NetFlow და IPFIX ორივე ტექნოლოგია გამოიყენება ქსელური ნაკადის მონიტორინგისა და ანალიზისთვის. ისინი უზრუნველყოფენ ქსელის ტრაფიკის ნიმუშების შესახებ ინფორმაციას, რაც ხელს უწყობს მუშაობის ოპტიმიზაციას, პრობლემების მოგვარებას და უსაფრთხოების ანალიზს.
NetFlow:
რა არის NetFlow?
NetFlowარის ნაკადის მონიტორინგის ორიგინალური გადაწყვეტა, რომელიც თავდაპირველად Cisco-მ 1990-იანი წლების ბოლოს შეიმუშავა. არსებობს რამდენიმე განსხვავებული ვერსია, მაგრამ განლაგების უმეტესობა დაფუძნებულია NetFlow v5-ზე ან NetFlow v9-ზე. მიუხედავად იმისა, რომ თითოეულ ვერსიას განსხვავებული შესაძლებლობები აქვს, ძირითადი ოპერაცია იგივე რჩება:
პირველ რიგში, როუტერი, კომუტატორი, firewall ან სხვა ტიპის მოწყობილობა შეაგროვებს ინფორმაციას ქსელის „ნაკადების“ შესახებ - ძირითადად პაკეტების ერთობლიობა, რომლებსაც აქვთ საერთო მახასიათებლების ნაკრები, როგორიცაა წყაროს და დანიშნულების მისამართი, წყაროს და დანიშნულების პორტი და პროტოკოლის ტიპი. ნაკადის მიძინების ან წინასწარ განსაზღვრული დროის გასვლის შემდეგ, მოწყობილობა ექსპორტს გაუკეთებს ნაკადის ჩანაწერებს ერთეულში, რომელიც ცნობილია როგორც „ნაკადების შემგროვებელი“.
და ბოლოს, „ნაკადის ანალიზატორი“ ამ ჩანაწერებს აანალიზებს და ვიზუალიზაციის, სტატისტიკის და დეტალური ისტორიული და რეალურ დროში ანგარიშგების სახით ინფორმაციას გვაწვდის. პრაქტიკაში, შემგროვებლები და ანალიზატორები ხშირად ერთიან ერთეულს წარმოადგენენ, რომლებიც ხშირად უფრო დიდი ქსელის მუშაობის მონიტორინგის გადაწყვეტაში არიან გაერთიანებულნი.
NetFlow მუშაობს მდგომარეობის პრინციპით. როდესაც კლიენტის მანქანა დაუკავშირდება სერვერს, NetFlow დაიწყებს ნაკადიდან მეტამონაცემების აღებას და აგრეგირებას. სესიის დასრულების შემდეგ, NetFlow ექსპორტს გაუკეთებს ერთ სრულ ჩანაწერს კოლექციონერში.
მიუხედავად იმისა, რომ NetFlow v5-ს კვლავ ფართოდ გამოყენება აქვს, მას აქვს მთელი რიგი შეზღუდვები. ექსპორტირებული ველები დაფიქსირებულია, მონიტორინგი მხარდაჭერილია მხოლოდ შესვლის მიმართულებით და თანამედროვე ტექნოლოგიები, როგორიცაა IPv6, MPLS და VXLAN, არ არის მხარდაჭერილი. NetFlow v9, ასევე ბრენდირებული როგორც Flexible NetFlow (FNF), აგვარებს ამ შეზღუდვების ნაწილს, რაც მომხმარებლებს საშუალებას აძლევს შექმნან მორგებული შაბლონები და დაამატონ მხარდაჭერა ახალი ტექნოლოგიებისთვის.
ბევრ გამყიდველს ასევე აქვს NetFlow-ს საკუთარი საკუთრების იმპლემენტაციები, როგორიცაა Juniper-ის jFlow და Huawei-ს NetStream. მიუხედავად იმისა, რომ კონფიგურაცია შეიძლება გარკვეულწილად განსხვავდებოდეს, ეს იმპლემენტაციები ხშირად წარმოქმნიან ნაკადის ჩანაწერებს, რომლებიც თავსებადია NetFlow-ს კოლექტორებთან და ანალიზატორებთან.
NetFlow-ის ძირითადი მახასიათებლები:
~ ნაკადის მონაცემებიNetFlow წარმოქმნის ნაკადის ჩანაწერებს, რომლებიც მოიცავს ისეთ დეტალებს, როგორიცაა წყაროს და დანიშნულების IP მისამართები, პორტები, დროის ნიშნულები, პაკეტებისა და ბაიტების რაოდენობა და პროტოკოლის ტიპები.
~ მოძრაობის მონიტორინგიNetFlow უზრუნველყოფს ქსელის ტრაფიკის ნიმუშების ხილვადობას, რაც ადმინისტრატორებს საშუალებას აძლევს, ამოიცნონ ძირითადი აპლიკაციები, საბოლოო წერტილები და ტრაფიკის წყაროები.
~ანომალიის აღმოჩენანაკადის მონაცემების ანალიზით, NetFlow-ს შეუძლია აღმოაჩინოს ისეთი ანომალიები, როგორიცაა გამტარუნარიანობის გადაჭარბებული გამოყენება, ქსელის გადატვირთვა ან უჩვეულო ტრაფიკის ნიმუშები.
~ უსაფრთხოების ანალიზიNetFlow-ს გამოყენება შესაძლებელია უსაფრთხოების ინციდენტების აღმოსაჩენად და გამოსაძიებლად, როგორიცაა განაწილებული მომსახურების უარყოფის (DDoS) შეტევები ან არაავტორიზებული წვდომის მცდელობები.
NetFlow-ის ვერსიებიNetFlow დროთა განმავლობაში განვითარდა და გამოვიდა სხვადასხვა ვერსია. რამდენიმე აღსანიშნავი ვერსიაა NetFlow v5, NetFlow v9 და Flexible NetFlow. თითოეული ვერსია გთავაზობთ გაუმჯობესებებს და დამატებით შესაძლებლობებს.
IPFIX:
რა არის IPFIX?
2000-იანი წლების დასაწყისში გაჩენილი IETF სტანდარტი, ინტერნეტ პროტოკოლის ნაკადის ინფორმაციის ექსპორტი (IPFIX), ძალიან ჰგავს NetFlow-ს. სინამდვილეში, NetFlow v9 IPFIX-ის საფუძვლად იქცა. ორს შორის მთავარი განსხვავება ისაა, რომ IPFIX ღია სტანდარტია და მას Cisco-ს გარდა მრავალი ქსელური მომწოდებელი უჭერს მხარს. IPFIX-ში დამატებული რამდენიმე დამატებითი ველის გარდა, ფორმატები სხვა მხრივ თითქმის იდენტურია. სინამდვილეში, IPFIX ზოგჯერ „NetFlow v10“-საც კი უწოდებენ.
ნაწილობრივ NetFlow-სთან მსგავსების გამო, IPFIX ფართო მხარდაჭერით სარგებლობს ქსელის მონიტორინგის გადაწყვეტილებებსა და ქსელურ აღჭურვილობაში.
IPFIX (ინტერნეტ პროტოკოლის ნაკადის ინფორმაციის ექსპორტი) არის ღია სტანდარტის პროტოკოლი, რომელიც შემუშავებულია ინტერნეტ ინჟინერიის სამუშაო ჯგუფის (IETF) მიერ. ის ეფუძნება NetFlow-ის მე-9 ვერსიას და უზრუნველყოფს სტანდარტიზებულ ფორმატს ქსელური მოწყობილობებიდან ნაკადის ჩანაწერების ექსპორტისთვის.
IPFIX ეფუძნება NetFlow-ს კონცეფციებს და აფართოებს მათ, რათა შესთავაზოს მეტი მოქნილობა და ურთიერთქმედება სხვადასხვა მომწოდებლებსა და მოწყობილობებს შორის. ის წარმოგვიდგენს შაბლონების კონცეფციას, რაც საშუალებას იძლევა ნაკადის ჩანაწერის სტრუქტურისა და შინაარსის დინამიური განსაზღვრის. ეს საშუალებას იძლევა ჩართოთ მორგებული ველები, მხარდაჭერილი იყოს ახალი პროტოკოლები და გაფართოების შესაძლებლობა.
IPFIX-ის ძირითადი მახასიათებლები:
~ შაბლონზე დაფუძნებული მიდგომაIPFIX იყენებს შაბლონებს ნაკადის ჩანაწერების სტრუქტურისა და შინაარსის დასადგენად, რაც მოქნილობას გვთავაზობს სხვადასხვა მონაცემთა ველებისა და პროტოკოლისთვის სპეციფიკური ინფორმაციის განსათავსებლად.
~ თავსებადობაIPFIX არის ღია სტანდარტი, რომელიც უზრუნველყოფს ნაკადის თანმიმდევრული მონიტორინგის შესაძლებლობებს სხვადასხვა ქსელური მომწოდებლებისა და მოწყობილობებისთვის.
~ IPv6 მხარდაჭერაIPFIX ბუნებრივად უჭერს მხარს IPv6-ს, რაც მას შესაფერისს ხდის IPv6 ქსელებში ტრაფიკის მონიტორინგისა და ანალიზისთვის.
~გაძლიერებული უსაფრთხოებაIPFIX მოიცავს უსაფრთხოების ისეთ ფუნქციებს, როგორიცაა ტრანსპორტის ფენის უსაფრთხოების (TLS) დაშიფვრა და შეტყობინების მთლიანობის შემოწმება, რათა დაიცვას ნაკადის მონაცემების კონფიდენციალურობა და მთლიანობა გადაცემის დროს.
IPFIX-ს ფართოდ უჭერს მხარს სხვადასხვა ქსელური აღჭურვილობის მომწოდებელი, რაც მას ქსელის ნაკადის მონიტორინგისთვის ნეიტრალურ და ფართოდ გავრცელებულ არჩევნად აქცევს.
მაშ, რა განსხვავებაა NetFlow-სა და IPFIX-ს შორის?
მარტივი პასუხი ის არის, რომ NetFlow არის Cisco-ს საკუთრების პროტოკოლი, რომელიც დაახლოებით 1996 წელს იქნა წარმოდგენილი, ხოლო IPFIX მისი სტანდარტების ორგანოს მიერ დამტკიცებული ძმაა.
ორივე პროტოკოლი ერთსა და იმავე მიზანს ემსახურება: ქსელის ინჟინრებსა და ადმინისტრატორებს საშუალებას აძლევს შეაგროვონ და გააანალიზონ ქსელის დონის IP ტრაფიკის ნაკადები. Cisco-მ NetFlow შეიმუშავა ისე, რომ მის კომუტატორებსა და როუტერებს შეეძლოთ ამ ღირებული ინფორმაციის გამოტანა. Cisco-ს აღჭურვილობის დომინირების გათვალისწინებით, NetFlow სწრაფად გახდა ქსელური ტრაფიკის ანალიზის დე-ფაქტო სტანდარტი. თუმცა, ინდუსტრიის კონკურენტებმა გააცნობიერეს, რომ მისი მთავარი კონკურენტის მიერ კონტროლირებადი საკუთრების პროტოკოლის გამოყენება კარგი იდეა არ იყო და ამიტომ IETF-მა სათავეში ჩაუდგა ტრაფიკის ანალიზისთვის ღია პროტოკოლის, IPFIX-ის, სტანდარტიზაციის მცდელობას.
IPFIX დაფუძნებულია NetFlow-ის მე-9 ვერსიაზე და თავდაპირველად დაახლოებით 2005 წელს იქნა წარმოდგენილი, თუმცა ინდუსტრიაში დანერგვას გარკვეული წლები დასჭირდა. ამ ეტაპზე, ორი პროტოკოლი არსებითად იდენტურია და მიუხედავად იმისა, რომ ტერმინი NetFlow მაინც უფრო გავრცელებულია, იმპლემენტაციების უმეტესობა (თუმცა არა ყველა) თავსებადია IPFIX სტანდარტთან.
აქ მოცემულია ცხრილი, რომელიც აჯამებს NetFlow-სა და IPFIX-ს შორის განსხვავებებს:
| ასპექტი | NetFlow | IPFIX |
|---|---|---|
| წარმოშობა | Cisco-ს მიერ შემუშავებული საკუთრების ტექნოლოგია | ინდუსტრიის სტანდარტული პროტოკოლი, რომელიც დაფუძნებულია NetFlow-ის მე-9 ვერსიაზე |
| სტანდარტიზაცია | Cisco-ს სპეციფიკური ტექნოლოგია | IETF-ის მიერ განსაზღვრული ღია სტანდარტი RFC 7011-ში |
| მოქნილობა | გაუმჯობესებული ვერსიები კონკრეტული მახასიათებლებით | მომწოდებლებს შორის უფრო მეტი მოქნილობა და ურთიერთქმედება |
| მონაცემთა ფორმატი | ფიქსირებული ზომის პაკეტები | შაბლონზე დაფუძნებული მიდგომა ნაკადის ჩანაწერის მორგებადი ფორმატებისთვის |
| შაბლონის მხარდაჭერა | არ არის მხარდაჭერილი | დინამიური შაბლონები მოქნილი ველის ჩართვისთვის |
| მომწოდებლის მხარდაჭერა | ძირითადად Cisco-ს მოწყობილობები | ფართო მხარდაჭერა ქსელური მომწოდებლების შორის |
| გაფართოებადობა | შეზღუდული პერსონალიზაცია | მორგებული ველებისა და აპლიკაციის სპეციფიკური მონაცემების ჩართვა |
| პროტოკოლის განსხვავებები | Cisco-ს სპეციფიკური ვარიაციები | მშობლიური IPv6 მხარდაჭერა, გაუმჯობესებული ნაკადის ჩანაწერის პარამეტრები |
| უსაფრთხოების მახასიათებლები | შეზღუდული უსაფრთხოების ფუნქციები | ტრანსპორტის ფენის უსაფრთხოების (TLS) დაშიფვრა, შეტყობინების მთლიანობა |
ქსელის ნაკადის მონიტორინგიარის მოცემულ ქსელში ან ქსელის სეგმენტში გამავალი ტრაფიკის შეგროვება, ანალიზი და მონიტორინგი. მიზნები შეიძლება განსხვავდებოდეს კავშირის პრობლემების მოგვარებიდან დაწყებული, გამტარუნარიანობის სამომავლო განაწილების დაგეგმვით დამთავრებული. ნაკადის მონიტორინგი და პაკეტების შერჩევა შეიძლება სასარგებლო იყოს უსაფრთხოების პრობლემების იდენტიფიცირებისა და გამოსწორებისთვისაც კი.
ნაკადის მონიტორინგი ქსელურ გუნდებს კარგ წარმოდგენას აძლევს ქსელის მუშაობის შესახებ, რაც იძლევა ინფორმაციას საერთო გამოყენების, აპლიკაციების გამოყენების, პოტენციური შეფერხებების, ანომალიების შესახებ, რომლებიც შეიძლება უსაფრთხოების საფრთხეებზე მიუთითებდეს და სხვა. ქსელის ნაკადის მონიტორინგში გამოიყენება რამდენიმე განსხვავებული სტანდარტი და ფორმატი, მათ შორის NetFlow, sFlow და ინტერნეტ პროტოკოლის ნაკადის ინფორმაციის ექსპორტი (IPFIX). თითოეული მათგანი ოდნავ განსხვავებულად მუშაობს, მაგრამ ყველა განსხვავდება პორტის ასახვისა და ღრმა პაკეტების შემოწმებისგან იმით, რომ ისინი არ აღრიცხავენ პორტში ან კომუტატორში გამავალი ყველა პაკეტის შინაარსს. თუმცა, ნაკადის მონიტორინგი უფრო მეტ ინფორმაციას გვაწვდის, ვიდრე SNMP, რომელიც ზოგადად შემოიფარგლება ფართო სტატისტიკით, როგორიცაა პაკეტების და გამტარუნარიანობის საერთო გამოყენება.
ქსელის ნაკადის ინსტრუმენტების შედარება
| ფუნქცია | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| ღია ან საკუთრების | საკუთრებაში არსებული | საკუთრებაში არსებული | გახსნა | გახსნა |
| ნიმუშით ან ნაკადის მიხედვით | ძირითადად ნაკადზე დაფუძნებული; ხელმისაწვდომია ნიმუშის რეჟიმი | ძირითადად ნაკადზე დაფუძნებული; ხელმისაწვდომია ნიმუშის რეჟიმი | ნიმუში | ძირითადად ნაკადზე დაფუძნებული; ხელმისაწვდომია ნიმუშის რეჟიმი |
| შეგროვებული ინფორმაცია | მეტამონაცემები და სტატისტიკური ინფორმაცია, მათ შორის გადაცემული ბაიტები, ინტერფეისის მთვლელები და ა.შ. | მეტამონაცემები და სტატისტიკური ინფორმაცია, მათ შორის გადაცემული ბაიტები, ინტერფეისის მთვლელები და ა.შ. | სრული პაკეტის სათაურები, ნაწილობრივი პაკეტის დატვირთვა | მეტამონაცემები და სტატისტიკური ინფორმაცია, მათ შორის გადაცემული ბაიტები, ინტერფეისის მთვლელები და ა.შ. |
| შესვლის/გასვლის მონიტორინგი | მხოლოდ შესვლა | შესვლა და გასვლა | შესვლა და გასვლა | შესვლა და გასვლა |
| IPv6/VLAN/MPLS მხარდაჭერა | No | დიახ | დიახ | დიახ |
გამოქვეყნების დრო: 2024 წლის 18 მარტი
