NetFlow و IPFIX هما التقنيات المستخدمة لمراقبة وتحليل تدفق الشبكة. أنها توفر نظرة ثاقبة أنماط حركة الشبكة ، والمساعدة في تحسين الأداء ، واستكشاف الأخطاء وإصلاحها ، وتحليل الأمان.
Netflow:
ما هو Netflow؟
Netflowهو حل مراقبة التدفق الأصلي ، الذي تم تطويره في الأصل بواسطة Cisco في أواخر التسعينيات. توجد عدة إصدارات مختلفة ، ولكن معظم عمليات النشر تعتمد على NetFlow V5 أو NetFlow V9. على الرغم من أن كل إصدار له قدرات مختلفة ، إلا أن العملية الأساسية تظل كما هي:
أولاً ، سيقوم جهاز التوجيه أو التبديل وجدار الحماية أو أي نوع آخر من الأجهزة بتقديم معلومات على "التدفقات" للشبكة - في الأساس مجموعة من الحزم التي تشترك في مجموعة من الخصائص الشائعة مثل عنوان المصدر والوجهة ، المصدر ، ومنفذ الوجهة ، ونوع البروتوكول. بعد انخفاض التدفق أو مرور الوقت المحدد مسبقًا ، سيقوم الجهاز بتصدير سجلات التدفق إلى كيان يعرف باسم "جامع التدفق".
أخيرًا ، فإن "محلل التدفق" يفهم هذه السجلات ، حيث يوفر رؤى في شكل تصورات وإحصائيات وتقارير تاريخية وفي الوقت الفعلي. في الممارسة العملية ، غالبًا ما يكون هواة الجمع والمحللون كيانًا واحدًا ، وغالبًا ما يتم دمجهم في حل أكبر لمراقبة أداء الشبكة.
تعمل NetFlow على أساس الدولة. عندما تصل جهاز العميل إلى خادم ، ستبدأ NetFlow في التقاط وتجميع البيانات الوصفية من التدفق. بعد إنهاء الجلسة ، ستقوم NetFlow بتصدير سجل كامل إلى المجمع.
على الرغم من أنه لا يزال شائع الاستخدام ، إلا أن NetFlow V5 لديه عدد من القيود. يتم إصلاح الحقول التي تم تصديرها ، ولا يتم دعم المراقبة إلا في اتجاه الدخول ، ولا يتم دعم التقنيات الحديثة مثل IPv6 و MPLS و VXLAN. يعالج NetFlow V9 ، الذي تم وصفه أيضًا بأنه NetFlow المرن (FNF) ، بعض هذه القيود ، مما يسمح للمستخدمين ببناء قوالب مخصصة وإضافة دعم للتقنيات الأحدث.
لدى العديد من البائعين أيضًا تطبيقات خاصة بهم لـ NetFlow ، مثل JFLOW من Juniper و NetStream من Huawei. على الرغم من أن التكوين قد يختلف إلى حد ما ، فإن هذه التطبيقات غالبًا ما تنتج سجلات تدفق متوافقة مع جامعي NetFlow ومحلولاتها.
الميزات الرئيسية لـ NetFlow:
~ بيانات التدفق: يقوم NetFlow بإنشاء سجلات التدفق التي تتضمن تفاصيل مثل عناوين IP المصدر والوجهة والمنافذ والطابع الزمني وحزم الحزم والبايت وأنواع البروتوكول.
~ مراقبة حركة المرور: يوفر NetFlow الرؤية في أنماط حركة الشبكة ، مما يسمح للمسؤولين بتحديد أفضل التطبيقات ونقاط النهاية ومصادر حركة المرور.
~اكتشاف الشذوذ: من خلال تحليل بيانات التدفق ، يمكن لـ NetFlow اكتشاف الحالات الشاذة مثل استخدام النطاق الترددي المفرط ، أو ازدحام الشبكة ، أو أنماط حركة المرور غير العادية.
~ تحليل الأمن: يمكن استخدام NetFlow لاكتشاف الحوادث الأمنية والتحقيق فيها ، مثل هجمات رفض الخدمة الموزعة (DDOS) أو محاولات الوصول غير المصرح بها.
إصدارات NetFlow: تطورت Netflow بمرور الوقت ، وتم إصدار إصدارات مختلفة. تشمل بعض الإصدارات البارزة Netflow V5 و NetFlow V9 و NetFlow المرنة. يقدم كل إصدار تحسينات وقدرات إضافية.
IPFIX:
ما هو IPFIX؟
معيار IETF الذي ظهر في أوائل العقد الأول من القرن العشرين ، يشبه تصدير معلومات تدفق بروتوكول الإنترنت (IPFIX) NetFlow. في الواقع ، خدم Netflow V9 كأساس لـ IPFIX. الفرق الأساسي بين الاثنين هو أن IPFIX هو معيار مفتوح ، ويتم دعمه من قبل العديد من بائعي الشبكات بصرف النظر عن Cisco. باستثناء بعض الحقول الإضافية المضافة في IPFIX ، تكون التنسيقات متطابقة تقريبًا. في الواقع ، يشار إلى IPFIX أحيانًا باسم "NetFlow V10".
نظرًا لوجود أوجه تشابهها مع NetFlow ، تتمتع IPFIX بدعم واسع بين حلول مراقبة الشبكة وكذلك معدات الشبكة.
IPFIX (تصدير معلومات تدفق بروتوكول الإنترنت) هو بروتوكول قياسي مفتوح تم تطويره بواسطة فرقة عمل هندسة الإنترنت (IETF). يعتمد على مواصفات NetFlow الإصدار 9 ويوفر تنسيقًا موحدًا لتصدير سجلات التدفق من أجهزة الشبكة.
يعتمد IPFIX على مفاهيم NetFlow وتوسيعها لتقديم مزيد من المرونة وقابلية التشغيل البيني عبر مختلف البائعين والأجهزة. يقدم مفهوم القوالب ، مما يسمح بالتعريف الديناميكي لهيكل سجل التدفق والمحتوى. وهذا يتيح إدراج الحقول المخصصة ، ودعم البروتوكولات الجديدة ، والتوسيع.
الميزات الرئيسية لـ IPFIX:
~ النهج القائم على القالب: يستخدم IPFIX قوالب لتحديد بنية ومحتوى سجلات التدفق ، مما يوفر المرونة في استيعاب حقول البيانات المختلفة والمعلومات الخاصة بالبروتوكول.
~ قابلية التشغيل البيني: IPFIX هو معيار مفتوح ، مما يضمن قدرات مراقبة التدفق المتسقة عبر بائعي وأجهزة شبكات مختلفة.
~ دعم IPv6: يدعم IPFIX أصلاً IPv6 ، مما يجعله مناسبًا لمراقبة وتحليل حركة المرور في شبكات IPv6.
~الأمن المحسّن: يتضمن IPFIX ميزات أمان مثل تشفير طبقة النقل (TLS) وتكامل الرسائل لتحقيقات سرية وسلامة بيانات التدفق أثناء الإرسال.
يتم دعم IPFIX على نطاق واسع من قبل مختلف بائعي معدات الشبكات ، مما يجعلها خيارًا محايدًا واعتمادًا على نطاق واسع لمراقبة تدفق الشبكة.
إذن ، ما هو الفرق بين NetFlow و IPFIX؟
الإجابة البسيطة هي أن NetFlow هو بروتوكول خاص Cisco الذي تم تقديمه في عام 1996 و IPFIX هو شقيقه المعتمد من هيئة المعايير.
يخدم كلا البروتوكولات نفس الغرض: تمكين مهندسي الشبكة والمسؤولين من جمع وتحليل تدفقات حركة مرور IP على مستوى الشبكة. قامت Cisco بتطوير NetFlow بحيث يمكن لمفاتيحها وأجهزة التوجيه إخراج هذه المعلومات القيمة. بالنظر إلى هيمنة Cisco Gear ، سرعان ما أصبحت Netflow المعيار الفعلي لتحليل حركة المرور على الشبكة. ومع ذلك ، أدرك منافسو الصناعة أن استخدام بروتوكول خاص يسيطر عليه منافسه الرئيسي لم يكن فكرة جيدة ، وبالتالي قاد IETF محاولة لتوحيد بروتوكول مفتوح لتحليل حركة المرور ، وهو IPFIX.
يعتمد IPFIX على NetFlow الإصدار 9 وتم تقديمه في الأصل في حوالي عام 2005 لكنه استغرق بعض السنوات للحصول على اعتماد الصناعة. في هذه المرحلة ، يكون البروتوكولات متماثلين بشكل أساسي ، وعلى الرغم من أن مصطلح NetFlow لا يزال أكثر انتشارًا ، فإن معظم التطبيقات (وإن لم تكن كلها) متوافقة مع معيار IPFIX.
إليك جدول يلخص الاختلافات بين NetFlow و IPFIX:
| وجه | Netflow | IPFIX |
|---|---|---|
| أصل | تقنية الملكية التي طورتها سيسكو | بروتوكول قياسي الصناعة على أساس الإصدار 9 NetFlow |
| التقييس | التكنولوجيا الخاصة بالسيسكو | المفتوح المعيار الذي حدده IETF في RFC 7011 |
| المرونة | إصدارات متطورة بميزات محددة | مرونة أكبر وقابلية للتشغيل البيني عبر البائعين |
| تنسيق البيانات | حزم بحجم ثابت | النهج القائم على القالب لتنسيقات سجل التدفق القابلة للتخصيص |
| دعم القالب | غير مدعوم | قوالب ديناميكية لإدراج المجال المرن |
| دعم البائع | في المقام الأول أجهزة Cisco | دعم واسع عبر بائعي الشبكات |
| قابلية التوسيع | تخصيص محدود | إدراج الحقول المخصصة والبيانات الخاصة بالتطبيق |
| اختلافات البروتوكول | الاختلافات الخاصة بـ Cisco | دعم IPv6 الأصلي ، خيارات سجل التدفق المحسنة |
| ميزات الأمن | ميزات أمنية محدودة | تشفير أمن طبقة النقل (TLS) ، سلامة الرسائل |
مراقبة تدفق الشبكةهو جمع وتحليل ومراقبة حركة المرور التي تعبر شبكة أو شبكة معينة. قد تختلف الأهداف من مشكلات الاتصال وإصلاحها إلى تخطيط تخصيص عرض النطاق الترددي المستقبلي. يمكن أن تكون مراقبة التدفق وأخذ عينات الحزم مفيدة في تحديد مشكلات الأمان وعلاجه.
يمنح مراقبة التدفق فرق التواصل فكرة جيدة عن كيفية عمل الشبكة ، مما يوفر نظرة ثاقبة على الاستخدام الكلي ، واستخدام التطبيق ، والاختناقات المحتملة ، والحالات الشاذة التي قد تشير إلى تهديدات أمنية ، وأكثر من ذلك. هناك العديد من المعايير والتنسيقات المختلفة المستخدمة في مراقبة تدفق الشبكة ، بما في ذلك تصدير معلومات تدفق بروتوكول NetFlow و SFLOW وبروتوكول الإنترنت (IPFIX). كل منها يعمل بطريقة مختلفة قليلاً ، ولكن كلها متميزة عن النسخ المتطابق للمنافذ وفحص الحزم العميقة من حيث أنها لا تلتقط محتويات كل حزمة تمر عبر منفذ أو من خلال مفتاح. ومع ذلك ، توفر مراقبة التدفق معلومات أكثر من SNMP ، والتي تقتصر بشكل عام على إحصائيات واسعة مثل استخدام الحزمة الكلية وعرض النطاق الترددي.
أدوات تدفق الشبكة مقارنة
| ميزة | Netflow V5 | Netflow V9 | sflow | IPFIX |
| مفتوح أو خاص | الملكية | الملكية | يفتح | يفتح |
| أخذ عينات أو تدفق | في المقام الأول على أساس التدفق ؛ وضع العينات متاح | في المقام الأول على أساس التدفق ؛ وضع العينات متاح | عينة | في المقام الأول على أساس التدفق ؛ وضع العينات متاح |
| المعلومات التي تم التقاطها | البيانات الوصفية والمعلومات الإحصائية ، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك | البيانات الوصفية والمعلومات الإحصائية ، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك | رؤوس الحزم الكاملة ، حمولة حزم جزئية | البيانات الوصفية والمعلومات الإحصائية ، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك |
| دخول/مراقبة الخروج | الدخول فقط | الدخول والخروج | الدخول والخروج | الدخول والخروج |
| دعم IPv6/VLAN/MPLS | No | نعم | نعم | نعم |
وقت النشر: Mar-18-2024
