NetFlow è IPFIX sò tramindui tecnulugie aduprate per u monitoraghju è l'analisi di u flussu di rete. Furniscenu insights nantu à i mudelli di trafficu di rete, aiutendu à l'ottimisazione di e prestazioni, a risoluzione di i prublemi è l'analisi di a sicurezza.
NetFlow:
Chì ghjè NetFlow?
NetFlowhè a suluzione originale di monitoraghju di u flussu, sviluppata in origine da Cisco à a fine di l'anni 1990. Esistenu parechje versioni diverse, ma a maiò parte di l'implementazioni sò basate nantu à NetFlow v5 o NetFlow v9. Mentre ogni versione hà capacità diverse, l'operazione basica ferma a listessa:
Prima, un router, un switch, un firewall, o un altru tipu di dispusitivu catturerà l'infurmazioni nantu à i "flussi" di a rete - basicamente un inseme di pacchetti chì spartenu un inseme cumunu di caratteristiche cum'è l'indirizzu di origine è di destinazione, u portu di origine è di destinazione, è u tipu di protocolu. Dopu chì un flussu hè diventatu dormente o hè passatu un periudu di tempu predefinitu, u dispusitivu esporterà i registri di flussu à una entità cunnisciuta cum'è "cullettore di flussu".
Infine, un "analizatore di flussu" dà un sensu à questi registri, furnendu insights in forma di visualizazioni, statistiche è rapporti storichi è in tempu reale dettagliati. In pratica, i cullettori è l'analizatori sò spessu una sola entità, spessu cumminata in una suluzione di monitoraghju di e prestazioni di a rete più grande.
NetFlow funziona nantu à una basa di stateful. Quandu una macchina cliente si cunnetta à un servitore, NetFlow cumincerà à catturà è aggregà i metadati da u flussu. Dopu chì a sessione hè terminata, NetFlow esporterà un unicu registru cumpletu à u cullettore.
Ancu s'ellu hè sempre cumunamente adupratu, NetFlow v5 hà una quantità di limitazioni. I campi esportati sò fissi, u monitoraghju hè supportatu solu in a direzzione d'ingressu, è e tecnulugie muderne cum'è IPv6, MPLS è VXLAN ùn sò micca supportate. NetFlow v9, ancu chjamatu Flexible NetFlow (FNF), affronta alcune di queste limitazioni, permettendu à l'utilizatori di custruisce mudelli persunalizati è aghjunghjendu supportu per e tecnulugie più recenti.
Parechji venditori anu ancu e so implementazioni pruprietarie di NetFlow, cum'è jFlow da Juniper è NetStream da Huawei. Ancu s'è a cunfigurazione pò esse un pocu diversa, queste implementazioni producenu spessu registri di flussu chì sò cumpatibili cù i cullettori è l'analizatori NetFlow.
Caratteristiche principali di NetFlow:
~ Dati di flussuNetFlow genera registri di flussu chì includenu dettagli cum'è l'indirizzi IP di fonte è di destinazione, i porti, i timestamp, u numeru di pacchetti è byte, è i tipi di protocolu.
~ Monitoraghju di u trafficuNetFlow furnisce visibilità nantu à i mudelli di trafficu di rete, permettendu à l'amministratori d'identificà l'applicazioni principali, i punti finali è e fonti di trafficu.
~Rilevazione di anomalieAnalizendu i dati di flussu, NetFlow pò rilevà anomalie cum'è l'usu eccessivu di a larghezza di banda, a congestione di a rete o mudelli di trafficu inusuali.
~ Analisi di SicurezzaNetFlow pò esse adupratu per rilevà è investigà incidenti di sicurezza, cum'è attacchi di denegazione di serviziu distribuiti (DDoS) o tentativi d'accessu micca autorizati.
Versioni di NetFlowNetFlow hà evolutu cù u tempu, è sò state publicate diverse versioni. Alcune versioni notevuli includenu NetFlow v5, NetFlow v9 è Flexible NetFlow. Ogni versione introduce miglioramenti è capacità supplementari.
IPFIX:
Chì ghjè IPFIX?
Un standard IETF chì hè apparsu à l'iniziu di l'anni 2000, Internet Protocol Flow Information Export (IPFIX) hè estremamente simile à NetFlow. In fatti, NetFlow v9 hà servitu cum'è basa per IPFIX. A principale differenza trà i dui hè chì IPFIX hè un standard apertu, è hè supportatu da parechji fornitori di rete fora di Cisco. À l'eccezzione di uni pochi di campi supplementari aghjunti in IPFIX, i furmati sò altrimenti guasi identichi. In fatti, IPFIX hè qualchì volta chjamatu ancu "NetFlow v10".
Per via in parte di e so similitudini cù NetFlow, IPFIX gode di un largu sustegnu trà e soluzioni di monitoraghju di rete è ancu trà l'equipaggiamenti di rete.
IPFIX (Internet Protocol Flow Information Export) hè un protocolu standard apertu sviluppatu da l'Internet Engineering Task Force (IETF). Hè basatu annantu à a specificazione NetFlow Versione 9 è furnisce un furmatu standardizatu per l'esportazione di registri di flussu da i dispusitivi di rete.
IPFIX si basa nantu à i cuncetti di NetFlow è li espande per offre più flessibilità è interoperabilità trà diversi fornitori è dispositivi. Introduce u cuncettu di mudelli, chì permettenu a definizione dinamica di a struttura è di u cuntenutu di i registri di flussu. Questu permette l'inclusione di campi persunalizati, u supportu per novi protokolli è l'estensibilità.
Caratteristiche principali di IPFIX:
~ Approcciu basatu annantu à i mudelliIPFIX usa mudelli per definisce a struttura è u cuntenutu di i registri di flussu, offrendu flessibilità in l'adattazione di diversi campi di dati è informazioni specifiche di u protocolu.
~ InteroperabilitàIPFIX hè un standard apertu, chì garantisce capacità di monitoraghju di u flussu consistenti trà diversi fornitori di rete è dispositivi.
~ Supportu IPv6IPFIX supporta nativamente IPv6, ciò chì u rende adattatu per u monitoraghju è l'analisi di u trafficu in e rete IPv6.
~Sicurezza MigliurataIPFIX include funzioni di sicurezza cum'è a crittografia TLS (Transport Layer Security) è i cuntrolli di integrità di i missaghji per prutege a cunfidenzialità è l'integrità di i dati di u flussu durante a trasmissione.
IPFIX hè largamente supportatu da diversi venditori di apparecchiature di rete, ciò chì ne face una scelta neutrale per u venditore è largamente aduttata per u monitoraghju di u flussu di rete.
Dunque, chì hè a differenza trà NetFlow è IPFIX?
A risposta simplice hè chì NetFlow hè un protocolu pruprietariu di Cisco introduttu intornu à u 1996 è IPFIX hè u so fratellu appruvatu da l'organismi di standardizazione.
Tramindui i protokolli servenu u listessu scopu: permette à l'ingegneri è l'amministratori di rete di raccoglie è analizà i flussi di trafficu IP à livellu di rete. Cisco hà sviluppatu NetFlow in modu chì i so switch è router pudessinu furnisce queste preziose informazioni. Data a duminazione di l'attrezzatura Cisco, NetFlow hè diventatu rapidamente u standard de facto per l'analisi di u trafficu di rete. Tuttavia, i cuncurrenti di l'industria anu capitu chì l'usu di un protokollu pruprietariu cuntrullatu da u so principale rivale ùn era micca una bona idea è dunque l'IETF hà guidatu un sforzu per standardizà un protokollu apertu per l'analisi di u trafficu, chì hè IPFIX.
IPFIX hè basatu annantu à NetFlow versione 9 è hè statu inizialmente introduttu intornu à u 2005, ma ci hè vulsutu un certu numeru d'anni per esse aduttatu da l'industria. À questu puntu, i dui protokolli sò essenzialmente listessi è ancu s'è u termine NetFlow hè sempre più prevalente, a maiò parte di l'implementazioni (ancu s'è micca tutte) sò cumpatibili cù u standard IPFIX.
Eccu una tavula chì riassume e differenze trà NetFlow è IPFIX:
| Aspettu | NetFlow | IPFIX |
|---|---|---|
| Origine | Tecnulugia pruprietaria sviluppata da Cisco | Protocolu standard di l'industria basatu annantu à NetFlow Versione 9 |
| Standardizazione | Tecnulugia specifica di Cisco | Standard apertu definitu da IETF in RFC 7011 |
| Flessibilità | Versioni evolute cù funzioni specifiche | Maggiore flessibilità è interoperabilità trà i fornitori |
| Formatu di dati | Pacchetti di dimensione fissa | Approcciu basatu annantu à mudelli per furmati di registrazione di flussu persunalizabili |
| Supportu di mudelli | Micca supportatu | Modelli dinamici per l'inclusione flessibile di campi |
| Supportu di i venditori | Principalmente i dispositivi Cisco | Ampiu supportu trà i fornitori di rete |
| Estensibilità | Personalizazione limitata | Inclusione di campi persunalizati è dati specifichi di l'applicazione |
| Differenze di Protocolu | Variazioni specifiche di Cisco | Supportu IPv6 nativu, opzioni di registrazione di flussu migliorate |
| Funzioni di sicurezza | Funzioni di sicurezza limitate | Crittografia di a Sicurezza di u Livellu di Trasportu (TLS), integrità di u missaghju |
Monitoraghju di u Flussu di Retehè a cullezzione, l'analisi è u monitoraghju di u trafficu chì attraversa una data rete o un segmentu di rete. L'ubbiettivi ponu varià da a risoluzione di i prublemi di cunnessione à a pianificazione futura di l'allocazione di larghezza di banda. U monitoraghju di u flussu è u campionamentu di pacchetti ponu ancu esse utili per identificà è risolve i prublemi di sicurezza.
U monitoraghju di u flussu dà à e squadre di rete una bona idea di cumu funziona una rete, furnendu insights nantu à l'utilizazione generale, l'usu di l'applicazione, i colli di buttiglia potenziali, l'anomalie chì ponu signalà minacce di sicurezza è assai di più. Ci sò parechji standard è furmati diversi utilizati in u monitoraghju di u flussu di rete, cumpresi NetFlow, sFlow è Internet Protocol Flow Information Export (IPFIX). Ognunu funziona in un modu ligeramente diversu, ma tutti sò distinti da u mirroring di u portu è da l'ispezione prufonda di i pacchetti in quantu ùn catturanu micca u cuntenutu di ogni pacchettu chì passa per un portu o attraversu un switch. Tuttavia, u monitoraghju di u flussu furnisce più informazioni chè SNMP, chì hè generalmente limitatu à statistiche generali cum'è l'usu generale di pacchetti è larghezza di banda.
Strumenti di Flussu di Rete Paragunati
| Funziunalità | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Apertu o Pruprietariu | Pruprietariu | Pruprietariu | Apertu | Apertu |
| Campionatu o basatu annantu à u flussu | Principalmente basatu annantu à u flussu; a modalità campionata hè dispunibule | Principalmente basatu annantu à u flussu; a modalità campionata hè dispunibule | Campionatu | Principalmente basatu annantu à u flussu; a modalità campionata hè dispunibule |
| Infurmazioni catturate | Metadati è informazioni statistiche, cumpresi i byte trasferiti, i contatori d'interfaccia è cusì via | Metadati è informazioni statistiche, cumpresi i byte trasferiti, i contatori d'interfaccia è cusì via | Intestazioni di pacchetti cumpleti, carichi di pacchetti parziali | Metadati è informazioni statistiche, cumpresi i byte trasferiti, i contatori d'interfaccia è cusì via |
| Monitoraghju d'entrata/uscita | Solu entrata | Ingressu è Egressu | Ingressu è Egressu | Ingressu è Egressu |
| Supportu IPv6/VLAN/MPLS | No | Iè | Iè | Iè |
Data di publicazione: 18 di marzu di u 2024
