Zein da NetFlow eta IPFIX-en arteko aldea Sareko Fluxuaren Monitorizaziorako?

NetFlow eta IPFIX sare-fluxua kontrolatzeko eta aztertzeko erabiltzen diren teknologiak dira. Sareko trafiko-ereduei buruzko informazioa ematen dute, errendimenduaren optimizazioan, arazoak konpontzen eta segurtasun-analisian lagunduz.

NetFlow:

Zer da NetFlow?

NetFlowfluxua kontrolatzeko jatorrizko irtenbidea da, jatorriz Ciscok 1990eko hamarkadaren amaieran garatua. Hainbat bertsio daude, baina inplementazio gehienak NetFlow v5 edo NetFlow v9-n oinarritzen dira. Bertsio bakoitzak gaitasun desberdinak dituen arren, oinarrizko funtzionamendua berdina izaten jarraitzen du:

Lehenik eta behin, bideratzaile batek, etengailu batek, suebaki batek edo beste gailu mota batek sareko "fluxuei" buruzko informazioa jasoko du; funtsean, ezaugarri multzo komun bat partekatzen duten pakete multzo bat da, hala nola iturburua eta helmuga helbidea, iturria eta helmuga portua eta protokoloa. mota. Fluxu bat geldirik egon ondoren edo aurrez zehaztutako denbora-tarte bat igaro ondoren, gailuak fluxu-erregistroak "fluxu-biltzaile" gisa ezagutzen den entitate batera esportatuko ditu.

Azkenik, "fluxuen analizatzaile" batek zentzua ematen die erregistro horiei, bistaratzeko, estatistiken eta txosten historiko eta denbora errealeko txosten zehatzen bidez. Praktikan, biltzaileak eta analizatzaileak sarritan entitate bakarra dira, askotan sarearen errendimendua kontrolatzeko irtenbide handiago batean konbinatuta.

NetFlow-ek egoera egoera batean funtzionatzen du. Bezero-makina bat zerbitzari batera heltzen denean, NetFlow fluxutik metadatuak harrapatzen eta batzen hasiko da. Saioa amaitu ondoren, NetFlow-ek erregistro oso bakarra esportatuko du biltzailera.

Oraindik erabili ohi den arren, NetFlow v5-ek hainbat muga ditu. Esportatutako eremuak finkoak dira, monitorizazioa sarreraren norabidean soilik onartzen da eta IPv6, MPLS eta VXLAN bezalako teknologia modernoak ez dira onartzen. NetFlow v9, Flexible NetFlow (FNF) bezala ere markatua, muga horietako batzuk zuzentzen ditu, erabiltzaileek txantiloi pertsonalizatuak eraikitzeko eta teknologia berrien laguntza gehitzeko aukera emanez.

Saltzaile askok NetFlow-en inplementazio propioak ere badituzte, hala nola, Juniper-en jFlow eta Huawei-ren NetStream. Konfigurazioa zertxobait desberdina izan daitekeen arren, inplementazio hauek sarritan NetFlow biltzaile eta analizatzaileekin bateragarriak diren fluxu-erregistroak sortzen dituzte.

NetFlow-en ezaugarri nagusiak:

~ Fluxuaren Datuak: NetFlow-ek fluxu-erregistroak sortzen ditu, hala nola iturburuko eta helmugako IP helbideak, portuak, denbora-zigiluak, paketeen eta byteen kopuruak eta protokolo motak bezalako xehetasunak barne hartzen dituztenak.

~ Trafikoaren Jarraipena: NetFlow-ek sareko trafiko-ereduen ikusgarritasuna eskaintzen du, administratzaileek aplikazio, amaiera-puntu eta trafiko-iturburu nagusiak identifikatzeko aukera emanez.

~Anomalia detektatzeko: Fluxuaren datuak aztertuz, NetFlow-ek anomaliak hauteman ditzake, hala nola banda-zabalera gehiegi erabiltzea, sarearen pilaketak edo ezohiko trafiko-ereduak.

~ Segurtasun Analisia: NetFlow segurtasun-intzidentzia detektatzeko eta ikertzeko erabil daiteke, hala nola zerbitzu-ukapen banatuaren (DDoS) erasoak edo baimenik gabeko sarbide-saiakerak.

NetFlow bertsioak: NetFlow denboran zehar eboluzionatu egin da, eta bertsio desberdinak kaleratu dira. Bertsio aipagarri batzuk NetFlow v5, NetFlow v9 eta Flexible NetFlow dira. Bertsio bakoitzak hobekuntzak eta gaitasun gehigarriak sartzen ditu.

IPFIX:

Zer da IPFIX?

2000ko hamarkadaren hasieran sortu zen IETF estandarra, Internet Protocol Flow Information Export (IPFIX) NetFlow-en oso antzekoa da. Izan ere, NetFlow v9 IPFIX-en oinarri izan zen. Bien arteko desberdintasun nagusia IPFIX estandar irekia dela da, eta sareko hornitzaile askok onartzen dutela Ciscoz gain. IPFIX-en gehitutako eremu gehigarri batzuk izan ezik, formatuak ia berdinak dira. Izan ere, IPFIX batzuetan "NetFlow v10" deitzen zaio.

NetFlow-ekin dituen antzekotasunengatik, IPFIXek laguntza zabala du sareko monitorizazio soluzioen eta sareko ekipoen artean.

IPFIX (Internet Protocol Flow Information Export) Internet Engineering Task Force-k (IETF) garatutako protokolo estandar irekia da. NetFlow 9 bertsioaren zehaztapenean oinarritzen da eta sareko gailuetatik fluxuen erregistroak esportatzeko formatu estandarizatu bat eskaintzen du.

IPFIX NetFlow-en kontzeptuetan oinarritzen da eta horiek zabaltzen ditu saltzaile eta gailu ezberdinetan malgutasun eta elkarreragingarritasun gehiago eskaintzeko. Txantiloien kontzeptua aurkezten du, fluxu-erregistroaren egitura eta edukiaren definizio dinamikoa ahalbidetuz. Honek eremu pertsonalizatuak, protokolo berrietarako laguntza eta hedagarritasuna sartzea ahalbidetzen du.

IPFIX-en ezaugarri nagusiak:

~ Txantiloietan oinarritutako ikuspegia: IPFIX-ek txantiloiak erabiltzen ditu fluxu-erregistroen egitura eta edukia definitzeko, malgutasuna eskainiz datu-eremu desberdinak eta protokoloaren informazio espezifikoa egokitzeko.

~ Elkarreragingarritasuna: IPFIX estandar irekia da, sareko hornitzaile eta gailu desberdinetan fluxua kontrolatzeko ahalmen koherenteak bermatzen dituena.

~ IPv6 euskarria: IPFIX-ek natiboki IPv6 onartzen du, IPv6 sareetako trafikoa kontrolatzeko eta aztertzeko egokia da.

~Segurtasun hobetua: IPFIXek segurtasun-eginbideak barne hartzen ditu, hala nola Transport Layer Security (TLS) enkriptatzea eta mezuen osotasunaren egiaztapenak, transmisioan zehar fluxu-datuen konfidentzialtasuna eta osotasuna babesteko.

IPFIX sare-ekipamenduen saltzaile ezberdinek oso onartzen dute, eta sare-fluxuen monitorizaziorako aukera zabala da eta saltzaile neutrala da.

 

Beraz, zein da NetFlow eta IPFIXen arteko aldea?

Erantzun sinplea da NetFlow 1996 inguruan sartutako Cisco-ren jabedun protokoloa dela eta IPFIX estandar-organoak onartutako anaia dela.

Bi protokoloek helburu bera dute: sareko ingeniari eta administratzaileei sare mailako IP trafiko-fluxuak biltzeko eta aztertzeko aukera ematea. Ciscok NetFlow garatu zuen bere etengailuek eta bideratzaileek informazio baliotsu hori atera zezaten. Cisco engranajearen nagusitasuna ikusita, NetFlow sareko trafikoaren azterketarako de-facto estandarra bihurtu zen azkar. Hala ere, industriako lehiakideek konturatu ziren bere arerio nagusiak kontrolatutako jabedun protokolo bat erabiltzea ez zela ideia ona eta, horregatik, IETF-ek trafikoaren azterketarako protokolo ireki bat estandarizatzeko ahalegina egin zuen, hau da, IPFIX.

IPFIX NetFlow 9 bertsioan oinarritzen da eta jatorriz 2005 inguruan aurkeztu zen, baina urte batzuk behar izan zituen industriaren adopzioa lortzeko. Une honetan, bi protokoloak berdinak dira funtsean eta NetFlow terminoa oraindik nagusiagoa den arren inplementazio gehienak (nahiz eta ez guztiak) IPFIX estandarrekin bateragarriak dira.

Hona hemen NetFlow eta IPFIXen arteko desberdintasunak laburbiltzen dituen taula:

Alderdia NetFlow IPFIX
Jatorria Ciscok garatutako teknologia jabeduna NetFlow 9 bertsioan oinarritutako industria-protokolo estandarra
Normalizazioa Cisco-ren berariazko teknologia IETF-k RFC 7011n definitutako estandar irekia
Malgutasuna Ezaugarri zehatzak dituzten bertsio eboluzionatuak Malgutasun eta elkarreragingarritasun handiagoa saltzaileen artean
Datuen formatua Tamaina finkoko paketeak Fluxu-erregistro formatu pertsonalizagarrietarako txantiloietan oinarritutako ikuspegia
Txantiloien euskarria Ez da onartzen Eremu malguak sartzeko txantiloi dinamikoak
Saltzaileen laguntza Batez ere Cisco gailuak Laguntza zabala sareko saltzaileen artean
Hedagarritasuna Pertsonalizazio mugatua Eremu pertsonalizatuak eta aplikazioaren berariazko datuak sartzea
Protokolo desberdintasunak Cisco-ren aldaera espezifikoak Jatorrizko IPv6 euskarria, fluxu-erregistratzeko aukera hobetuak
Segurtasun Ezaugarriak Segurtasun ezaugarri mugatuak Transport Layer Security (TLS) enkriptatzea, mezuen osotasuna

Sare-fluxuen jarraipenaSare edo sare-segmentu jakin bat zeharkatzen duen trafikoaren bilketa, azterketa eta jarraipena da. Helburuak alda daitezke konektibitate-arazoak konpontzetik etorkizuneko banda-zabaleraren esleipena planifikatzera. Fluxuaren monitorizazioa eta paketeen laginketa ere baliagarriak izan daitezke segurtasun arazoak identifikatzeko eta konpontzeko.

Fluxuaren monitorizazioak sareko taldeei sare bat nola funtzionatzen ari den ideia ona ematen die, erabilera orokorrari, aplikazioen erabilerari, potentzial-lepoei, segurtasun-mehatxuak adierazi ditzaketen anomaliei eta abarrei buruzko informazioa emanez. Sareko fluxuen monitorizazioan erabiltzen diren hainbat estandar eta formatu daude, besteak beste, NetFlow, sFlow eta Internet Protocol Flow Information Export (IPFIX). Bakoitzak modu apur bat ezberdinean funtzionatzen du, baina guztiak portuen ispilutik eta paketeen ikuskapen sakonetik bereizten dira, ez baitute portu batetik edo switch batetik igarotzen den pakete bakoitzaren edukia harrapatzen. Hala ere, fluxuaren monitorizazioak SNMP baino informazio gehiago ematen du, hau da, orokorrean, pakete eta banda-zabaleraren erabilera orokorra bezalako estatistika zabaletara mugatzen da.

Sare-fluxuaren tresnak alderatuta

Ezaugarri NetFlow v5 NetFlow v9 sFlow IPFIX
Irekia edo jabeduna Jabeduna Jabeduna Ireki Ireki
Laginak edo Fluxuan Oinarritutakoak Nagusiki Fluxuan Oinarritutako; Laginketa modua eskuragarri dago Nagusiki Fluxuan Oinarritutako; Laginketa modua eskuragarri dago Laginketa egina Nagusiki Fluxuan Oinarritutako; Laginketa modua eskuragarri dago
Hartutako informazioa Metadatuak eta informazio estatistikoa, transferitutako byteak, interfaze-kontagailuak eta abar barne Metadatuak eta informazio estatistikoa, transferitutako byteak, interfaze-kontagailuak eta abar barne Paketeen goiburu osoa, pakete karga partzialak Metadatuak eta informazio estatistikoa, transferitutako byteak, interfaze-kontagailuak eta abar barne
Sarrera/Irteeraren jarraipena Sarrera bakarrik Sarrera eta Irteera Sarrera eta Irteera Sarrera eta Irteera
IPv6/VLAN/MPLS euskarria No Bai Bai Bai

Argitalpenaren ordua: 2024-mar-18