NetFlow-ն ու IPFIX-ը երկուսն էլ ցանցային հոսքի մոնիթորինգի և վերլուծության համար օգտագործվող տեխնոլոգիաներ են։ Դրանք հնարավորություն են տալիս պատկերացում կազմել ցանցային երթևեկության օրինաչափությունների մասին՝ օգնելով օպտիմալացնել աշխատանքը, լուծել խնդիրները և վերլուծել անվտանգությունը։
NetFlow:
Ի՞նչ է NetFlow-ն։
NetFlowհոսքի մոնիթորինգի սկզբնական լուծումն է, որն սկզբնապես մշակվել է Cisco-ի կողմից 1990-ականների վերջին: Գոյություն ունեն մի քանի տարբեր տարբերակներ, բայց տեղակայումների մեծ մասը հիմնված է կամ NetFlow v5-ի, կամ NetFlow v9-ի վրա: Չնայած յուրաքանչյուր տարբերակ ունի տարբեր հնարավորություններ, հիմնական գործողությունը մնում է նույնը.
Նախ, ռաութերը, կոմուտատորը, firewall-ը կամ այլ տեսակի սարքը կհավաքի ցանցային «հոսքերի» մասին տեղեկատվությունը, որոնք, ըստ էության, փաթեթների ամբողջություն են, որոնք ունեն ընդհանուր բնութագրերի ամբողջություն, ինչպիսիք են՝ աղբյուրի և նպատակակետի հասցեն, աղբյուրի և նպատակակետի պորտը, և արձանագրության տեսակը: Հոսքի անգործուն դառնալուց կամ նախապես սահմանված ժամանակահատված անցնելուց հետո սարքը կարտահանի հոսքի գրառումները «հոսքերի հավաքագրող» անունով հայտնի միավորի:
Վերջապես, «հոսքի վերլուծիչը» իմաստավորում է այդ գրառումները՝ տրամադրելով պատկերացումներ վիզուալիզացիայի, վիճակագրության և մանրամասն պատմական ու իրական ժամանակի հաշվետվությունների տեսքով: Գործնականում, հավաքագրողներն ու վերլուծիչները հաճախ մեկ միավոր են, որոնք հաճախ միավորվում են ավելի մեծ ցանցի կատարողականի մոնիթորինգի լուծման մեջ:
NetFlow-ն գործում է վիճակային սկզբունքով։ Երբ հաճախորդային մեքենան կապ է հաստատում սերվերի հետ, NetFlow-ն սկսում է հավաքել և ամփոփել հոսքի մետատվյալները։ Սեսիայի ավարտից հետո NetFlow-ն կարտահանի մեկ ամբողջական գրառում կոլեկտորին։
Չնայած այն դեռևս լայնորեն օգտագործվում է, NetFlow v5-ը ունի մի շարք սահմանափակումներ: Արտահանվող դաշտերը ֆիքսված են, մոնիթորինգը աջակցվում է միայն մուտքի ուղղությամբ, և ժամանակակից տեխնոլոգիաները, ինչպիսիք են IPv6-ը, MPLS-ը և VXLAN-ը, չեն աջակցվում: NetFlow v9-ը, որը նաև կոչվում է Flexible NetFlow (FNF), լուծում է այս սահմանափակումներից մի քանիսը՝ թույլ տալով օգտատերերին ստեղծել անհատական ձևանմուշներ և ավելացնելով աջակցություն ավելի նոր տեխնոլոգիաների համար:
Շատ մատակարարներ ունեն նաև NetFlow-ի իրենց սեփական իրականացումները, ինչպիսիք են Juniper-ի jFlow-ն և Huawei-ի NetStream-ը: Չնայած կոնֆիգուրացիան կարող է որոշ չափով տարբերվել, այս իրականացումները հաճախ ստեղծում են հոսքի գրառումներ, որոնք համատեղելի են NetFlow հավաքիչների և վերլուծիչների հետ:
NetFlow-ի հիմնական առանձնահատկությունները.
~ Հոսքի տվյալներNetFlow-ն ստեղծում է հոսքի գրառումներ, որոնք ներառում են այնպիսի մանրամասներ, ինչպիսիք են աղբյուրի և նպատակակետի IP հասցեները, նավահանգիստները, ժամանակային դրոշմանիշները, փաթեթների և բայթերի քանակը և արձանագրությունների տեսակները։
~ Երթևեկության մոնիթորինգNetFlow-ն ապահովում է ցանցային երթևեկության օրինաչափությունների տեսանելիություն՝ թույլ տալով ադմինիստրատորներին նույնականացնել հիմնական ծրագրերը, վերջնակետերը և երթևեկության աղբյուրները։
~Անոմալիայի հայտնաբերումՀոսքի տվյալները վերլուծելով՝ NetFlow-ն կարող է հայտնաբերել անոմալիաներ, ինչպիսիք են թողունակության չափազանց օգտագործումը, ցանցի գերբեռնվածությունը կամ անսովոր երթևեկության ձևերը։
~ Անվտանգության վերլուծությունNetFlow-ն կարող է օգտագործվել անվտանգության միջադեպերի, ինչպիսիք են բաշխված ծառայությունների մերժման (DDoS) հարձակումները կամ չարտոնված մուտքի փորձերը, հայտնաբերման և հետաքննության համար։
NetFlow տարբերակներNetFlow-ն ժամանակի ընթացքում զարգացել է, և թողարկվել են տարբեր տարբերակներ։ Որոշ նշանակալի տարբերակներից են NetFlow v5-ը, NetFlow v9-ը և Flexible NetFlow-ն։ Յուրաքանչյուր տարբերակ ներկայացնում է բարելավումներ և լրացուցիչ հնարավորություններ։
IPFIX:
Ի՞նչ է IPFIX-ը։
2000-ականների սկզբին ի հայտ եկած IETF ստանդարտը՝ Ինտերնետային արձանագրության հոսքի տեղեկատվության արտահանումը (IPFIX), չափազանց նման է NetFlow-ին: Փաստորեն, NetFlow v9-ը ծառայել է որպես IPFIX-ի հիմք: Երկուսի միջև հիմնական տարբերությունն այն է, որ IPFIX-ը բաց ստանդարտ է և աջակցվում է Cisco-ից բացի շատ ցանցային մատակարարների կողմից: Բացառությամբ IPFIX-ում ավելացված մի քանի լրացուցիչ դաշտերի, ձևաչափերը մնացած մասամբ գրեթե նույնական են: Փաստորեն, IPFIX-ը երբեմն նույնիսկ անվանում են «NetFlow v10»:
Մասամբ NetFlow-ի հետ իր նմանությունների շնորհիվ, IPFIX-ը լայն աջակցություն է վայելում ցանցային մոնիթորինգի լուծումների, ինչպես նաև ցանցային սարքավորումների շրջանում։
IPFIX-ը (Ինտերնետային արձանագրության տեղեկատվության արտահանում) բաց ստանդարտ արձանագրություն է, որը մշակվել է Ինտերնետային ճարտարագիտության աշխատանքային խմբի (IETF) կողմից: Այն հիմնված է NetFlow տարբերակ 9-ի վրա և ապահովում է ստանդարտացված ձևաչափ ցանցային սարքերից հոսքի գրառումների արտահանման համար:
IPFIX-ը հիմնված է NetFlow-ի հայեցակարգերի վրա և ընդլայնում է դրանք՝ առաջարկելով ավելի մեծ ճկունություն և փոխգործունակություն տարբեր մատակարարների և սարքերի միջև: Այն ներկայացնում է ձևանմուշների հայեցակարգը, որը թույլ է տալիս դինամիկ կերպով սահմանել հոսքի գրառումների կառուցվածքը և բովանդակությունը: Սա հնարավորություն է տալիս ներառել հատուկ դաշտեր, աջակցել նոր արձանագրություններին և ընդարձակելիություն:
IPFIX-ի հիմնական առանձնահատկությունները.
~ Շաբլոնների վրա հիմնված մոտեցումIPFIX-ը օգտագործում է ձևանմուշներ՝ հոսքի գրառումների կառուցվածքն ու բովանդակությունը սահմանելու համար, ապահովելով ճկունություն տարբեր տվյալների դաշտերի և արձանագրությանը հատուկ տեղեկատվության տեղավորման հարցում։
~ ՓոխգործունակությունIPFIX-ը բաց ստանդարտ է, որը ապահովում է հոսքի հետևողական մոնիթորինգի հնարավորություններ տարբեր ցանցային մատակարարների և սարքերի միջև։
~ IPv6 աջակցությունIPFIX-ը բնիկորեն աջակցում է IPv6-ին, ինչը այն հարմար է դարձնում IPv6 ցանցերում երթևեկության մոնիթորինգի և վերլուծության համար։
~Բարելավված անվտանգությունIPFIX-ը ներառում է անվտանգության առանձնահատկություններ, ինչպիսիք են տրանսպորտային շերտի անվտանգության (TLS) կոդավորումը և հաղորդագրությունների ամբողջականության ստուգումները՝ փոխանցման ընթացքում հոսքի տվյալների գաղտնիությունն ու ամբողջականությունը պաշտպանելու համար։
IPFIX-ը լայնորեն աջակցվում է տարբեր ցանցային սարքավորումների մատակարարների կողմից, ինչը այն դարձնում է մատակարարներից չեզոք և լայնորեն ընդունված ընտրություն ցանցային հոսքի մոնիթորինգի համար։
Այսպիսով, ո՞րն է տարբերությունը NetFlow-ի և IPFIX-ի միջև:
Պարզ պատասխանն այն է, որ NetFlow-ն Cisco-ի սեփականատիրական արձանագրություն է, որը ներկայացվել է մոտ 1996 թվականին, իսկ IPFIX-ը՝ դրա ստանդարտների մարմնի կողմից հաստատված եղբայրը։
Երկու արձանագրություններն էլ ծառայում են նույն նպատակին՝ ցանցային ինժեներներին և ադմինիստրատորներին հնարավորություն տալով հավաքագրել և վերլուծել ցանցային մակարդակի IP երթևեկության հոսքերը: Cisco-ն մշակել է NetFlow-ն, որպեսզի իր կոմուտատորներն ու ռաութերները կարողանան արտածել այս արժեքավոր տեղեկատվությունը: Հաշվի առնելով Cisco սարքավորումների գերիշխանությունը, NetFlow-ն արագ դարձավ ցանցային երթևեկության վերլուծության փաստացի ստանդարտը: Այնուամենայնիվ, ոլորտի մրցակիցները հասկացան, որ գլխավոր մրցակցի կողմից վերահսկվող սեփականատիրական արձանագրության օգտագործումը լավ գաղափար չէ, և, հետևաբար, IETF-ը ջանքեր գործադրեց ստանդարտացնելու երթևեկության վերլուծության բաց արձանագրությունը, որը IPFIX-ն է:
IPFIX-ը հիմնված է NetFlow 9-րդ տարբերակի վրա և սկզբնապես ներկայացվել է մոտ 2005 թվականին, սակայն որոշ տարիներ պահանջվեցին արդյունաբերության մեջ ընդունվելու համար։ Այս պահին երկու արձանագրությունները էապես նույնն են, և չնայած NetFlow տերմինը դեռևս ավելի տարածված է, իրականացումների մեծ մասը (չնայած ոչ բոլորը) համատեղելի են IPFIX ստանդարտի հետ։
Ահա աղյուսակ, որը ամփոփում է NetFlow-ի և IPFIX-ի միջև եղած տարբերությունները.
| Ասպեկտ | NetFlow | IPFIX |
|---|---|---|
| Ծագումը | Cisco-ի կողմից մշակված սեփական տեխնոլոգիա | Արդյունաբերական ստանդարտ արձանագրություն, որը հիմնված է NetFlow 9-րդ տարբերակի վրա |
| Ստանդարտացում | Cisco-ի համար նախատեսված տեխնոլոգիա | IETF-ի կողմից RFC 7011-ում սահմանված բաց ստանդարտ |
| ճկունություն | Զարգացած տարբերակներ՝ հատուկ առանձնահատկություններով | Ավելի մեծ ճկունություն և փոխգործունակություն մատակարարների միջև |
| Տվյալների ձևաչափ | Ֆիքսված չափի փաթեթներ | Շաբլոնի վրա հիմնված մոտեցում՝ հոսքի գրառման հարմարեցման ձևաչափերի համար |
| Շաբլոնի աջակցություն | Չի աջակցվում | Դինամիկ ձևանմուշներ ճկուն դաշտերի ներառման համար |
| Մատակարարի աջակցություն | Հիմնականում Cisco սարքեր | Լայն աջակցություն ցանցային մատակարարների շրջանում |
| Ընդարձակելիություն | Սահմանափակ անհատականացում | Հատուկ դաշտերի և ծրագրին հատուկ տվյալների ներառում |
| Արձանագրության տարբերություններ | Cisco-ի համար նախատեսված տարբերակներ | Բնիկ IPv6 աջակցություն, բարելավված հոսքի գրանցման տարբերակներ |
| Անվտանգության առանձնահատկություններ | Սահմանափակ անվտանգության առանձնահատկություններ | Տրանսպորտային շերտի անվտանգության (TLS) կոդավորում, հաղորդագրության ամբողջականություն |
Ցանցի հոսքի մոնիթորինգտվյալ ցանցում կամ ցանցային հատվածում անցնող երթևեկության հավաքագրումը, վերլուծությունը և մոնիթորինգն է: Նպատակները կարող են տարբեր լինել՝ սկսած կապի խնդիրների լուծումից մինչև ապագա թողունակության բաշխման պլանավորումը: Հոսքի մոնիթորինգը և փաթեթների նմուշառումը կարող են օգտակար լինել նույնիսկ անվտանգության խնդիրները բացահայտելու և շտկելու համար:
Հոսքի մոնիթորինգը ցանցային թիմերին լավ պատկերացում է տալիս ցանցի գործունեության մասին՝ տրամադրելով ընդհանուր օգտագործման, ծրագրերի օգտագործման, հնարավոր խոչընդոտների, անվտանգության սպառնալիքների ազդանշան տվող անոմալիաների և այլնի վերաբերյալ պատկերացումներ: Ցանցային հոսքի մոնիթորինգում օգտագործվում են մի քանի տարբեր ստանդարտներ և ձևաչափեր, այդ թվում՝ NetFlow, sFlow և Internet Protocol Flow Information Export (IPFIX): Յուրաքանչյուրն աշխատում է մի փոքր այլ կերպ, բայց բոլորը տարբերվում են պորտերի հայելայինացումից և խորը փաթեթների ստուգումից, քանի որ դրանք չեն գրանցում պորտով կամ կոմուտատորով անցնող յուրաքանչյուր փաթեթի պարունակությունը: Այնուամենայնիվ, հոսքի մոնիթորինգը տրամադրում է ավելի շատ տեղեկատվություն, քան SNMP-ն, որը սովորաբար սահմանափակվում է լայն վիճակագրությամբ, ինչպիսիք են փաթեթների և թողունակության ընդհանուր օգտագործումը:
Համեմատեք ցանցային հոսքի գործիքները
| Հատկանիշ | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Բաց կամ սեփականատիրական | Սեփականատիրական | Սեփականատիրական | Բացել | Բացել |
| Նմուշառված կամ հոսքի վրա հիմնված | Հիմնականում հոսքի վրա հիմնված; Նմուշառման ռեժիմը հասանելի է | Հիմնականում հոսքի վրա հիմնված; Նմուշառման ռեժիմը հասանելի է | Նմուշառված | Հիմնականում հոսքի վրա հիմնված; Նմուշառման ռեժիմը հասանելի է |
| Գրանցված տեղեկատվություն | Մետատվյալներ և վիճակագրական տեղեկատվություն, ներառյալ փոխանցված բայթերը, ինտերֆեյսի հաշվիչները և այլն | Մետատվյալներ և վիճակագրական տեղեկատվություն, ներառյալ փոխանցված բայթերը, ինտերֆեյսի հաշվիչները և այլն | Ամբողջական փաթեթների վերնագրեր, մասնակի փաթեթային բեռներ | Մետատվյալներ և վիճակագրական տեղեկատվություն, ներառյալ փոխանցված բայթերը, ինտերֆեյսի հաշվիչները և այլն |
| Մուտքի/ելքի մոնիթորինգ | Միայն մուտք | Մուտք և ելք | Մուտք և ելք | Մուտք և ելք |
| IPv6/VLAN/MPLS աջակցություն | No | Այո | Այո | Այո |
Հրապարակման ժամանակը. Մարտի 18-2024
