NetFlow жана IPFIX экөө тең тармак агымын көзөмөлдөө жана талдоо үчүн колдонулган технологиялар. Алар тармак трафигинин үлгүлөрү жөнүндө түшүнүк берет, ишти оптималдаштырууга, көйгөйлөрдү аныктоого жана коопсуздукту талдоого жардам берет.
NetFlow:
NetFlow деген эмне?
NetFlow1990-жылдардын аягында Cisco тарабынан иштелип чыккан агымдын мониторингинин оригиналдуу чечими. Бир нече ар кандай версиялары бар, бирок көпчүлүк жайылтуулар NetFlow v5 же NetFlow v9 негизделет. Ар бир версия ар кандай мүмкүнчүлүктөргө ээ болсо да, негизги операция ошол эле бойдон калууда:
Биринчиден, роутер, коммутатор, брандмауэр же башка типтеги түзмөк тармактын "агымдары" жөнүндө маалыматты басып алат - негизинен булак жана көздөгөн дарек, булак жана көздөгөн порт жана протокол сыяктуу жалпы мүнөздөмөлөрдү бөлүшкөн пакеттердин жыйындысы. түрү. Агым токтоп калгандан кийин же алдын ала белгиленген убакыт өткөндөн кийин, түзмөк агымдын жазууларын "агымдын коллектору" деп аталган объектке экспорттойт.
Акыр-аягы, "агым анализатору" ошол жазууларды түшүнүп, визуализация, статистика жана деталдуу тарыхый жана реалдуу убакыт отчеттору түрүндө түшүнүктөрдү берет. Иш жүзүндө, коллекторлор жана анализаторлор көбүнчө бир объект болуп саналат, алар көбүнчө тармактын иштешине мониторинг жүргүзүү үчүн чоңураак чечимге бириктирилет.
NetFlow штаттык негизде иштейт. Кардар машинасы серверге жеткенде, NetFlow агымдан метаберилиштерди тартып, топтоп баштайт. Сеанс аяктагандан кийин, NetFlow коллекторго бир толук жазууну экспорттойт.
Ал дагы эле көп колдонулат да, NetFlow v5 бир катар чектөөлөр бар. Экспорттолгон талаалар бекитилген, мониторинг кирүү багытында гана колдоого алынат жана IPv6, MPLS жана VXLAN сыяктуу заманбап технологиялар колдоого алынбайт. NetFlow v9, ошондой эле Ийкемдүү NetFlow (FNF) деп аталат, бул чектөөлөрдүн айрымдарын чечип, колдонуучуларга ыңгайлаштырылган шаблондорду түзүүгө жана жаңы технологияларды колдоону кошууга мүмкүндүк берет.
Көптөгөн сатуучуларда NetFlow'дун жеке менчик ишке ашыруулары бар, мисалы, Juniperден jFlow жана Huaweiден NetStream. Конфигурация бир аз айырмаланышы мүмкүн болсо да, бул ишке ашыруулар көбүнчө NetFlow коллекторлору жана анализаторлору менен шайкеш келген агым жазууларын чыгарышат.
NetFlow негизги өзгөчөлүктөрү:
~ Агым маалыматтары: NetFlow булак жана көздөгөн IP даректери, порттор, убакыт белгилери, пакет жана байт эсептөөлөрү жана протокол түрлөрү сыяктуу маалыматтарды камтыган агым жазууларын түзөт.
~ Traffic Monitoring: NetFlow администраторлорго жогорку тиркемелерди, акыркы чекиттерди жана трафик булактарын аныктоого мүмкүндүк берип, тармактык трафиктин үлгүлөрүн көрүүнү камсыз кылат.
~Аномалияны аныктоо: Агым маалыматтарын талдоо менен, NetFlow өткөрүү жөндөмдүүлүгүн ашыкча колдонуу, тармактын тыгыны же адаттан тыш трафик үлгүлөрү сыяктуу аномалияларды аныктай алат.
~ Коопсуздук талдоо: NetFlow бөлүштүрүлгөн кызматтан баш тартуу (DDoS) чабуулдары же уруксатсыз кирүү аракеттери сыяктуу коопсуздук инциденттерин аныктоо жана иликтөө үчүн колдонулушу мүмкүн.
NetFlow версиялары: NetFlow убакыттын өтүшү менен өнүгүп, ар кандай версиялары чыгарылган. Кээ бир көрүнүктүү версияларга NetFlow v5, NetFlow v9 жана Flexible NetFlow кирет. Ар бир версия жакшыртууларды жана кошумча мүмкүнчүлүктөрдү киргизет.
IPFIX:
IPFIX деген эмне?
2000-жылдардын башында пайда болгон IETF стандарты, Internet Protocol Flow Information Export (IPFIX) NetFlow менен абдан окшош. Чынында, NetFlow v9 IPFIX үчүн негиз болуп кызмат кылган. Экөөнүн ортосундагы негизги айырма IPFIX ачык стандарт болуп саналат жана Cisco башка көптөгөн тармактык сатуучулар тарабынан колдоого алынат. IPFIXке кошулган бир нече кошумча талааларды эске албаганда, форматтар дээрлик бирдей. Чынында, IPFIX кээде "NetFlow v10" деп да аталат.
NetFlow менен жарым-жартылай окшоштугунан улам, IPFIX тармактык мониторинг чечимдеринин, ошондой эле тармактык жабдуулардын арасында кеңири колдоого ээ.
IPFIX (Internet Protocol Flow Information Export) - бул Интернет-инженердик тапшырма тобу (IETF) тарабынан иштелип чыккан ачык стандарттуу протокол. Ал NetFlow Version 9 спецификациясына негизделген жана тармактык түзүлүштөрдөн агым жазууларын экспорттоо үчүн стандартташтырылган форматты камсыз кылат.
IPFIX NetFlow концепцияларына негизделет жана аларды ар кандай сатуучулар жана түзмөктөр боюнча көбүрөөк ийкемдүүлүк жана өз ара иштешүүнү сунуш кылуу үчүн кеңейтет. Бул агымдын жазуу түзүмүн жана мазмунун динамикалык аныктоого мүмкүндүк берүүчү калыптар түшүнүгүн киргизет. Бул ыңгайлаштырылган талааларды кошууга, жаңы протоколдорду колдоого жана кеңейтүүгө мүмкүндүк берет.
IPFIXтин негизги өзгөчөлүктөрү:
~ Калыпка негизделген мамиле: IPFIX агымдык жазуулардын түзүмүн жана мазмунун аныктоо үчүн калыптарды колдонот, ар кандай маалымат талааларын жана протоколго тиешелүү маалыматты жайгаштырууда ийкемдүүлүктү сунуш кылат.
~ Өз ара аракеттенүү: IPFIX ар кандай тармактык сатуучулар жана түзмөктөр боюнча ырааттуу агым мониторинг мүмкүнчүлүктөрүн камсыз кылуу, ачык стандарт болуп саналат.
~ IPv6 колдоо: IPFIX түпкүлүгүндө IPv6ны колдойт, бул аны IPv6 тармактарындагы трафикти көзөмөлдөө жана талдоо үчүн ылайыктуу кылат.
~Өркүндөтүлгөн коопсуздук: IPFIX өткөрүү учурунда агым маалыматтарынын купуялуулугун жана бүтүндүгүн коргоо үчүн Транспорт катмарынын коопсуздугу (TLS) шифрлөө жана билдирүүнүн бүтүндүгүн текшерүү сыяктуу коопсуздук функцияларын камтыйт.
IPFIX ар кандай тармактык жабдуулардын сатуучулары тарабынан кеңири колдоого алынып, аны сатуучулар үчүн нейтралдуу жана тармак агымын көзөмөлдөө үчүн кеңири кабыл алынган тандоо болуп саналат.
Ошентип, NetFlow менен IPFIX ортосунда кандай айырма бар?
Жөнөкөй жооп - NetFlow бул 1996-жылы киргизилген Cisco проприетардык протоколу жана IPFIX анын стандарттар органы тарабынан бекитилген бир тууганы.
Эки протокол тең бирдей максатты көздөйт: тармактык инженерлерге жана администраторлорго тармак деңгээлиндеги IP трафик агымдарын чогултууга жана талдоо жүргүзүүгө мүмкүндүк берет. Cisco NetFlowду анын өчүргүчтөрү жана роутерлери бул баалуу маалыматты чыгара алышы үчүн иштеп чыккан. Cisco шаймандарынын үстөмдүгүн эске алуу менен, NetFlow тез эле тармактык трафикти талдоо үчүн де-факто стандарт болуп калды. Бирок, тармактык атаандаштар анын башкы атаандашы тарабынан көзөмөлдөнгөн проприетардык протоколду колдонуу жакшы идея эмес экенин түшүнүштү жана ошондуктан IETF IPFIX болгон трафикти талдоо үчүн ачык протоколду стандартташтыруу аракетин жасады.
IPFIX NetFlow 9 версиясына негизделген жана алгач 2005-жылы киргизилген, бирок тармакты кабыл алуу үчүн бир нече жыл талап кылынган. Бул учурда, эки протоколдор негизинен бирдей жана NetFlow термини дагы эле кеңири таралган болсо да, көпчүлүк ишке ашыруулар (баары болбосо да) IPFIX стандартына шайкеш келет.
Бул жерде NetFlow жана IPFIX ортосундагы айырмачылыктарды жалпылоочу таблица:
Аспект | NetFlow | IPFIX |
---|---|---|
Origin | Cisco тарабынан иштелип чыккан менчик технологиясы | NetFlow 9 версиясына негизделген өнөр жай-стандартты протокол |
Стандартташтыруу | Cisco-спецификалык технология | RFC 7011де IETF тарабынан аныкталган ачык стандарт |
ийкемдүүлүк | Өзгөчө өзгөчөлүктөргө ээ өнүккөн версиялар | Сатуучулар арасында көбүрөөк ийкемдүүлүк жана өз ара аракеттенүү |
Маалымат форматы | Туруктуу өлчөмдөгү пакеттер | Настройкаланган агым жазуу форматтары үчүн шаблонго негизделген ыкма |
Үлгү колдоо | Колдоого алынбайт | Ийкемдүү талааны кошуу үчүн динамикалык калыптар |
Сатуучу колдоо | Негизинен Cisco түзмөктөрү | тармактык сатуучулар боюнча кенен колдоо |
Кеңейтүү | Чектелген ыңгайлаштыруу | Ыңгайлаштырылган талааларды жана колдонмого тиешелүү маалыматтарды кошуу |
Протоколдук айырмачылыктар | Cisco-спецификалык вариациялар | Native IPv6 колдоосу, өркүндөтүлгөн агымдык жазуу параметрлери |
Коопсуздук өзгөчөлүктөрү | Чектелген коопсуздук өзгөчөлүктөрү | Транспорт катмарынын коопсуздугу (TLS) шифрлөө, билдирүү бүтүндүгү |
Тармак агымынын мониторингибул тармак же тармак сегменти аркылуу өткөн трафикти чогултуу, талдоо жана мониторинг жүргүзүү. Максаттар туташуу маселелерин чечүүдөн келечекте өткөрүү жөндөмдүүлүгүн бөлүштүрүүнү пландаштырууга чейин өзгөрүшү мүмкүн. Агымды көзөмөлдөө жана пакеттик үлгүлөрдү алуу коопсуздук маселелерин аныктоодо жана оңдоодо да пайдалуу болушу мүмкүн.
Агымдын мониторинги тармактык топторго тармактын кантип иштеп жатканы жөнүндө жакшы түшүнүк берет, жалпы пайдалануу, тиркемелерди колдонуу, потенциалдуу тоскоолдуктар, коопсуздук коркунучтарын билдире турган аномалиялар жана башкалар жөнүндө түшүнүк берет. Тармактын агымын көзөмөлдөөдө колдонулган бир нече ар кандай стандарттар жана форматтар бар, анын ичинде NetFlow, sFlow жана Интернет протоколунун агымынын маалымат экспорту (IPFIX). Ар бири бир аз башкача иштейт, бирок баары портту чагылдыруудан жана пакетти терең текшерүүдөн айырмаланат, анткени алар порт аркылуу же коммутатор аркылуу өткөн ар бир пакеттин мазмунун түшүрбөйт. Бирок, агымдын мониторинги SNMPге караганда көбүрөөк маалымат берет, ал жалпы пакетти жана өткөрүү жөндөмдүүлүгүн колдонуу сыяктуу кеңири статистика менен чектелет.
Тармак агымынын куралдары салыштырылган
Өзгөчөлүк | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Ачык же менчик | Менчик | Менчик | Open | Open |
Үлгү алынган же агымдын негизинде | Негизинен агымга негизделген; Үлгү режими жеткиликтүү | Негизинен агымга негизделген; Үлгү режими жеткиликтүү | Үлгү алынган | Негизинен агымга негизделген; Үлгү режими жеткиликтүү |
Маалыматтар алынган | Метаберилиштер жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар | Метаберилиштер жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар | Толук пакет баштары, жарым-жартылай пакет жүктөрү | Метаберилиштер жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар |
Кирүү/чыгуу мониторинги | Кирүү гана | Кирүү жана чыгуу | Кирүү жана чыгуу | Кирүү жана чыгуу |
IPv6/VLAN/MPLS колдоо | No | Ооба | Ооба | Ооба |
Посттун убактысы: Мар-18-2024