ما الفرق بين NetFlow وIPFIX لمراقبة تدفق الشبكة؟

تعد كل من NetFlow وIPFIX من التقنيات المستخدمة لمراقبة وتحليل تدفق الشبكة. أنها توفر رؤى حول أنماط حركة مرور الشبكة، مما يساعد في تحسين الأداء، واستكشاف الأخطاء وإصلاحها، وتحليل الأمان.

نت فلو:

ما هو نت فلو؟

NetFlowهو الحل الأصلي لمراقبة التدفق، والذي طورته شركة Cisco في الأصل في أواخر التسعينيات. توجد عدة إصدارات مختلفة، ولكن معظم عمليات النشر تعتمد على NetFlow v5 أو NetFlow v9. على الرغم من أن كل إصدار يتمتع بقدرات مختلفة، إلا أن العملية الأساسية تظل كما هي:

أولاً، سيقوم جهاز التوجيه أو المحول أو جدار الحماية أو أي نوع آخر من الأجهزة بالتقاط المعلومات على "تدفقات" الشبكة - وهي في الأساس مجموعة من الحزم التي تشترك في مجموعة مشتركة من الخصائص مثل عنوان المصدر والوجهة، ومنفذ المصدر والوجهة، والبروتوكول يكتب. بعد أن يصبح التدفق خاملاً أو مرور فترة زمنية محددة مسبقًا، سيقوم الجهاز بتصدير سجلات التدفق إلى كيان يعرف باسم "مجمع التدفق".

وأخيرًا، يقوم "محلل التدفق" بفهم تلك السجلات، وتوفير رؤى في شكل تصورات، وإحصائيات، وتقارير تاريخية مفصلة وفي الوقت الفعلي. من الناحية العملية، غالبًا ما يكون المجمعون والمحللون كيانًا واحدًا، وغالبًا ما يتم دمجهم في حل أكبر لمراقبة أداء الشبكة.

تعمل NetFlow على أساس الحالة. عندما يتصل جهاز عميل بالخادم، سيبدأ NetFlow في التقاط البيانات التعريفية وتجميعها من التدفق. بعد انتهاء الجلسة، سيقوم NetFlow بتصدير سجل واحد كامل إلى المجمع.

على الرغم من أنه لا يزال شائع الاستخدام، إلا أن NetFlow v5 لديه عدد من القيود. الحقول المصدرة ثابتة، ولا يتم دعم المراقبة إلا في اتجاه الدخول، ولا يتم دعم التقنيات الحديثة مثل IPv6 وMPLS وVXLAN. يعالج NetFlow v9، الذي يحمل أيضًا العلامة التجارية Elastic NetFlow (FNF)، بعضًا من هذه القيود، مما يسمح للمستخدمين بإنشاء قوالب مخصصة وإضافة دعم للتقنيات الأحدث.

يمتلك العديد من البائعين أيضًا تطبيقات خاصة بهم لـ NetFlow، مثل jFlow من Juniper وNetStream من Huawei. على الرغم من أن التكوين قد يختلف إلى حد ما، إلا أن هذه التطبيقات غالبًا ما تنتج سجلات تدفق متوافقة مع أدوات تجميع ومحللات NetFlow.

الميزات الرئيسية لبرنامج NetFlow:

~ بيانات التدفق: يقوم NetFlow بإنشاء سجلات التدفق التي تتضمن تفاصيل مثل عناوين IP المصدر والوجهة والمنافذ والطوابع الزمنية وعدد الحزم والبايت وأنواع البروتوكول.

~ مراقبة حركة المرور: يوفر NetFlow رؤية لأنماط حركة مرور الشبكة، مما يسمح للمسؤولين بتحديد أهم التطبيقات ونقاط النهاية ومصادر حركة المرور.

~كشف الشذوذ: من خلال تحليل بيانات التدفق، يستطيع NetFlow اكتشاف الحالات الشاذة مثل الاستخدام المفرط لعرض النطاق الترددي أو ازدحام الشبكة أو أنماط حركة المرور غير العادية.

~ التحليل الأمني: يمكن استخدام NetFlow للكشف عن الحوادث الأمنية والتحقيق فيها، مثل هجمات رفض الخدمة الموزعة (DDoS) أو محاولات الوصول غير المصرح بها.

إصدارات نت فلو: تطورت NetFlow بمرور الوقت، وتم إصدار إصدارات مختلفة. تتضمن بعض الإصدارات البارزة NetFlow v5، وNetFlow v9، وFlexible NetFlow. يقدم كل إصدار تحسينات وقدرات إضافية.

إيبفيكس:

ما هو إيبفيكس؟

معيار IETF الذي ظهر في أوائل العقد الأول من القرن الحادي والعشرين، يشبه تصدير معلومات تدفق بروتوكول الإنترنت (IPFIX) إلى حد كبير NetFlow. في الواقع، كان NetFlow v9 بمثابة الأساس لـ IPFIX. والفرق الأساسي بين الاثنين هو أن IPFIX هو معيار مفتوح، ويدعمه العديد من موردي الشبكات باستثناء Cisco. باستثناء بعض الحقول الإضافية المضافة في IPFIX، تكون التنسيقات متطابقة تقريبًا. في الواقع، يُشار أحيانًا إلى IPFIX باسم "NetFlow v10".

نظرًا جزئيًا لأوجه التشابه مع NetFlow، يتمتع IPFIX بدعم واسع النطاق بين حلول مراقبة الشبكة بالإضافة إلى معدات الشبكة.

IPFIX (تصدير معلومات تدفق بروتوكول الإنترنت) هو بروتوكول قياسي مفتوح تم تطويره بواسطة فريق عمل هندسة الإنترنت (IETF). وهو يعتمد على مواصفات NetFlow الإصدار 9 ويوفر تنسيقًا موحدًا لتصدير سجلات التدفق من أجهزة الشبكة.

يعتمد IPFIX على مفاهيم NetFlow ويقوم بتوسيعها لتوفير المزيد من المرونة وقابلية التشغيل البيني عبر مختلف البائعين والأجهزة. فهو يقدم مفهوم القوالب، مما يسمح بالتعريف الديناميكي لبنية سجل التدفق ومحتواه. يتيح ذلك تضمين الحقول المخصصة ودعم البروتوكولات الجديدة وقابلية التوسعة.

الميزات الرئيسية لIPFIX:

~ النهج القائم على القالب: يستخدم IPFIX قوالب لتحديد هيكل ومحتوى سجلات التدفق، مما يوفر المرونة في استيعاب مجالات البيانات المختلفة والمعلومات الخاصة بالبروتوكول.

~ إمكانية التشغيل البيني: IPFIX هو معيار مفتوح، مما يضمن إمكانات مراقبة التدفق المتسقة عبر مختلف موردي الشبكات والأجهزة.

~ دعم IPv6: يدعم IPFIX أصلاً IPv6، مما يجعله مناسبًا لمراقبة وتحليل حركة المرور في شبكات IPv6.

~تعزيز الأمن: يتضمن IPFIX ميزات الأمان مثل تشفير Transport Layer Security (TLS) والتحقق من سلامة الرسائل لحماية سرية وسلامة بيانات التدفق أثناء النقل.

يتم دعم IPFIX على نطاق واسع من قبل العديد من بائعي معدات الشبكات، مما يجعله خيارًا محايدًا للبائعين ومعتمدًا على نطاق واسع لمراقبة تدفق الشبكة.

 

إذًا، ما هو الفرق بين NetFlow وIPFIX؟

الإجابة البسيطة هي أن NetFlow هو بروتوكول خاص بشركة Cisco تم تقديمه في عام 1996 تقريبًا وأن IPFIX هو الأخ المعتمد من هيئة المعايير الخاصة بها.

يخدم كلا البروتوكولين نفس الغرض: تمكين مهندسي الشبكات والمسؤولين من جمع وتحليل تدفقات حركة مرور IP على مستوى الشبكة. قامت شركة Cisco بتطوير NetFlow بحيث تتمكن المحولات وأجهزة التوجيه الخاصة بها من إخراج هذه المعلومات القيمة. نظرًا لهيمنة معدات Cisco، سرعان ما أصبح NetFlow هو المعيار الفعلي لتحليل حركة مرور الشبكة. ومع ذلك، أدرك المنافسون في الصناعة أن استخدام بروتوكول خاص يتحكم فيه المنافس الرئيسي لم يكن فكرة جيدة، ومن ثم قاد IETF جهدًا لتوحيد بروتوكول مفتوح لتحليل حركة المرور، وهو IPFIX.

يعتمد IPFIX على الإصدار 9 من NetFlow وقد تم تقديمه في الأصل في عام 2005 تقريبًا ولكنه استغرق عدة سنوات حتى يتم اعتماده في الصناعة. في هذه المرحلة، يكون البروتوكولان متماثلين بشكل أساسي وعلى الرغم من أن مصطلح NetFlow لا يزال أكثر انتشارًا، فإن معظم التطبيقات (وإن لم تكن كلها) متوافقة مع معيار IPFIX.

فيما يلي جدول يلخص الاختلافات بين NetFlow وIPFIX:

وجه NetFlow إيبفيكس
أصل تقنية خاصة طورتها شركة Cisco بروتوكول متوافق مع معايير الصناعة يعتمد على NetFlow الإصدار 9
التوحيد القياسي التكنولوجيا الخاصة بشركة سيسكو المعيار المفتوح المحدد بواسطة IETF في RFC 7011
المرونة إصدارات متطورة مع ميزات محددة قدر أكبر من المرونة وقابلية التشغيل البيني عبر البائعين
تنسيق البيانات حزم ذات حجم ثابت نهج قائم على القالب لتنسيقات سجلات التدفق القابلة للتخصيص
دعم القالب غير معتمد قوالب ديناميكية لإدراج المجال المرن
دعم البائعين أجهزة سيسكو في المقام الأول دعم واسع النطاق عبر بائعي الشبكات
القابلية للتوسعة تخصيص محدود تضمين الحقول المخصصة والبيانات الخاصة بالتطبيق
اختلافات البروتوكول الاختلافات الخاصة بشركة Cisco دعم IPv6 الأصلي، وخيارات سجل التدفق المحسنة
ميزات الأمان ميزات أمنية محدودة تشفير طبقة النقل (TLS)، وسلامة الرسالة

مراقبة تدفق الشبكةهو جمع وتحليل ومراقبة حركة المرور التي تعبر شبكة معينة أو مقطع شبكة معين. قد تختلف الأهداف من استكشاف مشكلات الاتصال وإصلاحها إلى التخطيط لتخصيص النطاق الترددي في المستقبل. يمكن أن تكون مراقبة التدفق وأخذ عينات الحزم مفيدة في تحديد المشكلات الأمنية ومعالجتها.

تمنح مراقبة التدفق فرق الشبكات فكرة جيدة عن كيفية عمل الشبكة، مما يوفر رؤى حول الاستخدام الشامل واستخدام التطبيقات والاختناقات المحتملة والحالات الشاذة التي قد تشير إلى تهديدات أمنية والمزيد. هناك العديد من المعايير والتنسيقات المختلفة المستخدمة في مراقبة تدفق الشبكة، بما في ذلك NetFlow وsFlow وتصدير معلومات تدفق بروتوكول الإنترنت (IPFIX). يعمل كل منها بطريقة مختلفة قليلاً، ولكنها تختلف جميعها عن انعكاس المنفذ والفحص العميق للحزم من حيث أنها لا تلتقط محتويات كل حزمة تمر عبر منفذ أو من خلال محول. ومع ذلك، توفر مراقبة التدفق معلومات أكثر من SNMP، والذي يقتصر عمومًا على إحصائيات واسعة مثل الاستخدام الإجمالي للحزم وعرض النطاق الترددي.

مقارنة أدوات تدفق الشبكة

ميزة نت فلو v5 نت فلو v9 sFlow إيبفيكس
مفتوح أو خاص الملكية الملكية يفتح يفتح
على أساس العينات أو التدفق يعتمد في المقام الأول على التدفق؛ وضع العينة متاح يعتمد في المقام الأول على التدفق؛ وضع العينة متاح عينات يعتمد في المقام الأول على التدفق؛ وضع العينة متاح
المعلومات التي تم التقاطها البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك رؤوس الحزم الكاملة، وحمولات الحزم الجزئية البيانات الوصفية والمعلومات الإحصائية، بما في ذلك البايتات المنقولة وعدادات الواجهة وما إلى ذلك
مراقبة الدخول/الخروج الدخول فقط الدخول والخروج الدخول والخروج الدخول والخروج
دعم IPv6/VLAN/MPLS No نعم نعم نعم

وقت النشر: 18 مارس 2024