NetFlow ve IPFIX, ağ akışının izlenmesi ve analizi için kullanılan teknolojilerdir.Performans optimizasyonuna, sorun gidermeye ve güvenlik analizine yardımcı olarak ağ trafiği kalıplarına ilişkin bilgiler sağlarlar.
Net akış:
NetFlow nedir?
Net akışilk olarak Cisco tarafından 1990'ların sonlarında geliştirilen orijinal akış izleme çözümüdür.Birkaç farklı sürüm mevcuttur, ancak dağıtımların çoğu NetFlow v5 veya NetFlow v9'u temel alır.Her sürümün farklı yetenekleri olsa da temel işlem aynı kalır:
Birincisi, bir yönlendirici, anahtar, güvenlik duvarı veya başka türdeki bir cihaz, temel olarak kaynak ve hedef adresi, kaynak ve hedef bağlantı noktası ve protokol gibi ortak bir dizi özelliği paylaşan bir dizi paket olan ağ "akışları" hakkındaki bilgileri yakalayacaktır. tip.Bir akış hareketsiz hale geldikten veya önceden tanımlanmış bir süre geçtikten sonra cihaz, akış kayıtlarını "akış toplayıcı" olarak bilinen bir varlığa aktaracaktır.
Son olarak, bir "akış analizörü" bu kayıtları anlamlandırarak görselleştirmeler, istatistikler ve ayrıntılı geçmiş ve gerçek zamanlı raporlama biçiminde içgörüler sağlar.Uygulamada, toplayıcılar ve analizörler genellikle tek bir varlıktır ve çoğunlukla daha büyük bir ağ performansı izleme çözümü halinde birleştirilir.
NetFlow durum bilgisi temelinde çalışır.Bir istemci makine bir sunucuya ulaştığında NetFlow, akıştan meta verileri yakalamaya ve toplamaya başlayacaktır.Oturum sonlandırıldıktan sonra NetFlow, toplayıcıya tek bir tam kaydı aktaracaktır.
Halen yaygın olarak kullanılmasına rağmen NetFlow v5'in bir takım sınırlamaları vardır.Dışa aktarılan alanlar sabittir, izleme yalnızca giriş yönünde desteklenir ve IPv6, MPLS ve VXLAN gibi modern teknolojiler desteklenmez.Esnek NetFlow (FNF) olarak da adlandırılan NetFlow v9, bu sınırlamalardan bazılarını ele alarak kullanıcıların özel şablonlar oluşturmasına olanak tanır ve daha yeni teknolojiler için destek ekler.
Juniper'dan jFlow ve Huawei'den NetStream gibi birçok satıcının kendi NetFlow uygulamaları da vardır.Yapılandırma biraz farklılık gösterse de bu uygulamalar genellikle NetFlow toplayıcıları ve analizörleriyle uyumlu akış kayıtları üretir.
NetFlow'un Temel Özellikleri:
~ Akış Verileri: NetFlow, kaynak ve hedef IP adresleri, bağlantı noktaları, zaman damgaları, paket ve bayt sayıları ve protokol türleri gibi ayrıntıları içeren akış kayıtları oluşturur.
~ Trafik İzleme: NetFlow, ağ trafiği modellerinin görünürlüğünü sağlayarak yöneticilerin en iyi uygulamaları, uç noktaları ve trafik kaynaklarını tanımlamasına olanak tanır.
~Anomali tespiti: NetFlow, akış verilerini analiz ederek aşırı bant genişliği kullanımı, ağ tıkanıklığı veya olağandışı trafik modelleri gibi anormallikleri tespit edebilir.
~ Güvenlik analizi: NetFlow, dağıtılmış hizmet reddi (DDoS) saldırıları veya yetkisiz erişim girişimleri gibi güvenlik olaylarını tespit etmek ve araştırmak için kullanılabilir.
NetFlow Sürümleri: NetFlow zamanla gelişti ve farklı versiyonları yayınlandı.Bazı önemli sürümler arasında NetFlow v5, NetFlow v9 ve Esnek NetFlow bulunur.Her sürüm, geliştirmeler ve ek özellikler sunar.
IPFIX:
IPFIX nedir?
2000'li yılların başında ortaya çıkan bir IETF standardı olan İnternet Protokol Akışı Bilgilerini Dışa Aktarma (IPFIX), NetFlow'a son derece benzer.Aslında NetFlow v9, IPFIX'in temelini oluşturdu.İkisi arasındaki temel fark, IPFIX'in açık bir standart olması ve Cisco dışında birçok ağ satıcısı tarafından desteklenmesidir.IPFIX'e eklenen birkaç ek alan haricinde formatlar neredeyse aynıdır.Aslında IPFIX bazen “NetFlow v10” olarak da anılır.
NetFlow ile benzerliklerinden dolayı IPFIX, ağ ekipmanlarının yanı sıra ağ izleme çözümleri arasında da geniş bir desteğe sahiptir.
IPFIX (İnternet Protokol Akışı Bilgi Aktarımı), İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen açık standart bir protokoldür.NetFlow Sürüm 9 spesifikasyonunu temel alır ve ağ cihazlarından akış kayıtlarının dışarı aktarılması için standartlaştırılmış bir format sağlar.
IPFIX, NetFlow kavramlarını temel alır ve bunları farklı satıcılar ve cihazlar arasında daha fazla esneklik ve birlikte çalışabilirlik sağlayacak şekilde genişletir.Akış kaydı yapısının ve içeriğinin dinamik olarak tanımlanmasına olanak tanıyan şablon kavramını tanıtır.Bu, özel alanların eklenmesine, yeni protokoller için desteğe ve genişletilebilirliğe olanak tanır.
IPFIX'in Temel Özellikleri:
~ Şablon Tabanlı Yaklaşım: IPFIX, akış kayıtlarının yapısını ve içeriğini tanımlamak için şablonlar kullanır ve farklı veri alanlarını ve protokole özgü bilgileri barındırmada esneklik sunar.
~ Birlikte çalışabilirlik: IPFIX, farklı ağ sağlayıcıları ve cihazları arasında tutarlı akış izleme yetenekleri sağlayan açık bir standarttır.
~ IPv6 Desteği: IPFIX, IPv6'yı yerel olarak destekleyerek IPv6 ağlarındaki trafiğin izlenmesi ve analiz edilmesi için uygun hale getirir.
~Arttırılmış güvenlik: IPFIX, iletim sırasında akış verilerinin gizliliğini ve bütünlüğünü korumak için Aktarım Katmanı Güvenliği (TLS) şifrelemesi ve mesaj bütünlüğü kontrolleri gibi güvenlik özelliklerini içerir.
IPFIX, çeşitli ağ ekipmanı satıcıları tarafından geniş çapta desteklenmektedir, bu da onu satıcıdan bağımsız ve ağ akışı izleme için yaygın olarak benimsenen bir seçenek haline getirmektedir.
Peki NetFlow ile IPFIX arasındaki fark nedir?
Basit cevap, NetFlow'un 1996 civarında tanıtılan Cisco'ya özel bir protokol olduğu ve IPFIX'in de onun standartlar kuruluşu onaylı kardeşi olduğudur.
Her iki protokol de aynı amaca hizmet eder: ağ mühendislerinin ve yöneticilerinin ağ düzeyindeki IP trafik akışlarını toplamasına ve analiz etmesine olanak tanır.Cisco, NetFlow'u anahtarlarının ve yönlendiricilerinin bu değerli bilgilerin çıktısını alabilmesi için geliştirdi.Cisco donanımının hakimiyeti göz önüne alındığında, NetFlow hızla ağ trafiği analizi için fiili standart haline geldi.Ancak sektördeki rakipler, baş rakibi tarafından kontrol edilen özel bir protokolün kullanılmasının iyi bir fikir olmadığını fark etti ve bu nedenle IETF, trafik analizi için IPFIX adlı açık bir protokolü standartlaştırma çabasına öncülük etti.
IPFIX, NetFlow sürüm 9'u temel alır ve ilk olarak 2005 civarında tanıtıldı, ancak endüstride benimsenmesi birkaç yıl aldı.Bu noktada, iki protokol aslında aynıdır ve NetFlow terimi hala daha yaygın olsa da çoğu uygulama (hepsi olmasa da) IPFIX standardıyla uyumludur.
NetFlow ve IPFIX arasındaki farkları özetleyen bir tablo:
| Bakış açısı | Net akış | IPFIX |
|---|---|---|
| Menşei | Cisco tarafından geliştirilen özel teknoloji | NetFlow Sürüm 9'u temel alan endüstri standardı protokol |
| Standardizasyon | Cisco'ya özgü teknoloji | RFC 7011'de IETF tarafından tanımlanan açık standart |
| Esneklik | Belirli özelliklere sahip geliştirilmiş versiyonlar | Satıcılar arasında daha fazla esneklik ve birlikte çalışabilirlik |
| Veri formatı | Sabit boyutlu paketler | Özelleştirilebilir akış kaydı formatları için şablon tabanlı yaklaşım |
| Şablon Desteği | Desteklenmiyor | Esnek alan katılımı için dinamik şablonlar |
| Satıcı Desteği | Öncelikle Cisco cihazları | Ağ sağlayıcıları arasında geniş destek |
| Genişletilebilirlik | Sınırlı özelleştirme | Özel alanların ve uygulamaya özel verilerin dahil edilmesi |
| Protokol Farklılıkları | Cisco'ya özgü varyasyonlar | Yerel IPv6 desteği, gelişmiş akış kaydı seçenekleri |
| Güvenlik özellikleri | Sınırlı güvenlik özellikleri | Aktarım Katmanı Güvenliği (TLS) şifrelemesi, mesaj bütünlüğü |
Ağ Akışı İzlemebelirli bir ağ veya ağ bölümünden geçen trafiğin toplanması, analiz edilmesi ve izlenmesidir.Hedefler, bağlantı sorunlarının giderilmesinden gelecekteki bant genişliği tahsisinin planlanmasına kadar değişebilir.Akış izleme ve paket örnekleme, güvenlik sorunlarının tanımlanmasında ve düzeltilmesinde bile yararlı olabilir.
Akış izleme, ağ oluşturma ekiplerine bir ağın nasıl çalıştığı hakkında iyi bir fikir vererek genel kullanım, uygulama kullanımı, potansiyel darboğazlar, güvenlik tehditlerine işaret edebilecek anormallikler ve daha fazlası hakkında bilgi sağlar.Ağ akışı izlemede kullanılan NetFlow, sFlow ve İnternet Protokol Akış Bilgilerini Dışa Aktarma (IPFIX) dahil olmak üzere birçok farklı standart ve format vardır.Her biri biraz farklı şekilde çalışır ancak hepsi, bir bağlantı noktası üzerinden veya bir anahtar aracılığıyla geçen her paketin içeriğini yakalamamaları açısından bağlantı noktası yansıtma ve derin paket incelemesinden farklıdır.Ancak akış izleme, genellikle genel paket ve bant genişliği kullanımı gibi geniş istatistiklerle sınırlı olan SNMP'den daha fazla bilgi sağlar.
Ağ Akışı Araçları Karşılaştırıldı
| Özellik | NetFlow v5 | NetFlow v9 | Akış | IPFIX |
| Açık veya Tescilli | Tescilli | Tescilli | Açık | Açık |
| Örneklenmiş veya Akış Tabanlı | Öncelikle Akış Tabanlı;Örnekleme Modu mevcuttur | Öncelikle Akış Tabanlı;Örnekleme Modu mevcuttur | Örneklendi | Öncelikle Akış Tabanlı;Örnekleme Modu mevcuttur |
| Yakalanan Bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Komple Paket Başlıkları, Kısmi Paket Yükleri | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler |
| Giriş/Çıkış İzleme | Yalnızca Giriş | Giriş ve çıkış | Giriş ve çıkış | Giriş ve çıkış |
| IPv6/VLAN/MPLS Desteği | No | Evet | Evet | Evet |
Gönderim zamanı: Mart-18-2024
