Netflow ו- IPFIX הן שניהם טכנולוגיות המשמשות לניטור וניתוח זרימת רשת. הם מספקים תובנות לגבי דפוסי תנועה ברשת, ומסייעים באופטימיזציה של ביצועים, פתרון בעיות וניתוח אבטחה.
Netflow:
מה זה נטפלו?
נטףהוא פיתרון ניטור הזרימה המקורי, שפותח במקור על ידי סיסקו בסוף שנות התשעים. קיימות מספר גרסאות שונות, אך מרבית הפריסות מבוססות על Netflow V5 או Netflow V9. בעוד שלכל גרסה יכולות שונות, הפעולה הבסיסית נותרה זהה:
ראשית, נתב, מתג, חומת אש או סוג אחר של מכשיר ישלכו מידע ברשת "זרימת" - בעיקרון קבוצה של מנות החולקות קבוצה משותפת של מאפיינים כמו כתובת מקור ויעד, מקור ויציאת יעד וסוג הפרוטוקול. לאחר שזרימה נעלמה רדומה או שחלף זמן מוגדר מראש, המכשיר ייצא את רשומות הזרימה לישות המכונה "אספן זרימה".
לבסוף, "מנתח זרימה" הגיוני מהרישומים הללו, ומספק תובנות בצורה של הדמיות, סטטיסטיקות ודיווח היסטורי ומפורט בזמן אמת. בפועל, אספנים ומנתחים הם לרוב ישות יחידה, המשולבת לעתים קרובות לפיתרון גדול יותר של ביצועי רשת.
Netflow פועלת על בסיס מדינה. כאשר מכונת לקוח תושיט יד לשרת, Netflow תתחיל ללכוד ולהצטבר מטא נתונים מהזרימה. לאחר סיום הפגישה, Netflow תייצא רשומה שלמה אחת לאספן.
אף על פי שהוא עדיין נפוץ, ל- Netflow V5 יש מספר מגבלות. השדות המיוצאים קבועים, הניטור נתמך רק בכיוון הכניסה, וטכנולוגיות מודרניות כמו IPv6, MPLS ו- VXLAN אינן נתמכות. Netflow V9, ממותגת גם כ- Netflow גמישה (FNF), מטפלת בחלק מהמגבלות הללו, ומאפשרת למשתמשים לבנות תבניות מותאמות אישית ולהוסיף תמיכה לטכנולוגיות חדשות יותר.
לספקים רבים יש גם יישומים קנייניים משלהם של נטפלו, כמו Jflow מ- Juniper ו- Netstream מ- Huawei. אף על פי שהתצורה עשויה להיות שונה במקצת, יישומים אלה מייצרים לרוב רשומות זרימה התואמות לאספני נטפים ומנתחים.
תכונות עיקריות של נטפלו:
~ נתוני זרימה: NetFlow מייצר רשומות זרימה הכוללות פרטים כמו כתובות IP של מקור ויעד, יציאות, חותמות זמן, ספירת מנות ובתים וסוגי פרוטוקול.
~ ניטור תנועה: NetFlow מספק נראות לדפוסי תנועה ברשת, ומאפשר למנהלים לזהות יישומים מובילים, נקודות קצה ומקורות תנועה.
~איתור אנומליה: על ידי ניתוח נתוני זרימה, NetFlow יכולה לאתר חריגות כמו ניצול רוחב פס מוגזם, עומס רשת או דפוסי תנועה חריגים.
~ ניתוח אבטחה: ניתן להשתמש ב- NetFlow כדי לאתר ולחקור אירועי אבטחה, כגון התקפות של הכחשת שירות (DDOS) או ניסיונות גישה לא מורשים.
גרסאות Netflow: Netflow התפתחה עם הזמן, ושוחררו גרסאות שונות. כמה גרסאות בולטות כוללות את Netflow V5, Netflow V9 ו- Netflow גמישות. כל גרסה מציגה שיפורים ויכולות נוספות.
IPFIX:
מה זה IPFIX?
תקן IETF שהופיע בתחילת שנות האלפיים, ייצוא מידע על זרימת פרוטוקול אינטרנט (IPFIX) דומה ביותר ל- NetFlow. למעשה, Netflow V9 שימשה את הבסיס ל- IPFIX. ההבדל העיקרי בין השניים הוא ש- IPFIX הוא תקן פתוח, והוא נתמך על ידי ספקי רשת רבים מלבד סיסקו. למעט כמה שדות נוספים שנוספו ב- IPFIX, הפורמטים כמעט זהים. למעשה, IPFIX מכונה לפעמים אפילו "Netflow V10".
בחלקו בין קווי הדמיון שלה ל- Netflow, IPFIX נהנית מתמיכה רחבה בקרב פתרונות ניטור רשת כמו גם ציוד רשת.
IPFIX (ייצוא מידע על זרימת פרוטוקול אינטרנט) הוא פרוטוקול סטנדרטי פתוח שפותח על ידי כוח המשימה להנדסת אינטרנט (IETF). זה מבוסס על מפרט NetFlow גרסה 9 ומספק פורמט סטנדרטי לייצוא רשומות זרימה ממכשירי רשת.
IPFIX בונה על המושגים של נטפים ומרחיב אותם כדי להציע גמישות ויכולת פעולה הדדית יותר בין ספקים ומכשירים שונים. זה מציג את מושג התבניות, ומאפשר הגדרה דינאמית של מבנה ותוכן רשומות זרימה. זה מאפשר הכללת שדות מותאמים אישית, תמיכה בפרוטוקולים חדשים והרחבה.
תכונות מפתח של IPFIX:
~ גישה מבוססת תבנית: IPFIX משתמש בתבניות כדי להגדיר את המבנה והתוכן של רשומות הזרימה, ומציע גמישות בכדי להכיל שדות נתונים שונים ומידע ספציפי לפרוטוקול.
~ יכולת פעולה הדדית: IPFIX הוא תקן פתוח, ומבטיח יכולות ניטור זרימה עקבית על פני ספקי רשת ומכשירים שונים.
~ תמיכה ב- IPv6: IPFIX תומך באופן טבעי ב- IPv6, מה שהופך אותו מתאים לניטור וניתוח התנועה ברשתות IPv6.
~אבטחה משופרת: IPFIX כולל תכונות אבטחה כגון הצפנה של אבטחת שכבת תובלה (TLS) ובדיקות שלמות הודעות כדי להגן על סודיות ושלמות נתוני הזרימה במהלך ההעברה.
IPFIX נתמך באופן נרחב על ידי ספקי ציוד רשת שונים, מה שהופך אותו לבחירה נייטרלית-ספקית ומאומצת באופן נרחב לניטור זרימת רשת.
אז מה ההבדל בין Netflow ל- IPFIX?
התשובה הפשוטה היא ש- Netflow הוא פרוטוקול קנייני של סיסקו שהוצג בסביבות 1996 ו- IPFIX הוא אחיה מאושר על גוף הסטנדרטים.
שני הפרוטוקולים משרתים את אותה מטרה: מאפשרת למהנדסי רשת ומנהלי מערכת לאסוף ולנתח את זרימת התעבורה של IP ברמת הרשת. סיסקו פיתח את נטפלו כך שהמתגים והנתבים שלה יוכלו להגיש מידע חשוב זה. בהתחשב בדומיננטיות של ציוד סיסקו, נטפלו הפכה במהרה לתקן דה-פקטו לניתוח תנועה ברשת. עם זאת, מתחרים בתעשייה הבינו ששימוש בפרוטוקול קנייני שנשלט על ידי יריבו הראשי לא היה רעיון טוב ומכאן שה- IETF הוביל מאמץ לתקנן פרוטוקול פתוח לניתוח תנועה, שהוא IPFIX.
IPFIX מבוסס על גרסת 9 של NetFlow והוצגה במקור בסביבות 2005 אך לקח מספר שנים להשיג אימוץ בתעשייה. בשלב זה, שני הפרוטוקולים זהים בעיקרם ולמרות שהמונח נטף עדיין נפוץ יותר מרבית היישומים (אם כי לא כולם) תואמים לתקן IPFIX.
להלן טבלה המסכמת את ההבדלים בין Netflow ל- IPFIX:
| אַספֶּקט | נטף | IPFIX |
|---|---|---|
| מָקוֹר | טכנולוגיה קניינית שפותחה על ידי סיסקו | פרוטוקול סטנדרטי בתעשייה המבוסס על גרסת Netflow 9 |
| תְקִינָה | טכנולוגיה ספציפית לסיסקו | תקן פתוח שהוגדר על ידי IETF ב- RFC 7011 |
| גְמִישׁוּת | גרסאות התפתחו עם תכונות ספציפיות | גמישות ויכולת פעולה הדדית יותר בין הספקים |
| פורמט נתונים | מנות בגודל קבוע | גישה מבוססת תבנית לפורמטים של רשומות זרימה הניתנות להתאמה אישית |
| תמיכה בתבניות | לא נתמך | תבניות דינמיות להכללת שדה גמישות |
| תמיכה בספקים | בעיקר מכשירי סיסקו | תמיכה רחבה בין ספקי רשת |
| פְּרִישׁוּת | התאמה אישית מוגבלת | הכללת שדות מותאמים אישית ונתונים ספציפיים ליישומים |
| הבדלי פרוטוקול | וריאציות ספציפיות לסיסקו | תמיכה מקורית IPv6, אפשרויות רשומות זרימה משופרות |
| תכונות אבטחה | תכונות אבטחה מוגבלות | הצפנת אבטחת שכבת תובלה (TLS), שלמות ההודעה |
ניטור זרימת רשתהוא איסוף, ניתוח ומעקב אחר תנועה חוצה רשת או קטע רשת נתון. המטרות עשויות להשתנות בין פתרון בעיות של סוגיות קישוריות לתכנון הקצאת רוחב פס עתידית. ניטור זרימה ודגימת מנות יכולות אפילו להיות שימושיות בזיהוי והחזרת בעיות אבטחה.
ניטור זרימה מעניק לצוותי רשת מושג טוב כיצד פועלת רשת, ומספקת תובנות לגבי השימוש הכללי, השימוש ביישום, צווארי בקבוק פוטנציאליים, חריגות שעשויות לאותת על איומי אבטחה ועוד. ישנם מספר סטנדרטים ופורמטים שונים המשמשים בניטור זרימת רשת, כולל נטפים, SFLOW ופרוטוקול פרוטוקול פרוטוקול ייצוא ייצוא (IPFIX). כל אחד מהם פועל בצורה שונה במקצת, אך כולם נבדלים משיקוף נמל ובדיקת מנות עמוקה בכך שהם לא תופסים את התוכן של כל מנות שעוברות על יציאה או דרך מתג. עם זאת, ניטור זרימה אכן מספק מידע רב יותר מ- SNMP, המוגבל בדרך כלל לסטטיסטיקה רחבה כמו המנות הכוללות ורוחב הפס.
כלי זרימת רשת בהשוואה
| תכונה | Netflow V5 | Netflow V9 | sflow | IPFIX |
| פתוח או קנייני | קנייני | קנייני | לִפְתוֹחַ | לִפְתוֹחַ |
| דגימה או מבוססת זרימה | בעיקר מבוסס זרימה; מצב שנדגם זמין | בעיקר מבוסס זרימה; מצב שנדגם זמין | נדגם | בעיקר מבוסס זרימה; מצב שנדגם זמין |
| מידע שנלכד | מטא נתונים ומידע סטטיסטי, כולל בתים שהועברו, מונים ממשק וכן הלאה | מטא נתונים ומידע סטטיסטי, כולל בתים שהועברו, מונים ממשק וכן הלאה | כותרות מנות שלמות, עומסי מנות חלקים | מטא נתונים ומידע סטטיסטי, כולל בתים שהועברו, מונים ממשק וכן הלאה |
| ניטור Ingress/Egress | כניסה בלבד | כניסה ויציאה | כניסה ויציאה | כניסה ויציאה |
| תמיכה IPv6/VLAN/MPLS | No | כֵּן | כֵּן | כֵּן |
זמן ההודעה: MAR-18-2024
