تُستخدم تقنيتا NetFlow وIPFIX لمراقبة وتحليل تدفق الشبكة. توفران رؤىً حول أنماط حركة مرور الشبكة، مما يساعد في تحسين الأداء، واستكشاف الأخطاء وإصلاحها، وتحليل الأمان.
صافي التدفق:
ما هو NetFlow؟
صافي التدفقهو الحل الأصلي لمراقبة التدفق، الذي طورته شركة سيسكو في أواخر التسعينيات. تتوفر إصدارات مختلفة، لكن معظم عمليات النشر تعتمد على NetFlow v5 أو NetFlow v9. مع أن لكل إصدار إمكانيات مختلفة، إلا أن العملية الأساسية تبقى كما هي:
أولاً، يقوم جهاز التوجيه، أو المحول، أو جدار الحماية، أو أي نوع آخر من الأجهزة، بجمع معلومات حول "تدفقات" الشبكة - وهي في الأساس مجموعة من الحزم التي تشترك في مجموعة مشتركة من الخصائص، مثل عنوان المصدر والوجهة، ومنفذ المصدر والوجهة، ونوع البروتوكول. بعد توقف التدفق أو مرور فترة زمنية محددة مسبقًا، يقوم الجهاز بتصدير سجلات التدفق إلى جهة تُعرف باسم "مُجمِّع التدفق".
وأخيرًا، يُفسّر "محلل التدفق" هذه السجلات، مُقدّمًا رؤىً مُعمّقة على شكل مُصوّرات وإحصاءات وتقارير تاريخية مُفصّلة وآنية. عمليًا، غالبًا ما تُشكّل المُجمّعات والمُحلّلات كيانًا واحدًا، وغالبًا ما تُدمج في حلّ أكبر لمراقبة أداء الشبكة.
يعمل NetFlow على أساس الحالة. عندما يتصل جهاز العميل بالخادم، يبدأ NetFlow بالتقاط البيانات الوصفية وتجميعها من التدفق. بعد انتهاء الجلسة، يُصدّر NetFlow سجلاً كاملاً واحدًا إلى المُجمّع.
على الرغم من شيوع استخدامه، إلا أن إصدار NetFlow v5 يعاني من بعض القيود. فالحقول المُصدَّرة ثابتة، والمراقبة مدعومة فقط في اتجاه الإدخال، ولا تدعم التقنيات الحديثة مثل IPv6 وMPLS وVXLAN. يعالج إصدار NetFlow v9، المعروف أيضًا باسم Flexible NetFlow (FNF)، بعض هذه القيود، حيث يسمح للمستخدمين بإنشاء قوالب مخصصة وإضافة دعم للتقنيات الأحدث.
لدى العديد من البائعين أيضًا تطبيقاتهم الخاصة لـ NetFlow، مثل jFlow من Juniper وNetStream من Huawei. على الرغم من أن التكوين قد يختلف قليلاً، إلا أن هذه التطبيقات غالبًا ما تُنتج سجلات تدفق متوافقة مع مُجمّعات ومحللات NetFlow.
الميزات الرئيسية لـ NetFlow:
~ بيانات التدفق:يولد NetFlow سجلات تدفق تتضمن تفاصيل مثل عناوين IP المصدر والوجهة، والمنافذ، وطوابع الوقت، وعدد الحزم والبايتات، وأنواع البروتوكول.
~ مراقبة حركة المرور:يوفر NetFlow رؤية واضحة لأنماط حركة مرور الشبكة، مما يسمح للمسؤولين بتحديد أهم التطبيقات ونقاط النهاية ومصادر حركة المرور.
~اكتشاف الشذوذ:من خلال تحليل بيانات التدفق، يمكن لـ NetFlow اكتشاف الشذوذ مثل الاستخدام المفرط للنطاق الترددي، أو ازدحام الشبكة، أو أنماط حركة المرور غير العادية.
~ تحليل الأمنيمكن استخدام NetFlow للكشف عن الحوادث الأمنية والتحقيق فيها، مثل هجمات رفض الخدمة الموزعة (DDoS) أو محاولات الوصول غير المصرح بها.
إصدارات NetFlowتطور NetFlow مع مرور الوقت، وتم إصدار إصدارات مختلفة. من أبرز هذه الإصدارات NetFlow v5 وNetFlow v9 وFlexible NetFlow. يقدم كل إصدار تحسينات وإمكانيات إضافية.
IPFIX:
ما هو IPFIX؟
تصدير معلومات تدفق بروتوكول الإنترنت (IPFIX)، وهو معيار من IETF ظهر في أوائل العقد الأول من القرن الحادي والعشرين، يُشبه إلى حد كبير معيار NetFlow. في الواقع، كان NetFlow v9 أساسًا لـ IPFIX. يكمن الاختلاف الرئيسي بينهما في أن IPFIX معيار مفتوح، ويدعمه العديد من مُزودي خدمات الشبكات، باستثناء Cisco. باستثناء بعض الحقول الإضافية المُضافة في IPFIX، فإن التنسيقات متطابقة تقريبًا. في الواقع، يُشار إلى IPFIX أحيانًا باسم "NetFlow v10".
بفضل تشابهها الجزئي مع NetFlow، تتمتع IPFIX بدعم واسع بين حلول مراقبة الشبكة بالإضافة إلى معدات الشبكة.
IPFIX (تصدير معلومات تدفق بروتوكول الإنترنت) هو بروتوكول معياري مفتوح طورته فرقة عمل هندسة الإنترنت (IETF). يعتمد على مواصفات NetFlow الإصدار 9، ويوفر تنسيقًا موحدًا لتصدير سجلات التدفق من أجهزة الشبكة.
يعتمد IPFIX على مفاهيم NetFlow ويوسعها لتوفير مرونة أكبر وتوافق بين مختلف الموردين والأجهزة. فهو يُقدم مفهوم القوالب، مما يسمح بتحديد هيكل ومحتوى سجل التدفق بشكل ديناميكي. وهذا يُتيح إدراج حقول مخصصة، ودعم بروتوكولات جديدة، وإمكانية التوسعة.
الميزات الرئيسية لـ IPFIX:
~ النهج القائم على القالب:يستخدم IPFIX قوالب لتحديد هيكل ومحتوى سجلات التدفق، مما يوفر المرونة في استيعاب حقول البيانات المختلفة والمعلومات الخاصة بالبروتوكول.
~ التشغيل البيني:IPFIX هو معيار مفتوح يضمن إمكانيات مراقبة التدفق المتسقة عبر مختلف بائعي الشبكات والأجهزة.
~ دعم IPv6:يدعم IPFIX IPv6 بشكل أصلي، مما يجعله مناسبًا لمراقبة وتحليل حركة المرور في شبكات IPv6.
~تعزيز الأمن:يتضمن IPFIX ميزات أمان مثل تشفير أمان طبقة النقل (TLS) وفحوصات سلامة الرسائل لحماية سرية وسلامة بيانات التدفق أثناء النقل.
يحظى IPFIX بدعم واسع النطاق من قبل العديد من بائعي معدات الشبكات، مما يجعله خيارًا محايدًا للبائعين ومعتمدًا على نطاق واسع لمراقبة تدفق الشبكة.
إذن، ما هو الفرق بين NetFlow و IPFIX؟
الإجابة البسيطة هي أن NetFlow هو بروتوكول خاص بشركة Cisco تم تقديمه حوالي عام 1996 وIPFIX هو شقيقه المعتمد من هيئة المعايير.
يخدم كلا البروتوكولين الغرض نفسه: تمكين مهندسي الشبكات ومسؤوليها من جمع وتحليل تدفقات حركة مرور بروتوكول الإنترنت (IP) على مستوى الشبكة. طورت شركة سيسكو بروتوكول NetFlow لتمكين أجهزة التبديل والتوجيه الخاصة بها من إخراج هذه المعلومات القيّمة. ونظرًا لهيمنة معدات سيسكو، سرعان ما أصبح NetFlow المعيار الفعلي لتحليل حركة مرور الشبكة. ومع ذلك، أدرك المنافسون في هذا المجال أن استخدام بروتوكول خاص يتحكم فيه منافسهم الرئيسي ليس فكرة جيدة، ولذلك قادت IETF جهودًا لتوحيد بروتوكول مفتوح لتحليل حركة المرور، وهو IPFIX.
يعتمد بروتوكول IPFIX على الإصدار 9 من NetFlow، وقد طُرح لأول مرة حوالي عام 2005، ولكنه استغرق سنوات حتى أصبح شائعًا في القطاع. حاليًا، يتشابه البروتوكولان بشكل أساسي، ورغم أن مصطلح NetFlow لا يزال أكثر شيوعًا، إلا أن معظم التطبيقات (وليس جميعها) متوافقة مع معيار IPFIX.
فيما يلي جدول يلخص الاختلافات بين NetFlow و IPFIX:
| وجه | صافي التدفق | اي بي فيكس |
|---|---|---|
| أصل | تقنية خاصة طورتها شركة سيسكو | بروتوكول معياري للصناعة يعتمد على NetFlow الإصدار 9 |
| التوحيد القياسي | تكنولوجيا خاصة بشركة سيسكو | المعيار المفتوح الذي حددته IETF في RFC 7011 |
| المرونة | إصدارات متطورة بمميزات محددة | مرونة أكبر وقابلية التشغيل البيني بين البائعين |
| تنسيق البيانات | الحزم ذات الحجم الثابت | نهج قائم على القالب لتنسيقات سجل التدفق القابلة للتخصيص |
| دعم القالب | غير مدعوم | قوالب ديناميكية لإدراج الحقول بشكل مرن |
| دعم البائعين | أجهزة سيسكو في المقام الأول | دعم واسع النطاق عبر بائعي الشبكات |
| قابلية التوسعة | تخصيص محدود | إدراج الحقول المخصصة والبيانات الخاصة بالتطبيق |
| اختلافات البروتوكول | الاختلافات الخاصة بشركة Cisco | دعم IPv6 الأصلي وخيارات تسجيل التدفق المحسنة |
| ميزات الأمان | ميزات أمنية محدودة | تشفير أمان طبقة النقل (TLS)، وسلامة الرسائل |
مراقبة تدفق الشبكةهو جمع وتحليل ومراقبة حركة البيانات عبر شبكة أو قطاع شبكي معين. قد تتنوع الأهداف من استكشاف مشاكل الاتصال وإصلاحها إلى التخطيط لتخصيص النطاق الترددي مستقبلاً. كما يمكن أن تكون مراقبة التدفق وأخذ عينات الحزم مفيدة في تحديد مشاكل الأمان ومعالجتها.
تُتيح مراقبة التدفق لفرق الشبكات فهمًا جيدًا لكيفية عمل الشبكة، مما يُوفر رؤىً حول الاستخدام العام، واستخدام التطبيقات، والاختناقات المحتملة، والاختلالات التي قد تُشير إلى تهديدات أمنية، وغيرها. هناك العديد من المعايير والتنسيقات المختلفة المُستخدمة في مراقبة تدفق الشبكة، بما في ذلك NetFlow وsFlow وتصدير معلومات تدفق بروتوكول الإنترنت (IPFIX). يعمل كل منها بطريقة مختلفة قليلاً، ولكنها تختلف جميعها عن انعكاس المنفذ والفحص العميق للحزم من حيث أنها لا تلتقط محتويات كل حزمة تمر عبر منفذ أو عبر مُبدِّل. ومع ذلك، تُوفر مراقبة التدفق معلومات أكثر من بروتوكول SNMP، الذي يقتصر عادةً على إحصائيات عامة مثل إجمالي استخدام الحزم وعرض النطاق الترددي.
مقارنة أدوات تدفق الشبكة
| ميزة | NetFlow الإصدار 5 | NetFlow الإصدار 9 | تدفق | اي بي فيكس |
| مفتوح أو خاص | الملكية | الملكية | يفتح | يفتح |
| العينات أو التدفق القائم | يعتمد بشكل أساسي على التدفق؛ يتوفر الوضع المُستَخدَم | يعتمد بشكل أساسي على التدفق؛ يتوفر الوضع المُستَخدَم | تم أخذ العينات | يعتمد بشكل أساسي على التدفق؛ يتوفر الوضع المُستَخدَم |
| المعلومات الملتقطة | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة وما إلى ذلك | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة وما إلى ذلك | رؤوس الحزمة الكاملة، حمولات الحزمة الجزئية | البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة، وعدادات الواجهة وما إلى ذلك |
| مراقبة الدخول والخروج | الدخول فقط | الدخول والخروج | الدخول والخروج | الدخول والخروج |
| دعم IPv6/VLAN/MPLS | No | نعم | نعم | نعم |
وقت النشر: ١٨ مارس ٢٠٢٤
