت نمونه در دسترس است |
| اطلاعات گرفته شده | فراداده و اطلاعات آماری، از جمله بایت های منتقل شده، شمارنده های رابط و غیره | فراداده و اطلاعات آماری، از جمله بایت های منتقل شده، شمارنده های رابط و غیره | هدرهای بسته کامل، بارهای بسته جزئی | فراداده و اطلاعات آماری، از جمله بایت های منتقل شده، شمارنده های رابط و غیره |
| نظارت بر ورود/خروج | فقط ورود | ورود و خروج | ورود و خروج | ورود و خروج |
| پشتیبانی IPv6/VLAN/MPLS | No | بله | بله | بله |
زمان ارسال: مارس-18-2024
