NetFlow ve IPFIX, ağ akışı izleme ve analizi için kullanılan teknolojilerdir. Performans optimizasyonu, sorun giderme ve güvenlik analizine yardımcı olan ağ trafik modelleri hakkında bilgi verirler.
Netflow:
Netflow nedir?
Netflow1990'ların sonlarında Cisco tarafından geliştirilen orijinal akış izleme çözümüdür. Birkaç farklı sürüm mevcuttur, ancak çoğu dağıtım Netflow V5 veya Netflow V9'a dayanmaktadır. Her sürümün farklı özellikleri olsa da, temel işlem aynı kalır:
İlk olarak, bir yönlendirici, anahtar, güvenlik duvarı veya başka bir cihaz türü, “akışlar” ağındaki bilgileri yakalar - temel olarak kaynak ve hedef adres, kaynak ve hedef bağlantı noktası ve protokol türü gibi ortak bir dizi özellik paylaşan bir paket kümesi. Bir akış hareketsiz hale geldikten veya önceden tanımlanmış bir süre geçtikten sonra, cihaz akış kayıtlarını “akış toplayıcısı” olarak bilinen bir varlığa dışa aktaracaktır.
Son olarak, bir “akış analizörü”, görselleştirmeler, istatistikler ve ayrıntılı tarihsel ve gerçek zamanlı raporlama şeklinde bilgiler sağlayarak bu kayıtları anlamlandırır. Uygulamada, koleksiyoncular ve analizörler genellikle daha büyük bir ağ performans izleme çözümünde birleştirilen tek bir varlıktır.
Netflow durumsal olarak çalışır. Bir istemci makinesi bir sunucuya ulaştığında, Netflow meta verileri akıştan yakalamaya ve toplamaya başlar. Oturum sonlandırıldıktan sonra, Netflow koleksiyoncuya tek bir tam rekoru dışa aktaracaktır.
Hala yaygın olarak kullanılmasına rağmen, Netflow V5'in bir takım sınırlamaları vardır. Dışa aktarılan alanlar sabittir, izleme sadece giriş yönünde desteklenir ve IPv6, MPLS ve VXLAN gibi modern teknolojiler desteklenmez. Esnek Netflow (FNF) olarak da markalı Netflow V9, bu sınırlamaların bazılarını ele alarak kullanıcıların özel şablonlar oluşturmasına ve daha yeni teknolojilere destek eklemelerine olanak tanır.
Birçok satıcının, Juniper'dan Jflow ve Huawei'den Netstream gibi kendi özel Netflow uygulamalarına da sahiptir. Yapılandırma biraz farklılık gösterse de, bu uygulamalar genellikle netflow koleksiyoncuları ve analizörleri ile uyumlu akış kayıtları üretir.
Netflow'un temel özellikleri:
~ Akış verileri: NetFlow, kaynak ve hedef IP adresleri, bağlantı noktaları, zaman damgası, paket ve bayt sayıları ve protokol türleri gibi ayrıntıları içeren akış kayıtları oluşturur.
~ Trafik izleme: NetFlow, yöneticilerin en iyi uygulamaları, uç noktaları ve trafik kaynaklarını belirlemelerine olanak tanıyan ağ trafik modellerine görünürlük sağlar.
~Anomali tespiti: Akış verilerini analiz ederek NetFlow, aşırı bant genişliği kullanımı, ağ tıkanıklığı veya olağandışı trafik modelleri gibi anomalileri tespit edebilir.
~ Güvenlik analizi: NetFlow, dağıtılmış hizmet reddi (DDOS) saldırıları veya yetkisiz erişim girişimleri gibi güvenlik olaylarını tespit etmek ve araştırmak için kullanılabilir.
Netflow sürümleri: Netflow zamanla gelişti ve farklı sürümler yayınlandı. Bazı önemli sürümler arasında Netflow V5, Netflow V9 ve Esnek Netflow bulunur. Her sürüm geliştirmeler ve ek yetenekler sunar.
IPFIX:
Ipfix nedir?
2000'li yılların başında ortaya çıkan bir IETF standardı, İnternet Protokol Akışı Bilgi İhracatı (IPFIX) NetFlow'a son derece benzer. Aslında, Netflow V9 IPFIX için temel olarak hizmet etti. İkisi arasındaki birincil fark, IPFIX'in açık bir standart olması ve Cisco dışında birçok ağ satıcısı tarafından desteklenmesidir. IPFIX'e eklenen birkaç ek alan hariç, formatlar aksi takdirde neredeyse aynıdır. Aslında, IPFIX bazen “Netflow V10” olarak adlandırılır.
Kısmen NetFlow ile benzerlikleri nedeniyle IPFIX, ağ izleme çözümleri ve ağ ekipmanları arasında geniş desteğe sahiptir.
IPFIX (İnternet Protokolü Akışı Bilgileri Dışa Aktarma), İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen açık bir standart protokoldür. Netflow sürüm 9 spesifikasyonuna dayanır ve ağ cihazlarından akış kayıtlarını dışa aktarmak için standart bir biçim sağlar.
IPFIX, NetFlow kavramlarını oluşturur ve farklı satıcılar ve cihazlar arasında daha fazla esneklik ve birlikte çalışabilirlik sunacak şekilde genişletir. Akış kaydı yapısının ve içeriğinin dinamik tanımına izin veren şablon kavramını tanıtır. Bu, özel alanların dahil edilmesini, yeni protokollere destek ve genişletilebilirliği sağlar.
IPFIX'in temel özellikleri:
~ Şablon tabanlı yaklaşım: IPFIX, akış kayıtlarının yapısını ve içeriğini tanımlamak için şablonlar kullanır ve farklı veri alanlarını ve protokole özgü bilgileri barındırmada esneklik sağlar.
~ Birlikte çalışabilirlik: IPFIX, farklı ağ satıcıları ve cihazlarında tutarlı akış izleme özelliklerini sağlayan açık bir standarttır.
~ IPv6 Desteği: IPFIX, IPv6'yı yerel olarak destekleyerek IPv6 ağlarındaki trafiği izlemek ve analiz etmek için uygun hale getirir.
~Gelişmiş Güvenlik: IPFIX, iletim sırasında akış verilerinin gizliliğini ve bütünlüğünü korumak için Taşıma Katmanı Güvenliği (TLS) şifrelemesi ve mesaj bütünlüğü kontrolleri gibi güvenlik özelliklerini içerir.
IPFIX, çeşitli ağ ekipmanı satıcıları tarafından yaygın olarak desteklenmektedir, bu da onu satıcıdan bağımsız ve ağ akışı izleme için yaygın olarak benimsenen bir seçim haline getirir.
Peki, Netflow ve IPFIX arasındaki fark nedir?
Basit cevap, Netflow'un 1996 civarında tanıtılan bir Cisco tescilli protokol olması ve IPFIX'in vücut onaylı kardeşi standartlarıdır.
Her iki protokol de aynı amaca hizmet eder: ağ mühendislerinin ve yöneticilerinin ağ düzeyi IP trafik akışlarını toplamasını ve analiz etmesini sağlamak. Cisco, Netflow'u geliştirdi, böylece anahtarları ve yönlendiricileri bu değerli bilgileri çıkarabilir. Cisco Gear'ın egemenliği göz önüne alındığında, Netflow hızla ağ trafik analizi için fiili standardı oldu. Bununla birlikte, endüstri rakipleri, baş rakibi tarafından kontrol edilen tescilli bir protokolün kullanılmasının iyi bir fikir olmadığını ve bu nedenle IETF'nin IPFIX olan trafik analizi için açık bir protokolü standartlaştırma çabasına yol açtığını fark ettiler.
IPFIX, Netflow sürüm 9'a dayanmaktadır ve başlangıçta 2005 civarında tanıtılmıştır, ancak endüstrinin benimsenmesi için birkaç yıl sürdü. Bu noktada, iki protokol esasen aynıdır ve netflow terimi hala daha yaygın olmasına rağmen, çoğu uygulama (hepsi olmasa da) IPFIX standardı ile uyumludur.
İşte NetFlow ve IPFIX arasındaki farkları özetleyen bir tablo:
| Bakış açısı | Netflow | İpfix |
|---|---|---|
| Köken | Cisco tarafından geliştirilen tescilli teknoloji | Netflow sürüm 9'a dayanan endüstri standartları protokolü |
| Standardizasyon | Cisco'ya özgü teknoloji | IETF tarafından RFC 7011'de tanımlanan açık standart |
| Esneklik | Belirli özelliklere sahip gelişmiş versiyonlar | Satıcılar arasında daha fazla esneklik ve birlikte çalışabilirlik |
| Veri biçimi | Sabit boyutlu paketler | Özelleştirilebilir akış kaydı formatları için şablon tabanlı yaklaşım |
| Şablon desteği | Desteklenmiyor | Esnek alan içermesi için dinamik şablonlar |
| Satıcı desteği | Öncelikle Cisco Cihazları | Ağ satıcılarında geniş destek |
| Genişletilebilirlik | Sınırlı Özelleştirme | Özel alanların ve uygulamaya özgü verilerin dahil edilmesi |
| Protokol farklılıkları | Cisco'ya özgü varyasyonlar | Yerel IPv6 Desteği, Geliştirilmiş Akış Kayıt Seçenekleri |
| Güvenlik Özellikleri | Sınırlı Güvenlik Özellikleri | Aktarım Katmanı Güvenliği (TLS) Şifreleme, Mesaj Bütünlüğü |
Ağ Akışı İzlemeBelirli bir ağ veya ağ segmentini aşan trafiğin toplanması, analizi ve izlenmesidir. Hedefler, sorun gidermekten bağlantı sorunlarının gelecekteki bant genişliği tahsisini planlamaya kadar değişebilir. Akış izleme ve paket örnekleme, güvenlik sorunlarının belirlenmesinde ve iyileştirilmesinde bile yararlı olabilir.
Akış izleme, ağ ekiplerine bir ağın nasıl çalıştığı hakkında iyi bir fikir verir, genel kullanım, uygulama kullanımı, potansiyel darboğazlar, güvenlik tehditlerini işaret edebilecek anomaliler ve daha fazlası hakkında bilgi verir. Netflow, SFLOW ve Internet Protokolü Akış Bilgi Dışarı (IPFIX) dahil olmak üzere ağ akışı izlemesinde kullanılan birkaç farklı standart ve format vardır. Her biri biraz farklı bir şekilde çalışır, ancak hepsi bağlantı noktası yansıtma ve derin paket denetiminden farklıdır, çünkü bir bağlantı noktasından veya bir anahtardan geçen her paketin içeriğini yakalamazlar. Bununla birlikte, akış izleme, genellikle genel paket ve bant genişliği kullanımı gibi geniş istatistiklerle sınırlı olan SNMP'den daha fazla bilgi sağlar.
Ağ akış araçları karşılaştırıldı
| Özellik | Netflow V5 | Netflow V9 | sflow | İpfix |
| Açık veya tescilli | Tescilli | Tescilli | Açık | Açık |
| Örneklenmiş veya akış tabanlı | Öncelikle akış tabanlı; Örneklenen mod mevcut | Öncelikle akış tabanlı; Örneklenen mod mevcut | Örneklenmiş | Öncelikle akış tabanlı; Örneklenen mod mevcut |
| Yakalanan bilgiler | Aktarılan baytlar dahil meta veriler ve istatistiksel bilgiler, arayüz sayaçları vb. | Aktarılan baytlar dahil meta veriler ve istatistiksel bilgiler, arayüz sayaçları vb. | Tam paket başlıkları, kısmi paket yükleri | Aktarılan baytlar dahil meta veriler ve istatistiksel bilgiler, arayüz sayaçları vb. |
| Giriş/çıkış izleme | Sadece giriş | Giriş ve çıkış | Giriş ve çıkış | Giriş ve çıkış |
| IPv6/VLAN/MPLS Desteği | No | Evet | Evet | Evet |
Gönderme Zamanı: Mar-18-2024
