NetFlow һәм IPFIX икесе дә челтәр агымын күзәтү һәм анализлау өчен кулланыла торган технологияләр. Алар челтәр трафигы үрнәкләре турында мәгълүмат бирә, эшчәнлекне оптимальләштерүгә, проблемаларны чишүгә һәм куркынычсызлыкны анализлауга ярдәм итә.
NetFlow:
NetFlow нәрсә ул?
NetFlow1990-нчы еллар ахырында Cisco тарафыннан эшләнгән оригиналь агым мониторингы чишелеше. Берничә төрле версия бар, ләкин күпчелек урнаштырулар NetFlow v5 яки NetFlow v9 нигезендә эшләнгән. Һәр версиянең төрле мөмкинлекләре булса да, төп эш шул ук кала:
Беренчедән, роутер, коммутатор, брандмауэр яки башка төр җайланма челтәр "агымнары" турында мәгълүмат җыячак - нигездә, чыганак һәм максат адресы, чыганак һәм максат порты, һәм протокол тибы кебек уртак үзенчәлекләр җыелмасын уртаклашкан пакетлар җыелмасы. Агым йокыга киткәннән соң яки алдан билгеләнгән вакыт үткәннән соң, җайланма агым язмаларын "агым җыючы" дип аталган берәмлеккә экспортлый.
Ниһаять, "агым анализаторы" бу язмаларны аңлап, визуализацияләр, статистика һәм җентекле тарихи һәм реаль вакыт отчетлары рәвешендә мәгълүмат бирә. Гамәлдә, җыючылар һәм анализаторлар еш кына бердәм берәмлек булып тора, еш кына зуррак челтәр эшчәнлеген күзәтү чишелешенә берләштерелә.
NetFlow статуслы нигездә эшли. Клиент машинасы серверга мөрәҗәгать иткәч, NetFlow агымнан метамәгълүматларны җыя һәм агрегацияли башлаячак. Сеанс тәмамланганнан соң, NetFlow коллекторга бер тулы язма экспортлаячак.
NetFlow v5 әле дә еш кулланылса да, аның берничә чикләүе бар. Экспортланган кырлар билгеләнгән, мониторинг бары тик керү юнәлешендә генә хуплана, һәм IPv6, MPLS һәм VXLAN кебек заманча технологияләр хупланмый. NetFlow v9, шулай ук Flexible NetFlow (FNF) буларак та билгеле, бу чикләүләрнең кайберләрен бетерә, кулланучыларга махсус шаблоннар төзергә һәм яңа технологияләргә ярдәм өстәргә мөмкинлек бирә.
Күп кенә сатучыларның үзләренең NetFlow реализацияләре бар, мәсәлән, Juniper'дан jFlow һәм Huawei'дан NetStream. Конфигурация бераз аерылып торса да, бу реализацияләр еш кына NetFlow коллекторлары һәм анализаторлары белән туры килә торган агым язмаларын бирә.
NetFlow-ның төп үзенчәлекләре:
~ Агым мәгълүматларыNetFlow чыганак һәм максат IP адреслары, портлар, вакыт тамгалары, пакетлар һәм байтлар саны, шулай ук протокол төрләре кебек мәгълүматны үз эченә алган агым язмаларын булдыра.
~ Юл хәрәкәтен күзәтүNetFlow челтәр трафигы үрнәкләрен күрә алу мөмкинлеген бирә, администраторларга иң яхшы кушымталарны, соңгы нокталарны һәм трафик чыганакларын билгеләргә мөмкинлек бирә.
~Аномалияне ачыклауАгым мәгълүматларын анализлау аша, NetFlow артык күп полоса киңлеген куллану, челтәр тыгызлыгы яки гадәти булмаган трафик үрнәкләре кебек аномалияләрне ачыклый ала.
~ Куркынычсызлык анализыNetFlow куркынычсызлык инцидентларын, мәсәлән, таратылган хезмәт күрсәтүдән баш тарту (DDoS) һөҗүмнәрен яки рөхсәтсез керү омтылышларын ачыклау һәм тикшерү өчен кулланылырга мөмкин.
NetFlow версияләреNetFlow вакыт узу белән үсеш алды, һәм төрле версияләре чыгарылды. Кайбер күренекле версияләр арасында NetFlow v5, NetFlow v9 һәм Flexible NetFlow бар. Һәр версиядә яхшыртулар һәм өстәмә мөмкинлекләр бар.
IPFIX:
IPFIX нәрсә ул?
2000 еллар башында барлыкка килгән IETF стандарты, Интернет протоколы агымы мәгълүматын экспортлау (IPFIX), NetFlowка бик охшаш. Чынлыкта, NetFlow v9 IPFIX өчен нигез булып хезмәт итте. Икесе арасындагы төп аерма шунда ки, IPFIX ачык стандарт булып тора һәм Ciscoдан тыш күп кенә челтәр җитештерүчеләре тарафыннан хуплана. IPFIXка өстәлгән берничә өстәмә кырдан тыш, форматлар башкача диярлек бер үк. Чынлыкта, IPFIX кайвакыт хәтта "NetFlow v10" дип тә атала.
NetFlow белән охшашлыгы аркасында, IPFIX челтәр мониторингы чишелешләре һәм челтәр җиһазлары арасында киң ярдәмгә ия.
IPFIX (Интернет протоколы агымы мәгълүматын экспортлау) - Интернет инженериясе эш төркеме (IETF) тарафыннан эшләнгән ачык стандарт протокол. Ул NetFlow 9 версиясе спецификациясенә нигезләнгән һәм челтәр җайланмаларыннан агым язмаларын экспортлау өчен стандартлаштырылган формат тәкъдим итә.
IPFIX NetFlow концепцияләренә нигезләнә һәм аларны төрле җитештерүчеләр һәм җайланмалар арасында күбрәк сыгылучанлык һәм үзара эшләү мөмкинлеген тәкъдим итү өчен киңәйтә. Ул шаблоннар концепциясен кертә, агым язмасы структурасын һәм эчтәлеген динамик билгеләү мөмкинлеген бирә. Бу махсус кырларны кертү, яңа протоколларны хуплау һәм киңәйтү мөмкинлеген бирә.
IPFIX-ның төп үзенчәлекләре:
~ Шаблонга нигезләнгән ысулIPFIX төрле мәгълүмат кырларын һәм протоколга кагылышлы мәгълүматны урнаштыруда сыгылучанлык тәкъдим итеп, агым язмаларының структурасын һәм эчтәлеген билгеләү өчен шаблоннар куллана.
~ Үзара эшләүчәнлекIPFIX - ачык стандарт, ул төрле челтәр җитештерүчеләре һәм җайланмалары арасында агымны даими күзәтү мөмкинлекләрен тәэмин итә.
~ IPv6 ярдәмеIPFIX IPv6ны тулысынча хуплый, бу аны IPv6 челтәрләрендә трафикны күзәтү һәм анализлау өчен яраклы итә.
~Күбрәк куркынычсызлыкIPFIX тапшыру вакытында агым мәгълүматларының конфиденциальлеген һәм бөтенлеген саклау өчен Транспорт катламы куркынычсызлыгы (TLS) шифрлавы һәм хәбәрләрнең бөтенлеген тикшерү кебек куркынычсызлык функцияләрен үз эченә ала.
IPFIX төрле челтәр җиһазлары җитештерүчеләре тарафыннан киң хуплана, бу аны челтәр агымын күзәтү өчен җитештерүчегә нейтраль һәм киң таралган сайлау итә.
Шулай итеп, NetFlow һәм IPFIX арасында нинди аерма бар?
Гади җавап шунда: NetFlow - 1996 ел тирәсендә тәкъдим ителгән Cisco патент протоколы, ә IPFIX - аның стандартлар органы тарафыннан расланган абыйсы.
Ике протокол да бер үк максатка хезмәт итә: челтәр инженерларына һәм администраторларына челтәр дәрәҗәсендәге IP трафик агымнарын җыярга һәм анализларга мөмкинлек бирә. Cisco NetFlowны үзенең коммутаторлары һәм маршрутизаторлары бу кыйммәтле мәгълүматны чыгара алсын өчен эшләде. Cisco җиһазларының өстенлек итүен исәпкә алып, NetFlow тиз арада челтәр трафигын анализлау өчен де-факто стандартка әйләнде. Ләкин, тармак конкурентлары төп көндәше тарафыннан контрольдә тотыла торган патент протоколын куллану яхшы идея түгел икәнен аңладылар, һәм шуңа күрә IETF трафик анализы өчен ачык протоколны, ягъни IPFIXны стандартлаштыру өчен тырышлык куйды.
IPFIX NetFlow 9 нчы версиясенә нигезләнгән һәм башта 2005 ел тирәсендә тәкъдим ителгән, ләкин тармакта кулланылышка керү өчен берничә ел кирәк булган. Хәзерге вакытта ике протокол да, нигездә, бер үк, һәм NetFlow термины әле дә киң таралган булса да, күпчелек реализацияләр (барысы да түгел) IPFIX стандарты белән туры килә.
NetFlow һәм IPFIX арасындагы аермаларны кыскача күрсәтүче таблица:
| Аспект | NetFlow | IPFIX |
|---|---|---|
| Чыгышы | Cisco тарафыннан эшләнгән шәхси технология | NetFlow 9 нчы версиясенә нигезләнгән тармак стандарт протоколы |
| Стандартлаштыру | Ciscoга хас технология | RFC 7011'дә IETF тарафыннан билгеләнгән ачык стандарт |
| Сыгылмалылык | Аерым үзенчәлекләре булган үсеш алган версияләр | Сатучылар арасында зуррак сыгылучанлык һәм үзара эшләү мөмкинлеге |
| Мәгълүмат форматы | Билгеле бер зурлыктагы пакетлар | Үзгәртеп була торган агым язмалары форматлары өчен шаблонга нигезләнгән ысул |
| Шаблон ярдәме | Ярдәм ителми | Гибкий кырларны кертү өчен динамик шаблоннар |
| Сатучы ярдәме | Нигездә, Cisco җайланмалары | челтәр сатучыларында киң ярдәм |
| Киңәйтелүчәнлек | Чикләнгән көйләү | Махсус кырларны һәм кушымтага кагылышлы мәгълүматларны кертү |
| Протокол аермалары | Cisco'га хас вариантлар | Туган IPv6 ярдәме, яхшыртылган агым язмасы вариантлары |
| Куркынычсызлык үзенчәлекләре | Чикләнгән куркынычсызлык функцияләре | Транспорт катламы куркынычсызлыгы (TLS) шифрлау, хәбәрләрнең бөтенлеге |
Челтәр агымын күзәтүбилгеле бер челтәр яки челтәр сегменты аша үтүче трафикны җыю, анализлау һәм күзәтү. Максатлар тоташу проблемаларын чишүдән алып киләчәктәге полоса киңлеген бүлүне планлаштыруга кадәр төрле булырга мөмкин. Агым мониторингы һәм пакетлар сайлау хәтта куркынычсызлык проблемаларын ачыклауда һәм төзәтүдә дә файдалы булырга мөмкин.
Агым мониторингы челтәр командаларына челтәрнең ничек эшләве турында яхшы күзаллау бирә, гомуми куллану, кушымталарны куллану, потенциаль киртәләрне, куркынычсызлыкка куркыныч тудырырга мөмкин булган аномалияләрне һәм башкаларны күрсәтә. Челтәр агымын мониторинглауда кулланыла торган берничә төрле стандарт һәм формат бар, шул исәптән NetFlow, sFlow һәм Интернет протоколы агымы мәгълүматын экспортлау (IPFIX). Һәрберсе бераз башкача эшли, ләкин барысы да порт көзгеләүдән һәм тирән пакет тикшерүеннән аерылып тора, чөнки алар порт аша яки коммутатор аша үтүче һәр пакетның эчтәлеген теркәмиләр. Ләкин, агым мониторингы SNMPга караганда күбрәк мәгълүмат бирә, ул гадәттә пакет һәм полоса киңлеген куллану кебек киң статистика белән чикләнә.
Челтәр агымы коралларын чагыштыру
| Функция | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Ачык яки милек хокукына ия | Милек хокукына ия | Милек хокукына ия | Ачык | Ачык |
| Үрнәк алынган яки агымга нигезләнгән | Нигездә, агымга нигезләнгән; үрнәк алу режимы бар | Нигездә, агымга нигезләнгән; үрнәк алу режимы бар | Үрнәк алынган | Нигездә, агымга нигезләнгән; үрнәк алу режимы бар |
| Тотылган мәгълүмат | Метамәгълүматлар һәм статистик мәгълүмат, шул исәптән күчерелгән байтлар, интерфейс санагычлары һ.б. | Метамәгълүматлар һәм статистик мәгълүмат, шул исәптән күчерелгән байтлар, интерфейс санагычлары һ.б. | Тулы пакет башлыклары, өлешчә пакет йөкләнеше | Метамәгълүматлар һәм статистик мәгълүмат, шул исәптән күчерелгән байтлар, интерфейс санагычлары һ.б. |
| Керү/чыгуны күзәтү | Керү генә | Керү һәм чыгу | Керү һәм чыгу | Керү һәм чыгу |
| IPv6/VLAN/MPLS ярдәме | No | Әйе | Әйе | Әйе |
Бастырып чыгару вакыты: 2024 елның 18 марты
