NetFlow жана IPFIX экөө тең тармак агымын көзөмөлдөө жана талдоо үчүн колдонулган технологиялар. Алар тармак трафигинин үлгүлөрү жөнүндө түшүнүк берип, иштин натыйжалуулугун оптималдаштырууга, көйгөйлөрдү чечүүгө жана коопсуздукту талдоого жардам берет.
Таза агым:
NetFlow деген эмне?
NetFlow- бул 1990-жылдардын аягында Cisco тарабынан иштелип чыккан баштапкы агымды көзөмөлдөө чечими. Бир нече ар кандай версиялары бар, бирок көпчүлүк жайылтуулар NetFlow v5 же NetFlow v9га негизделген. Ар бир версиянын ар кандай мүмкүнчүлүктөрү болгону менен, негизги операция ошол бойдон калат:
Биринчиден, роутер, коммутатор, брандмауэр же башка типтеги түзмөк тармактын "агымдарында" маалыматты чогултат - негизинен булак жана көздөгөн дарек, булак жана көздөгөн порт жана протоколдун түрү сыяктуу жалпы мүнөздөмөлөрдүн жыйындысын бөлүшкөн пакеттердин жыйындысы. Агым өчүп калгандан кийин же алдын ала аныкталган убакыт өткөндөн кийин, түзмөк агым жазууларын "агым чогулткуч" деп аталган бирдикке экспорттойт.
Акырында, "агым анализатору" ал жазууларды түшүнөт, визуализация, статистика жана деталдуу тарыхый жана реалдуу убакыттагы отчеттуулук түрүндө түшүнүктөрдү берет. Иш жүзүндө, коллекционерлер жана анализаторлор көбүнчө бир бүтүндүк болуп саналат, көбүнчө чоңураак тармактык иштин натыйжалуулугун көзөмөлдөө чечимине бириктирилет.
NetFlow абалдуу негизде иштейт. Кардар машинасы серверге кайрылганда, NetFlow агымдан метадайындарды чогултуп жана агрегациялай баштайт. Сеанс аяктагандан кийин, NetFlow коллекторго бир толук жазууну экспорттойт.
NetFlow v5 дагы эле кеңири колдонулганы менен, бир катар чектөөлөргө ээ. Экспорттолгон талаалар бекитилген, мониторинг кирүү багытында гана колдоого алынат жана IPv6, MPLS жана VXLAN сыяктуу заманбап технологиялар колдоого алынбайт. Flexible NetFlow (FNF) деп да аталган NetFlow v9 бул чектөөлөрдүн айрымдарын чечип, колдонуучуларга ыңгайлаштырылган шаблондорду түзүүгө жана жаңы технологияларды колдоого мүмкүндүк берет.
Көптөгөн сатуучулардын өздөрүнүн NetFlow ишке ашыруулары бар, мисалы, Juniper компаниясынын jFlow жана Huawei компаниясынын NetStream. Конфигурациясы бир аз айырмаланышы мүмкүн болсо да, бул ишке ашыруулар көбүнчө NetFlow коллекторлору жана анализаторлору менен шайкеш келген агым жазууларын түзөт.
NetFlow'дун негизги өзгөчөлүктөрү:
~ Агым маалыматтарыNetFlow булак жана көздөгөн IP даректери, порттор, убакыт белгилери, пакеттердин жана байттардын саны жана протокол түрлөрү сыяктуу маалыматтарды камтыган агым жазууларын түзөт.
~ Жол кыймылын көзөмөлдөөNetFlow тармактык трафиктин үлгүлөрүнүн көрүнүүсүн камсыз кылат, бул администраторлорго эң мыкты тиркемелерди, акыркы чекиттерди жана трафик булактарын аныктоого мүмкүндүк берет.
~Аномалияны аныктооАгым маалыматтарын талдоо менен, NetFlow өткөрүү жөндөмдүүлүгүн ашыкча пайдалануу, тармактын тыгыны же адаттан тыш трафик схемалары сыяктуу аномалияларды аныктай алат.
~ Коопсуздук талдоосуNetFlow коопсуздук инциденттерин, мисалы, таратылган кызмат көрсөтүүдөн баш тартуу (DDoS) чабуулдарын же уруксатсыз кирүү аракеттерин аныктоо жана иликтөө үчүн колдонулушу мүмкүн.
NetFlow версияларыNetFlow убакыттын өтүшү менен өнүгүп, ар кандай версиялары чыгарылган. Айрым көрүнүктүү версияларына NetFlow v5, NetFlow v9 жана Flexible NetFlow кирет. Ар бир версияда жакшыртуулар жана кошумча мүмкүнчүлүктөр бар.
IPFIX:
IPFIX деген эмне?
2000-жылдардын башында пайда болгон IETF стандарты болгон Интернет протоколунун агымынын маалымат экспорту (IPFIX) NetFlowго абдан окшош. Чындыгында, NetFlow v9 IPFIX үчүн негиз болгон. Экөөнүн ортосундагы негизги айырмачылык, IPFIX ачык стандарт болуп саналат жана Ciscoдон тышкары көптөгөн тармактык сатуучулар тарабынан колдоого алынат. IPFIXке кошулган бир нече кошумча талаалардан тышкары, форматтар башка жагынан дээрлик бирдей. Чындыгында, IPFIX кээде "NetFlow v10" деп да аталат.
NetFlowго окшоштуктарынан улам, IPFIX тармактык мониторинг чечимдеринин жана тармактык жабдуулардын арасында кеңири колдоого ээ.
IPFIX (Интернет протоколунун агымы жөнүндө маалыматты экспорттоо) - бул Интернет инженериясынын жумушчу тобу (IETF) тарабынан иштелип чыккан ачык стандарттуу протокол. Ал NetFlow 9-версиясынын спецификациясына негизделген жана тармактык түзмөктөрдөн агым жазууларын экспорттоо үчүн стандартташтырылган форматты камсыз кылат.
IPFIX NetFlow концепцияларына таянып, аларды ар кандай сатуучулар жана түзмөктөр арасында көбүрөөк ийкемдүүлүктү жана өз ара аракеттенүүнү сунуштоо үчүн кеңейтет. Ал шаблондор концепциясын киргизип, агым жазуусунун түзүмүн жана мазмунун динамикалык түрдө аныктоого мүмкүндүк берет. Бул ыңгайлаштырылган талааларды кошууга, жаңы протоколдорду колдоого жана кеңейтүүгө мүмкүндүк берет.
IPFIXтин негизги өзгөчөлүктөрү:
~ Шаблонго негизделген ыкмаIPFIX ар кандай маалымат талааларын жана протоколго тиешелүү маалыматты жайгаштырууда ийкемдүүлүктү сунуштап, агым жазууларынын түзүмүн жана мазмунун аныктоо үчүн шаблондорду колдонот.
~ Өз ара аракеттенүүIPFIX – бул ар кандай тармактык жеткирүүчүлөр жана түзмөктөр арасында ырааттуу агым мониторингинин мүмкүнчүлүктөрүн камсыз кылган ачык стандарт.
~ IPv6 колдоосуIPFIX түпнуска түрдө IPv6 колдойт, бул аны IPv6 тармактарындагы трафикти көзөмөлдөө жана талдоо үчүн ылайыктуу кылат.
~Өркүндөтүлгөн коопсуздукIPFIX берүү учурунда агым маалыматтарынын купуялуулугун жана бүтүндүгүн коргоо үчүн Transport Layer Security (TLS) шифрлөө жана билдирүүлөрдүн бүтүндүгүн текшерүү сыяктуу коопсуздук функцияларын камтыйт.
IPFIX ар кандай тармактык жабдууларды өндүрүүчүлөр тарабынан кеңири колдоого алынат, бул аны тармак агымын көзөмөлдөө үчүн өндүрүүчүлөргө нейтралдуу жана кеңири колдонулган тандоо кылат.
Ошентип, NetFlow менен IPFIXтин айырмасы эмнеде?
Жөнөкөй жооп, NetFlow - бул 1996-жылы киргизилген Cisco компаниясынын менчик протоколу, ал эми IPFIX - анын стандарттар органы тарабынан бекитилген бир тууганы.
Эки протокол тең бир максатка кызмат кылат: тармак инженерлерине жана администраторлоруна тармак деңгээлиндеги IP трафик агымдарын чогултууга жана талдоого мүмкүндүк берет. Cisco компаниясы NetFlowду өзүнүн коммутаторлору жана роутерлери бул баалуу маалыматты чыгара алышы үчүн иштеп чыккан. Cisco жабдууларынын үстөмдүгүн эске алганда, NetFlow тез эле тармак трафигин талдоо үчүн де-факто стандартына айланган. Бирок, тармактагы атаандаштар анын башкы атаандашы тарабынан башкарылуучу менчик протоколду колдонуу жакшы идея эмес экенин түшүнүшкөн жана ошондуктан IETF трафикти талдоо үчүн ачык протоколду, башкача айтканда, IPFIXти стандартташтыруу аракетин баштаган.
IPFIX NetFlow 9-версиясына негизделген жана алгач 2005-жылдары киргизилген, бирок тармакта кабыл алынышы үчүн бир нече жыл талап кылынган. Азыркы учурда эки протокол негизинен бирдей жана NetFlow термини дагы эле кеңири таралганы менен, көпчүлүк ишке ашыруулар (баары эле эмес) IPFIX стандарты менен шайкеш келет.
Бул жерде NetFlow жана IPFIX ортосундагы айырмачылыктарды кыскача баяндаган таблица келтирилген:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Келип чыгышы | Cisco тарабынан иштелип чыккан менчик технология | NetFlow 9-версиясына негизделген тармактык стандарттагы протокол |
| Стандартташтыруу | Ciscoго тиешелүү технология | RFC 7011де IETF тарабынан аныкталган ачык стандарт |
| Ийкемдүүлүк | Өзгөчө өзгөчөлүктөрү бар өнүккөн версиялар | Өндүрүүчүлөр арасында чоңураак ийкемдүүлүк жана өз ара аракеттенүү мүмкүнчүлүгү |
| Маалымат форматы | Белгиленген өлчөмдөгү пакеттер | Настройкалануучу агым жазууларынын форматтары үчүн шаблонго негизделген ыкма |
| Шаблонду колдоо | Колдоого алынбайт | Ийкемдүү талааларды кошуу үчүн динамикалык шаблондор |
| Сатуучуларды колдоо | Негизинен Cisco түзмөктөрү | Тармактык сатуучулар арасында кеңири колдоо |
| Кеңейтилиши | Чектелген ыңгайлаштыруу | Ыңгайлаштырылган талааларды жана тиркемеге тиешелүү маалыматтарды кошуу |
| Протоколдогу айырмачылыктар | Ciscoго мүнөздүү вариациялар | Жергиликтүү IPv6 колдоосу, жакшыртылган агым жазуу параметрлери |
| Коопсуздук функциялары | Чектелген коопсуздук функциялары | Транспорттук катмардын коопсуздугу (TLS) шифрлөө, билдирүүнүн бүтүндүгү |
Тармак агымын көзөмөлдөөбул белгилүү бир тармакты же тармак сегментин кесип өткөн трафикти чогултуу, талдоо жана көзөмөлдөө. Максаттар байланыш көйгөйлөрүн чечүүдөн баштап, келечектеги өткөрүү жөндөмдүүлүгүн бөлүштүрүүнү пландаштырууга чейин ар кандай болушу мүмкүн. Агымды көзөмөлдөө жана пакеттерди үлгү алуу коопсуздук маселелерин аныктоодо жана чечүүдө да пайдалуу болушу мүмкүн.
Агымды көзөмөлдөө тармактык топторго тармактын кандай иштеп жатканы жөнүндө жакшы түшүнүк берет, жалпы пайдалануу, тиркемелерди колдонуу, мүмкүн болгон тоскоолдуктар, коопсуздук коркунучтарын билдириши мүмкүн болгон аномалиялар жана башкалар жөнүндө маалымат берет. Тармактын агымын көзөмөлдөөдө NetFlow, sFlow жана Интернет протоколунун агымы жөнүндө маалыматты экспорттоо (IPFIX) сыяктуу бир нече ар кандай стандарттар жана форматтар колдонулат. Ар бири бир аз башкача иштейт, бирок баары портту чагылдыруудан жана пакеттерди терең текшерүүдөн айырмаланат, анткени алар порттон же коммутатордон өткөн ар бир пакеттин мазмунун кармабайт. Бирок, агым мониторинги SNMPге караганда көбүрөөк маалымат берет, ал жалпысынан пакеттерди жана өткөрүү жөндөмдүүлүгүн колдонуу сыяктуу кеңири статистика менен гана чектелет.
Тармак агымынын куралдары салыштырылды
| Өзгөчөлүк | NetFlow версиясы 5 | NetFlow версиясы 9 | sFlow | IPFIX |
| Ачык же менчик | Менчик | Менчик | Ачык | Ачык |
| Үлгү алынган же агымга негизделген | Негизинен агымга негизделген; үлгү алуу режими жеткиликтүү | Негизинен агымга негизделген; үлгү алуу режими жеткиликтүү | Үлгү алынган | Негизинен агымга негизделген; үлгү алуу режими жеткиликтүү |
| Маалымат тартылды | Метадайындар жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар | Метадайындар жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар | Толук пакет баштары, жарым-жартылай пакет жүктөмдөрү | Метадайындар жана статистикалык маалымат, анын ичинде өткөрүлүп берилген байттар, интерфейс эсептегичтери жана башкалар |
| Кирүү/чыгуу мониторинги | Кирүү гана | Кирүү жана чыгуу | Кирүү жана чыгуу | Кирүү жана чыгуу |
| IPv6/VLAN/MPLS колдоосу | No | Ооба | Ооба | Ооба |
Жарыяланган убактысы: 2024-жылдын 18-марты
