Is teicneolaíochtaí iad NetFlow agus IPFIX araon a úsáidtear le haghaidh monatóireachta agus anailíse sreabhadh líonra. Soláthraíonn siad léargas ar phatrúin tráchta líonra, rud a chabhraíonn le feidhmíocht a bharrfheabhsú, fabhtcheartú agus anailís slándála.
NetFlow:
Cad é NetFlow?
NetFlowIs é an réiteach monatóireachta sreafa bunaidh é, arna fhorbairt ag Cisco ar dtús ag deireadh na 1990idí. Tá roinnt leaganacha éagsúla ann, ach tá an chuid is mó de na himscarthaí bunaithe ar NetFlow v5 nó NetFlow v9. Cé go bhfuil cumais éagsúla ag gach leagan, fanann an oibríocht bhunúsach mar a chéile:
Ar dtús, gabhfaidh ródaire, lasc, balla dóiteáin, nó cineál eile gléis faisnéis ar “shreabhadh” an líonra – go bunúsach sraith paicéad a bhfuil sraith tréithe coitianta acu amhail seoladh foinse agus ceann scríbe, port foinse agus ceann scríbe, agus cineál prótacail. Tar éis sreabhadh a bheith díomhaoin nó tar éis tréimhse réamhshainithe ama a bheith caite, easpórtálfaidh an gléas na taifid sreafa chuig eintiteas ar a dtugtar “bailitheoir sreafa”.
Ar deireadh, déanann “anailíseoir sreafa” ciall de na taifid sin, ag soláthar léargais i bhfoirm léirshamhlaíochtaí, staitisticí, agus tuairisciú mionsonraithe stairiúil agus fíor-ama. Go praiticiúil, is minic a bhíonn bailitheoirí agus anailíseoirí ina n-eintiteas aonair, agus is minic a chuirtear le chéile iad i réiteach monatóireachta feidhmíochta líonra níos mó.
Oibríonn NetFlow ar bhonn stáit. Nuair a dhéanann meaisín cliaint teagmháil le freastalaí, tosóidh NetFlow ag gabháil agus ag comhiomlánú meiteashonraí ón sreabhadh. Tar éis dheireadh na seisiúin, easpórtálfaidh NetFlow taifead iomlán aonair chuig an mbailitheoir.
Cé go bhfuil sé fós in úsáid go coitianta, tá roinnt teorainneacha ag baint le NetFlow v5. Tá na réimsí a onnmhairítear socraithe, ní thacaítear le monatóireacht ach amháin sa treo isteach, agus ní thacaítear le teicneolaíochtaí nua-aimseartha cosúil le IPv6, MPLS, agus VXLAN. Tugann NetFlow v9, ar a dtugtar Flexible NetFlow (FNF) freisin, aghaidh ar chuid de na teorainneacha seo, rud a ligeann d'úsáideoirí teimpléid saincheaptha a thógáil agus tacaíocht a chur leis do theicneolaíochtaí níos nuaí.
Tá a gcuid cur i bhfeidhm dílseánaigh féin de NetFlow ag go leor díoltóirí freisin, amhail jFlow ó Juniper agus NetStream ó Huawei. Cé go bhféadfadh an chumraíocht a bheith beagán difriúil, is minic a tháirgeann na cur i bhfeidhm seo taifid sreafa atá comhoiriúnach le bailitheoirí agus anailíseoirí NetFlow.
Príomhghnéithe NetFlow:
~ Sonraí SreafaGineann NetFlow taifid sreafa lena n-áirítear sonraí amhail seoltaí IP foinse agus ceann scríbe, calafoirt, stampaí ama, comhaireamh paicéad agus beart, agus cineálacha prótacail.
~ Monatóireacht TráchtaSoláthraíonn NetFlow infheictheacht ar phatrúin tráchta líonra, rud a ligeann do riarthóirí príomhfheidhmchláir, críochphointí agus foinsí tráchta a aithint.
~Brath NeamhrialtachtaTrí shonraí sreafa a anailísiú, is féidir le NetFlow neamhghnáchaíochtaí a bhrath amhail úsáid iomarcach bandaleithead, plódú líonra, nó patrúin tráchta neamhghnácha.
~ Anailís SlándálaIs féidir NetFlow a úsáid chun teagmhais slándála a bhrath agus a imscrúdú, amhail ionsaithe diúltaithe seirbhíse dáilte (DDoS) nó iarrachtaí rochtana neamhúdaraithe.
Leaganacha NetFlowTá NetFlow tar éis teacht chun cinn le himeacht ama, agus tá leaganacha éagsúla eisithe. I measc cuid de na leaganacha suntasacha tá NetFlow v5, NetFlow v9, agus Flexible NetFlow. Tugann gach leagan feabhsuithe agus cumais bhreise isteach.
IPFIX:
Cad é IPFIX?
Caighdeán IETF a tháinig chun cinn go luath sna 2000idí is ea Internet Protocol Flow Information Export (IPFIX), atá an-chosúil le NetFlow. Déanta na fírinne, ba é NetFlow v9 bunús IPFIX. Is é an príomhdhifríocht idir an dá cheann ná gur caighdeán oscailte é IPFIX, agus go dtacaíonn go leor díoltóirí líonraithe leis seachas Cisco. Cé is moite de chúpla réimse breise a cuireadh leis in IPFIX, tá na formáidí beagnach mar a chéile ar shlí eile. Déanta na fírinne, tugtar “NetFlow v10” ar IPFIX uaireanta fiú.
Mar gheall ar a chosúlachtaí le NetFlow, tá tacaíocht leathan ag IPFIX i measc réitigh monatóireachta líonra chomh maith le trealamh líonra.
Is prótacal caighdeánach oscailte é IPFIX (Internet Protocol Flow Information Export) arna fhorbairt ag an Internet Engineering Task Force (IETF). Tá sé bunaithe ar shonraíocht NetFlow Leagan 9 agus soláthraíonn sé formáid chaighdeánaithe chun taifid sreabhadh a onnmhairiú ó fheistí líonra.
Tógálann IPFIX ar choincheapa NetFlow agus leathnaíonn sé iad chun níos mó solúbthachta agus idir-inoibritheachta a thairiscint trasna díoltóirí agus gléasanna éagsúla. Tugann sé isteach coincheap na dteimpléid, rud a chuireann ar chumas sainmhíniú dinimiciúil ar struchtúr agus ábhar taifead sreabhadh. Cuireann sé seo ar chumas réimsí saincheaptha, tacaíocht do phrótacail nua, agus inleathnú a áireamh.
Príomhghnéithe IPFIX:
~ Cur Chuige Bunaithe ar TheimpléidÚsáideann IPFIX teimpléid chun struchtúr agus ábhar taifead sreafa a shainiú, rud a thugann solúbthacht maidir le réimsí sonraí éagsúla agus faisnéis phrótacail-shonrach a chur san áireamh.
~ Idir-inoibritheachtIs caighdeán oscailte é IPFIX, rud a chinntíonn cumais chomhsheasmhacha monatóireachta sreafa ar fud díoltóirí agus gléasanna líonraithe éagsúla.
~ Tacaíocht IPv6Tacaíonn IPFIX go dúchasach le IPv6, rud a fhágann go bhfuil sé oiriúnach chun trácht i líonraí IPv6 a mhonatóiriú agus a anailísiú.
~Slándáil FeabhsaitheÁirítear le IPFIX gnéithe slándála amhail criptiú Slándála Sraithe Iompair (TLS) agus seiceálacha sláine teachtaireachtaí chun rúndacht agus sláine sonraí sreafa a chosaint le linn tarchuir.
Tacaíonn díoltóirí trealaimh líonraithe éagsúla le IPFIX go forleathan, rud a fhágann gur rogha neodrach ó thaobh díoltóra de é agus gur rogha é a nglactar go forleathan leis chun monatóireacht a dhéanamh ar shreabhadh líonra.
Mar sin, cad é an difríocht idir NetFlow agus IPFIX?
Is é an freagra simplí ná gur prótacal dílseánaigh Cisco é NetFlow a tugadh isteach timpeall 1996 agus gurb é IPFIX a dheartháir ceadaithe ag comhlachtaí caighdeán.
Tá an cuspóir céanna ag an dá phrótacal: innealtóirí agus riarthóirí líonra a chumasú chun sreafaí tráchta IP ar leibhéal an líonra a bhailiú agus a anailísiú. D'fhorbair Cisco NetFlow ionas go bhféadfadh a lasca agus a ródairí an fhaisnéis luachmhar seo a aschur. I bhfianaise cheannas threalamh Cisco, ba chaighdeán de facto é NetFlow go gasta le haghaidh anailíse tráchta líonra. Mar sin féin, thuig iomaitheoirí sa tionscal nach raibh sé ina smaoineamh maith prótacal dílseánaigh a úsáid faoi rialú a phríomh-iomaitheora agus dá bhrí sin threoraigh an IETF iarracht chun prótacal oscailte a chaighdeánú le haghaidh anailíse tráchta, arb é IPFIX é.
Tá IPFIX bunaithe ar leagan 9 de NetFlow agus tugadh isteach é ar dtús timpeall 2005 ach thóg sé roinnt blianta air glacadh leis an tionscal. Ag an bpointe seo, tá an dá phrótacal mar an gcéanna go bunúsach agus cé go bhfuil an téarma NetFlow níos coitianta fós, tá an chuid is mó de na cur i bhfeidhm (cé nach bhfuil siad uile) comhoiriúnach leis an gcaighdeán IPFIX.
Seo tábla ina ndéantar achoimre ar na difríochtaí idir NetFlow agus IPFIX:
| Gné | NetFlow | IPFIX |
|---|---|---|
| Bunús | Teicneolaíocht dhílseánaigh arna forbairt ag Cisco | Prótacal caighdeánach tionscail bunaithe ar NetFlow Leagan 9 |
| Caighdeánú | Teicneolaíocht shonrach do Cisco | Caighdeán oscailte arna shainmhíniú ag IETF in RFC 7011 |
| Solúbthacht | Leaganacha forbartha le gnéithe sonracha | Solúbthacht agus idir-inoibritheacht níos fearr i measc díoltóirí |
| Formáid Sonraí | Paicéid de mhéid seasta | Cur chuige bunaithe ar theimpléid le haghaidh formáidí taifead sreafa saincheaptha |
| Tacaíocht Teimpléid | Ní thacaítear leis | Teimpléid dhinimiciúla le haghaidh cuimsiú réimse solúbtha |
| Tacaíocht Díoltóirí | Gléasanna Cisco den chuid is mó | Tacaíocht leathan i measc díoltóirí líonraithe |
| Inleathnaitheacht | Saincheapadh teoranta | Cuimsiú réimsí saincheaptha agus sonraí feidhmchláir-shonracha |
| Difríochtaí Prótacail | Éagsúlachtaí sonracha do Cisco | Tacaíocht dhúchasach IPv6, roghanna taifead sreafa feabhsaithe |
| Gnéithe Slándála | Gnéithe slándála teoranta | Criptiú Slándála Sraithe Iompair (TLS), sláine teachtaireachta |
Monatóireacht ar Shreabhadh Líonrais ea bailiú, anailís agus monatóireacht tráchta a thrasnaíonn líonra nó deighleog líonra ar leith. Féadfaidh na cuspóirí a bheith éagsúil ó fhadhbanna nascachta a réiteach go leithdháileadh bandaleithead amach anseo a phleanáil. Is féidir monatóireacht sreafa agus sampláil paicéad a bheith úsáideach fiú chun saincheisteanna slándála a aithint agus a leigheas.
Tugann monatóireacht sreafa léargas maith do fhoirne líonraithe ar an gcaoi a bhfuil líonra ag feidhmiú, ag soláthar léargais ar úsáid fhoriomlán, úsáid feidhmchlár, baic fhéideartha, neamhghnáchaíochtaí a d'fhéadfadh bagairtí slándála a léiriú, agus tuilleadh. Tá roinnt caighdeán agus formáidí éagsúla in úsáid i monatóireacht sreafa líonra, lena n-áirítear NetFlow, sFlow, agus Easpórtáil Faisnéise Sreafa Prótacal Idirlín (IPFIX). Oibríonn gach ceann acu ar bhealach beagán difriúil, ach tá siad uile difriúil ó scáthánú calafoirt agus cigireacht dhomhain paicéad sa mhéid is nach ngabhann siad ábhar gach paicéid a théann thar chalafort nó trí lasc. Mar sin féin, soláthraíonn monatóireacht sreafa níos mó faisnéise ná SNMP, atá teoranta go ginearálta do staitisticí leathana cosúil le húsáid fhoriomlán paicéad agus bandaleithead.
Uirlisí Sreabhadh Líonra i gComparáid
| Gné | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Oscailte nó Dílseánaigh | Dílseánaigh | Dílseánaigh | Oscail | Oscail |
| Sampláilte nó Bunaithe ar Shreabhadh | Bunaithe ar Shreabhadh den chuid is mó; Tá Mód Sampláilte ar fáil | Bunaithe ar Shreabhadh den chuid is mó; Tá Mód Sampláilte ar fáil | Sampláilte | Bunaithe ar Shreabhadh den chuid is mó; Tá Mód Sampláilte ar fáil |
| Faisnéis a Gabhadh | Meiteashonraí agus faisnéis staitistiúil, lena n-áirítear giotáin a aistríodh, cuntair chomhéadain agus araile | Meiteashonraí agus faisnéis staitistiúil, lena n-áirítear giotáin a aistríodh, cuntair chomhéadain agus araile | Ceanntásca Pacáiste Iomlána, Ualaí Pacáiste Páirteacha | Meiteashonraí agus faisnéis staitistiúil, lena n-áirítear giotáin a aistríodh, cuntair chomhéadain agus araile |
| Monatóireacht ar Dhul Isteach/Amach | Iontráil Amháin | Isteach agus Amach | Isteach agus Amach | Isteach agus Amach |
| Tacaíocht IPv6/VLAN/MPLS | No | Tá | Tá | Tá |
Am an phoist: 18 Márta 2024
