NetFlow va IPFIX ikkalasi ham tarmoq oqimini kuzatish va tahlil qilish uchun ishlatiladigan texnologiyalardir. Ular tarmoq trafik naqshlari haqida ma'lumot beradi, unumdorlikni optimallashtirish, muammolarni bartaraf etish va xavfsizlikni tahlil qilishga yordam beradi.
Tarmoq oqimi:
NetFlow nima?
NetFlowasl oqim monitoringi yechimi bo'lib, dastlab 1990-yillarning oxirlarida Cisco tomonidan ishlab chiqilgan. Bir nechta turli versiyalar mavjud, ammo ko'pgina joylashtirishlar NetFlow v5 yoki NetFlow v9 ga asoslangan. Har bir versiya turli xil imkoniyatlarga ega bo'lsa-da, asosiy operatsiya bir xil bo'lib qoladi:
Birinchidan, marshrutizator, kommutator, xavfsizlik devori yoki boshqa turdagi qurilma tarmoq "oqimlari"dagi ma'lumotlarni - asosan manba va manzil manzili, manba va manzil porti va protokol turi kabi umumiy xususiyatlar to'plamiga ega bo'lgan paketlar to'plamini - yozib oladi. Oqim harakatsiz holatga o'tgandan yoki oldindan belgilangan vaqt o'tgandan so'ng, qurilma oqim yozuvlarini "oqim yig'uvchi" deb nomlanuvchi obyektga eksport qiladi.
Nihoyat, "oqim analizatori" ushbu yozuvlarni tushunarli qiladi, vizualizatsiya, statistika va batafsil tarixiy va real vaqt rejimida hisobot berish shaklida tushunchalar beradi. Amalda, kollektorlar va analizatorlar ko'pincha bitta ob'ekt bo'lib, ko'pincha kattaroq tarmoq samaradorligini monitoring qilish yechimiga birlashtiriladi.
NetFlow holatli asosda ishlaydi. Mijoz mashinasi serverga murojaat qilganda, NetFlow oqimdan metama'lumotlarni olishni va umumlashtirishni boshlaydi. Sessiya tugagandan so'ng, NetFlow bitta to'liq yozuvni kollektorga eksport qiladi.
NetFlow v5 hali ham keng tarqalgan bo'lsa-da, bir qator cheklovlarga ega. Eksport qilinadigan maydonlar o'zgarmas, monitoring faqat kirish yo'nalishida qo'llab-quvvatlanadi va IPv6, MPLS va VXLAN kabi zamonaviy texnologiyalar qo'llab-quvvatlanmaydi. Flexible NetFlow (FNF) nomi bilan ham tanilgan NetFlow v9 ushbu cheklovlarning ba'zilarini bartaraf etadi, foydalanuvchilarga maxsus shablonlarni yaratish va yangi texnologiyalarni qo'llab-quvvatlash imkonini beradi.
Ko'pgina sotuvchilar, shuningdek, Juniper'dan jFlow va Huawei'dan NetStream kabi NetFlow'ning o'ziga xos implementatsiyalariga ega. Konfiguratsiya biroz farq qilishi mumkin bo'lsa-da, bu implementatsiyalar ko'pincha NetFlow kollektorlari va analizatorlari bilan mos keladigan oqim yozuvlarini ishlab chiqaradi.
NetFlow-ning asosiy xususiyatlari:
~ Oqim ma'lumotlariNetFlow manba va manzil IP manzillari, portlar, vaqt belgilari, paketlar va baytlar soni va protokol turlari kabi ma'lumotlarni o'z ichiga olgan oqim yozuvlarini yaratadi.
~ Yo'l harakati monitoringiNetFlow tarmoq trafik naqshlarining ko'rinishini ta'minlaydi, bu esa administratorlarga eng yaxshi ilovalar, so'nggi nuqtalar va trafik manbalarini aniqlash imkonini beradi.
~Anomaliyani aniqlashOqim ma'lumotlarini tahlil qilish orqali NetFlow ortiqcha o'tkazish qobiliyatidan foydalanish, tarmoq tiqilib qolishi yoki noodatiy trafik naqshlari kabi anomaliyalarni aniqlay oladi.
~ Xavfsizlik tahliliNetFlow’dan tarqatilgan xizmat ko‘rsatishdan bosh tortish (DDoS) hujumlari yoki ruxsatsiz kirishga urinishlar kabi xavfsizlik intsidentlarini aniqlash va tekshirish uchun foydalanish mumkin.
NetFlow versiyalariNetFlow vaqt o'tishi bilan rivojlanib bordi va uning turli versiyalari chiqarildi. Ba'zi mashhur versiyalar qatoriga NetFlow v5, NetFlow v9 va Flexible NetFlow kiradi. Har bir versiya yaxshilanishlar va qo'shimcha imkoniyatlarni taqdim etadi.
IPFIX:
IPFIX nima?
2000-yillarning boshlarida paydo bo'lgan IETF standarti bo'lgan Internet Protocol Flow Information Export (IPFIX) NetFlowga juda o'xshash. Aslida, NetFlow v9 IPFIX uchun asos bo'lib xizmat qilgan. Ikkalasi o'rtasidagi asosiy farq shundaki, IPFIX ochiq standart bo'lib, Cisco'dan tashqari ko'plab tarmoq sotuvchilari tomonidan qo'llab-quvvatlanadi. IPFIXga qo'shilgan bir nechta qo'shimcha maydonlar bundan mustasno, formatlar deyarli bir xil. Aslida, IPFIX ba'zan hatto "NetFlow v10" deb ham ataladi.
NetFlowga o'xshashligi sababli, IPFIX tarmoq monitoringi yechimlari va tarmoq uskunalari orasida keng qo'llab-quvvatlanadi.
IPFIX (Internet Protocol Flow Information Export) - bu Internet Engineering Task Force (IETF) tomonidan ishlab chiqilgan ochiq standart protokol. U NetFlow Version 9 spetsifikatsiyasiga asoslangan va tarmoq qurilmalaridan oqim yozuvlarini eksport qilish uchun standartlashtirilgan formatni taqdim etadi.
IPFIX NetFlow konsepsiyalariga asoslanadi va ularni turli sotuvchilar va qurilmalarda ko'proq moslashuvchanlik va o'zaro ishlashni taklif qilish uchun kengaytiradi. U shablonlar konsepsiyasini joriy etadi, bu esa oqim yozuvlari tuzilishi va tarkibini dinamik ravishda aniqlash imkonini beradi. Bu maxsus maydonlarni kiritish, yangi protokollarni qo'llab-quvvatlash va kengaytirish imkonini beradi.
IPFIXning asosiy xususiyatlari:
~ Shablonga asoslangan yondashuvIPFIX oqim yozuvlarining tuzilishi va mazmunini aniqlash uchun shablonlardan foydalanadi, bu esa turli ma'lumotlar maydonlari va protokolga xos ma'lumotlarni joylashtirishda moslashuvchanlikni taklif etadi.
~ O'zaro ishlash qobiliyatiIPFIX - bu ochiq standart bo'lib, turli tarmoq sotuvchilari va qurilmalarida izchil oqim monitoringi imkoniyatlarini ta'minlaydi.
~ IPv6 qo'llab-quvvatlashiIPFIX asl IPv6 ni qo'llab-quvvatlaydi, bu uni IPv6 tarmoqlarida trafikni kuzatish va tahlil qilish uchun moslashtiradi.
~Kengaytirilgan xavfsizlikIPFIX uzatish paytida oqim ma'lumotlarining maxfiyligi va yaxlitligini himoya qilish uchun Transport Layer Security (TLS) shifrlash va xabarlar yaxlitligini tekshirish kabi xavfsizlik xususiyatlarini o'z ichiga oladi.
IPFIX turli tarmoq uskunalari sotuvchilari tomonidan keng qo'llab-quvvatlanadi, bu esa uni tarmoq oqimini monitoring qilish uchun sotuvchiga qarama-qarshi va keng qo'llaniladigan tanlovga aylantiradi.
Xo'sh, NetFlow va IPFIX o'rtasidagi farq nima?
Oddiy javob shundaki, NetFlow - bu 1996-yil atrofida taqdim etilgan Cisco patentlangan protokoli va IPFIX uning standartlar organi tomonidan tasdiqlangan akasi.
Ikkala protokol ham bir xil maqsadga xizmat qiladi: tarmoq muhandislari va administratorlariga tarmoq darajasidagi IP-trafik oqimlarini to'plash va tahlil qilish imkonini beradi. Cisco NetFlow ni o'zining kommutatorlari va marshrutizatorlari ushbu qimmatli ma'lumotlarni chiqarishi uchun ishlab chiqdi. Cisco uskunalarining ustunligini hisobga olgan holda, NetFlow tezda tarmoq trafikini tahlil qilish uchun amalda standartga aylandi. Biroq, sanoat raqobatchilari asosiy raqibi tomonidan boshqariladigan mulkiy protokoldan foydalanish yaxshi fikr emasligini angladilar va shuning uchun IETF trafikni tahlil qilish uchun ochiq protokolni, ya'ni IPFIX ni standartlashtirishga harakat qildi.
IPFIX NetFlow 9-versiyasiga asoslangan va dastlab 2005-yil atrofida taqdim etilgan, ammo sanoat tomonidan qo'llanilishi uchun bir necha yil kerak bo'ldi. Hozirgi vaqtda ikkala protokol ham asosan bir xil va NetFlow atamasi hali ham keng tarqalgan bo'lsa-da, aksariyat implementatsiyalar (garchi hammasi emas) IPFIX standarti bilan mos keladi.
NetFlow va IPFIX o'rtasidagi farqlarni umumlashtiruvchi jadval:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Kelib chiqishi | Cisco tomonidan ishlab chiqilgan xususiy texnologiya | NetFlow 9-versiyasiga asoslangan sanoat standartidagi protokol |
| Standartlashtirish | Ciscoga xos texnologiya | RFC 7011 da IETF tomonidan belgilangan ochiq standart |
| Moslashuvchanlik | Muayyan xususiyatlarga ega rivojlangan versiyalar | Sotuvchilar o'rtasida katta moslashuvchanlik va o'zaro ishlash imkoniyati |
| Ma'lumotlar formati | Belgilangan o'lchamdagi paketlar | Moslashtiriladigan oqim yozuvlari formatlari uchun shablonga asoslangan yondashuv |
| Andoza qo'llab-quvvatlashi | Qo'llab-quvvatlanmaydi | Moslashuvchan maydonlarni kiritish uchun dinamik shablonlar |
| Sotuvchini qo'llab-quvvatlash | Asosan Cisco qurilmalari | Tarmoq sotuvchilari orasida keng qo'llab-quvvatlash |
| Kengaytirilishi | Cheklangan sozlash | Maxsus maydonlar va dasturga xos ma'lumotlarni kiritish |
| Protokol farqlari | Ciscoga xos o'zgarishlar | Mahalliy IPv6 qo'llab-quvvatlashi, takomillashtirilgan oqim yozuvi imkoniyatlari |
| Xavfsizlik xususiyatlari | Cheklangan xavfsizlik xususiyatlari | Transport qatlami xavfsizligi (TLS) shifrlash, xabar yaxlitligi |
Tarmoq oqimini kuzatishma'lum bir tarmoq yoki tarmoq segmentidan o'tadigan trafikni to'plash, tahlil qilish va monitoring qilishdir. Maqsadlar ulanish muammolarini bartaraf etishdan tortib, kelajakdagi o'tkazish qobiliyatini taqsimlashni rejalashtirishgacha farq qilishi mumkin. Oqim monitoringi va paket namunalarini olish hatto xavfsizlik muammolarini aniqlash va bartaraf etishda ham foydali bo'lishi mumkin.
Oqim monitoringi tarmoq guruhlariga tarmoq qanday ishlashi haqida yaxshi tasavvur beradi, umumiy foydalanish, ilovalardan foydalanish, potentsial to'siqlar, xavfsizlik tahdidlarini bildirishi mumkin bo'lgan anomaliyalar va boshqalar haqida ma'lumot beradi. Tarmoq oqimini monitoring qilishda NetFlow, sFlow va Internet Protocol Flow Information Export (IPFIX) kabi bir nechta turli xil standartlar va formatlar qo'llaniladi. Ularning har biri biroz boshqacha tarzda ishlaydi, ammo barchasi portni aks ettirish va chuqur paket tekshiruvidan farq qiladi, chunki ular port orqali yoki kommutator orqali o'tadigan har bir paketning tarkibini yozib olmaydi. Biroq, oqim monitoringi SNMPga qaraganda ko'proq ma'lumot beradi, bu odatda paket va o'tkazish qobiliyatidan umumiy foydalanish kabi keng statistika bilan cheklangan.
Tarmoq oqimi vositalari taqqoslandi
| Xususiyat | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Ochiq yoki mulkiy | Mulkiy | Mulkiy | Ochiq | Ochiq |
| Namuna olingan yoki oqimga asoslangan | Asosan oqimga asoslangan; Namuna olish rejimi mavjud | Asosan oqimga asoslangan; Namuna olish rejimi mavjud | Namuna olindi | Asosan oqimga asoslangan; Namuna olish rejimi mavjud |
| Qo'lga olingan ma'lumotlar | Metadata va statistik ma'lumotlar, jumladan, uzatilgan baytlar, interfeys hisoblagichlari va boshqalar | Metadata va statistik ma'lumotlar, jumladan, uzatilgan baytlar, interfeys hisoblagichlari va boshqalar | To'liq paket sarlavhalari, qisman paket yuklamalari | Metadata va statistik ma'lumotlar, jumladan, uzatilgan baytlar, interfeys hisoblagichlari va boshqalar |
| Kirish/chiqish monitoringi | Faqat kirish | Kirish va chiqish | Kirish va chiqish | Kirish va chiqish |
| IPv6/VLAN/MPLS qo'llab-quvvatlashi | No | Ha | Ha | Ha |
Nashr vaqti: 2024-yil 18-mart
