NetFlow e IPFIX son ambas as tecnoloxías utilizadas para o seguimento e análise do fluxo de rede. Ofrecen información sobre os patróns de tráfico da rede, axudando á optimización do rendemento, resolución de problemas e análise de seguridade.
NetFlow:
Que é NetFlow?
NetFlowé a solución orixinal de monitorización do fluxo, desenvolvida orixinalmente por Cisco a finais da década de 1990. Existen varias versións diferentes, pero a maioría das implementacións baséanse en NetFlow v5 ou NetFlow v9. Aínda que cada versión ten capacidades diferentes, o funcionamento básico segue sendo o mesmo:
En primeiro lugar, un enrutador, conmutador, firewall ou outro tipo de dispositivo capturará información sobre os "fluxos" da rede, basicamente un conxunto de paquetes que comparten un conxunto común de características como o enderezo de orixe e destino, o porto de orixe e destino e o protocolo. tipo. Despois de que un fluxo quedou inactivo ou transcorra un período de tempo predefinido, o dispositivo exportará os rexistros de fluxo a unha entidade coñecida como "colector de fluxo".
Finalmente, un "analizador de fluxo" dá sentido a eses rexistros, proporcionando información en forma de visualizacións, estatísticas e informes históricos detallados e en tempo real. Na práctica, os colectores e analizadores adoitan ser unha única entidade, moitas veces combinadas nunha solución de monitorización do rendemento da rede máis grande.
NetFlow funciona sobre unha base de estado. Cando unha máquina cliente chega a un servidor, NetFlow comezará a capturar e agregar metadatos do fluxo. Despois de finalizar a sesión, NetFlow exportará un único rexistro completo ao colector.
Aínda que aínda se usa habitualmente, NetFlow v5 ten unha serie de limitacións. Os campos exportados son fixos, a supervisión só se admite na dirección de entrada e as tecnoloxías modernas como IPv6, MPLS e VXLAN non son compatibles. NetFlow v9, tamén denominado Flexible NetFlow (FNF), aborda algunhas destas limitacións, permitindo aos usuarios crear modelos personalizados e engadir soporte para tecnoloxías máis novas.
Moitos provedores tamén teñen as súas propias implementacións propietarias de NetFlow, como jFlow de Juniper e NetStream de Huawei. Aínda que a configuración pode diferir algo, estas implementacións adoitan producir rexistros de fluxo que son compatibles cos colectores e analizadores NetFlow.
Características principais de NetFlow:
~ Datos de fluxo: NetFlow xera rexistros de fluxo que inclúen detalles como enderezos IP de orixe e destino, portos, marcas de tempo, contas de paquetes e bytes e tipos de protocolo.
~ Seguimento do Tráfico: NetFlow ofrece visibilidade dos patróns de tráfico da rede, permitindo aos administradores identificar as principais aplicacións, puntos finais e fontes de tráfico.
~Detección de anomalías: Ao analizar os datos de fluxo, NetFlow pode detectar anomalías como o uso excesivo do ancho de banda, a conxestión da rede ou patróns de tráfico pouco habituais.
~ Análise de seguridade: NetFlow pódese usar para detectar e investigar incidentes de seguridade, como ataques de denegación de servizo distribuído (DDoS) ou intentos de acceso non autorizados.
Versións de NetFlow: NetFlow foi evolucionando co paso do tempo e lanzáronse diferentes versións. Algunhas versións notables inclúen NetFlow v5, NetFlow v9 e Flexible NetFlow. Cada versión introduce melloras e capacidades adicionais.
IPFIX:
Que é IPFIX?
Un estándar IETF que xurdiu a principios dos anos 2000, Internet Protocol Flow Information Export (IPFIX) é moi semellante a NetFlow. De feito, NetFlow v9 serviu como base para IPFIX. A principal diferenza entre os dous é que IPFIX é un estándar aberto e é compatible con moitos provedores de redes ademais de Cisco. Con excepción dalgúns campos adicionais engadidos en IPFIX, os formatos son case idénticos. De feito, ás veces incluso se fai referencia a IPFIX como "NetFlow v10".
Debido en parte ás súas semellanzas con NetFlow, IPFIX goza de amplo soporte entre as solucións de vixilancia de rede e os equipos de rede.
IPFIX (Internet Protocol Flow Information Export) é un protocolo estándar aberto desenvolvido pola Internet Engineering Task Force (IETF). Está baseado na especificación NetFlow Versión 9 e ofrece un formato estandarizado para exportar rexistros de fluxo desde dispositivos de rede.
IPFIX baséase nos conceptos de NetFlow e amplíaos para ofrecer máis flexibilidade e interoperabilidade entre diferentes provedores e dispositivos. Introduce o concepto de modelos, permitindo a definición dinámica da estrutura e contido do rexistro de fluxo. Isto permite a inclusión de campos personalizados, compatibilidade con novos protocolos e extensibilidade.
Características principais de IPFIX:
~ Enfoque baseado en modelos: IPFIX usa modelos para definir a estrutura e o contido dos rexistros de fluxo, ofrecendo flexibilidade para acomodar diferentes campos de datos e información específica do protocolo.
~ Interoperabilidade: IPFIX é un estándar aberto, que garante capacidades de monitorización de fluxo consistentes en diferentes provedores e dispositivos de rede.
~ Soporte IPv6: IPFIX admite IPv6 de forma nativa, polo que é adecuado para supervisar e analizar o tráfico en redes IPv6.
~Seguridade mellorada: IPFIX inclúe funcións de seguranza como o cifrado TLS (Transport Layer Security) e as comprobacións de integridade da mensaxe para protexer a confidencialidade e integridade dos datos de fluxo durante a transmisión.
IPFIX é amplamente compatible con varios provedores de equipos de rede, polo que é unha opción neutral para os provedores e amplamente adoptada para a monitorización do fluxo de rede.
Entón, cal é a diferenza entre NetFlow e IPFIX?
A resposta sinxela é que NetFlow é un protocolo propietario de Cisco introducido ao redor de 1996 e IPFIX é o seu irmán aprobado polo organismo de estándares.
Ambos protocolos teñen o mesmo propósito: permitir que os enxeñeiros e administradores de rede recompilen e analicen os fluxos de tráfico IP a nivel de rede. Cisco desenvolveu NetFlow para que os seus conmutadores e enrutadores puidesen emitir esta valiosa información. Dado o dominio do equipamento Cisco, NetFlow converteuse rapidamente no estándar de facto para a análise do tráfico de rede. Non obstante, os competidores da industria decatáronse de que usar un protocolo propietario controlado polo seu principal rival non era unha boa idea e, polo tanto, o IETF liderou un esforzo para estandarizar un protocolo aberto para a análise do tráfico, que é IPFIX.
IPFIX está baseado na versión 9 de NetFlow e foi introducido orixinalmente ao redor de 2005, pero tardou algúns anos en conseguir a adopción da industria. Neste punto, os dous protocolos son esencialmente iguais e aínda que o termo NetFlow é aínda máis frecuente a maioría das implementacións (aínda que non todas) son compatibles co estándar IPFIX.
Aquí tes unha táboa que resume as diferenzas entre NetFlow e IPFIX:
Aspecto | NetFlow | IPFIX |
---|---|---|
Orixe | Tecnoloxía propietaria desenvolvida por Cisco | Protocolo estándar do sector baseado na versión 9 de NetFlow |
Normalización | Tecnoloxía específica de Cisco | Estándar aberto definido por IETF en RFC 7011 |
Flexibilidade | Versións evolucionadas con características específicas | Maior flexibilidade e interoperabilidade entre provedores |
Formato de datos | Paquetes de tamaño fixo | Enfoque baseado en modelos para formatos de rexistro de fluxo personalizables |
Soporte de modelos | Non é compatible | Modelos dinámicos para a inclusión de campos flexibles |
Soporte de vendedores | Principalmente dispositivos Cisco | Amplo soporte entre os provedores de redes |
Extensibilidade | Personalización limitada | Inclusión de campos personalizados e datos específicos da aplicación |
Diferenzas de protocolo | Variacións específicas de Cisco | Compatibilidade nativa con IPv6, opcións de rexistro de fluxo melloradas |
Características de seguridade | Funcións de seguridade limitadas | Cifrado de seguridade da capa de transporte (TLS), integridade da mensaxe |
Monitorización do fluxo de redeé a recollida, análise e seguimento do tráfico que atravesa unha determinada rede ou segmento de rede. Os obxectivos poden variar desde a resolución de problemas de conectividade ata a planificación da futura asignación de ancho de banda. A monitorización do fluxo e a mostraxe de paquetes poden incluso ser útiles para identificar e solucionar problemas de seguridade.
A supervisión do fluxo ofrece aos equipos de redes unha boa idea de como está a funcionar unha rede, proporcionando información sobre a utilización xeral, o uso das aplicacións, os posibles pescozos de botella, as anomalías que poden sinalar ameazas de seguridade e moito máis. Existen varios estándares e formatos diferentes utilizados na monitorización do fluxo de rede, incluíndo NetFlow, sFlow e Internet Protocol Flow Information Export (IPFIX). Cada un funciona dun xeito lixeiramente diferente, pero todos son distintos da duplicación de portos e da inspección profunda de paquetes, xa que non capturan o contido de cada paquete que pasa por un porto ou por un interruptor. Non obstante, a monitorización do fluxo proporciona máis información que SNMP, que xeralmente se limita a estatísticas amplas como o uso global de paquetes e ancho de banda.
Ferramentas de fluxo de rede comparadas
Característica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Aberto ou propietario | Propietario | Propietario | Aberto | Aberto |
Mostrado ou baseado en fluxo | Baseado principalmente no fluxo; O modo de mostra está dispoñible | Baseado principalmente no fluxo; O modo de mostra está dispoñible | Mostrado | Baseado principalmente no fluxo; O modo de mostra está dispoñible |
Información capturada | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interfaces, etc | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interfaces, etc | Encabezados de paquetes completos, cargas de paquetes parciais | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interfaces, etc |
Monitorización de entrada/saída | Só entrada | Entrada e saída | Entrada e saída | Entrada e saída |
Soporte IPv6/VLAN/MPLS | No | Si | Si | Si |
Hora de publicación: 18-mar-2024