NetFlow và IPFIX đều là những công nghệ được sử dụng để giám sát và phân tích lưu lượng mạng. Chúng cung cấp thông tin chi tiết về các mô hình lưu lượng mạng, hỗ trợ tối ưu hóa hiệu suất, khắc phục sự cố và phân tích bảo mật.
NetFlow:
NetFlow là gì?
NetFlowNetFlow là giải pháp giám sát lưu lượng ban đầu, được Cisco phát triển vào cuối những năm 1990. Có nhiều phiên bản khác nhau, nhưng hầu hết các triển khai đều dựa trên NetFlow v5 hoặc NetFlow v9. Mặc dù mỗi phiên bản có các khả năng khác nhau, nhưng nguyên tắc hoạt động cơ bản vẫn giống nhau:
Đầu tiên, bộ định tuyến, bộ chuyển mạch, tường lửa hoặc một thiết bị khác sẽ thu thập thông tin về các “luồng” mạng – về cơ bản là một tập hợp các gói tin có chung các đặc điểm như địa chỉ nguồn và đích, cổng nguồn và đích, và loại giao thức. Sau khi một luồng không hoạt động hoặc sau một khoảng thời gian được xác định trước, thiết bị sẽ xuất các bản ghi luồng đến một thực thể được gọi là “bộ thu thập luồng”.
Cuối cùng, một “bộ phân tích lưu lượng” sẽ xử lý các bản ghi đó, cung cấp thông tin chi tiết dưới dạng hình ảnh trực quan, số liệu thống kê và báo cáo chi tiết về lịch sử và thời gian thực. Trên thực tế, các bộ thu thập và bộ phân tích thường là một thực thể duy nhất, thường được kết hợp thành một giải pháp giám sát hiệu suất mạng lớn hơn.
NetFlow hoạt động trên cơ sở có trạng thái. Khi máy khách kết nối với máy chủ, NetFlow sẽ bắt đầu thu thập và tổng hợp siêu dữ liệu từ luồng dữ liệu. Sau khi phiên kết thúc, NetFlow sẽ xuất một bản ghi hoàn chỉnh duy nhất đến bộ thu thập.
Mặc dù vẫn được sử dụng phổ biến, NetFlow v5 có một số hạn chế. Các trường được xuất ra là cố định, việc giám sát chỉ được hỗ trợ theo hướng vào và các công nghệ hiện đại như IPv6, MPLS và VXLAN không được hỗ trợ. NetFlow v9, còn được gọi là Flexible NetFlow (FNF), khắc phục một số hạn chế này, cho phép người dùng xây dựng các mẫu tùy chỉnh và bổ sung hỗ trợ cho các công nghệ mới hơn.
Nhiều nhà cung cấp cũng có các triển khai NetFlow độc quyền của riêng họ, chẳng hạn như jFlow của Juniper và NetStream của Huawei. Mặc dù cấu hình có thể khác nhau đôi chút, nhưng các triển khai này thường tạo ra các bản ghi luồng tương thích với các bộ thu thập và phân tích NetFlow.
Các tính năng chính của NetFlow:
~ Dữ liệu dòng chảyNetFlow tạo ra các bản ghi luồng bao gồm các chi tiết như địa chỉ IP nguồn và đích, cổng, dấu thời gian, số lượng gói và byte, và loại giao thức.
~ Giám sát giao thôngNetFlow cung cấp khả năng hiển thị các mẫu lưu lượng mạng, cho phép quản trị viên xác định các ứng dụng, thiết bị đầu cuối và nguồn lưu lượng hàng đầu.
~Phát hiện bất thườngBằng cách phân tích dữ liệu lưu lượng, NetFlow có thể phát hiện các bất thường như sử dụng băng thông quá mức, tắc nghẽn mạng hoặc các mô hình lưu lượng truy cập bất thường.
~ Phân tích an ninhNetFlow có thể được sử dụng để phát hiện và điều tra các sự cố bảo mật, chẳng hạn như các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc các nỗ lực truy cập trái phép.
Các phiên bản NetFlowNetFlow đã phát triển theo thời gian và nhiều phiên bản khác nhau đã được phát hành. Một số phiên bản đáng chú ý bao gồm NetFlow v5, NetFlow v9 và Flexible NetFlow. Mỗi phiên bản đều giới thiệu những cải tiến và khả năng bổ sung.
IPFIX:
IPFIX là gì?
Một tiêu chuẩn của IETF xuất hiện vào đầu những năm 2000, Giao thức Xuất Thông tin Luồng Internet (IPFIX) cực kỳ giống với NetFlow. Trên thực tế, NetFlow phiên bản 9 đã là nền tảng cho IPFIX. Sự khác biệt chính giữa hai tiêu chuẩn này là IPFIX là một tiêu chuẩn mở và được hỗ trợ bởi nhiều nhà cung cấp thiết bị mạng ngoài Cisco. Ngoại trừ một vài trường bổ sung được thêm vào trong IPFIX, định dạng của chúng gần như giống hệt nhau. Trên thực tế, IPFIX đôi khi thậm chí còn được gọi là “NetFlow phiên bản 10”.
Một phần do có nhiều điểm tương đồng với NetFlow, IPFIX được hỗ trợ rộng rãi trong các giải pháp giám sát mạng cũng như thiết bị mạng.
IPFIX (Internet Protocol Flow Information Export) là một giao thức tiêu chuẩn mở được phát triển bởi Nhóm Đặc nhiệm Kỹ thuật Internet (IETF). Nó dựa trên đặc tả NetFlow Phiên bản 9 và cung cấp định dạng tiêu chuẩn để xuất các bản ghi luồng từ các thiết bị mạng.
IPFIX được xây dựng dựa trên các khái niệm của NetFlow và mở rộng chúng để cung cấp tính linh hoạt và khả năng tương tác cao hơn giữa các nhà cung cấp và thiết bị khác nhau. Nó giới thiệu khái niệm về mẫu (template), cho phép định nghĩa động cấu trúc và nội dung của bản ghi luồng. Điều này cho phép bao gồm các trường tùy chỉnh, hỗ trợ các giao thức mới và khả năng mở rộng.
Các tính năng chính của IPFIX:
~ Phương pháp tiếp cận dựa trên mẫuIPFIX sử dụng các mẫu để định nghĩa cấu trúc và nội dung của các bản ghi luồng, mang lại sự linh hoạt trong việc tích hợp các trường dữ liệu khác nhau và thông tin cụ thể của giao thức.
~ Khả năng tương tácIPFIX là một tiêu chuẩn mở, đảm bảo khả năng giám sát luồng dữ liệu nhất quán trên các nhà cung cấp và thiết bị mạng khác nhau.
~ Hỗ trợ IPv6IPFIX hỗ trợ IPv6 một cách tự nhiên, do đó rất phù hợp để giám sát và phân tích lưu lượng truy cập trong mạng IPv6.
~Tăng cường bảo mậtIPFIX bao gồm các tính năng bảo mật như mã hóa Giao thức Lớp Vận chuyển (TLS) và kiểm tra tính toàn vẹn của thông điệp để bảo vệ tính bí mật và toàn vẹn của dữ liệu luồng trong quá trình truyền tải.
IPFIX được hỗ trợ rộng rãi bởi nhiều nhà cung cấp thiết bị mạng khác nhau, khiến nó trở thành một lựa chọn trung lập về nhà cung cấp và được sử dụng rộng rãi để giám sát lưu lượng mạng.
Vậy, NetFlow và IPFIX khác nhau ở điểm nào?
Câu trả lời đơn giản là NetFlow là một giao thức độc quyền của Cisco được giới thiệu vào khoảng năm 1996, còn IPFIX là phiên bản được cơ quan tiêu chuẩn hóa phê duyệt.
Cả hai giao thức đều phục vụ cùng một mục đích: cho phép các kỹ sư và quản trị viên mạng thu thập và phân tích lưu lượng IP ở cấp độ mạng. Cisco đã phát triển NetFlow để các thiết bị chuyển mạch và bộ định tuyến của họ có thể xuất ra thông tin có giá trị này. Do sự thống trị của thiết bị Cisco, NetFlow nhanh chóng trở thành tiêu chuẩn thực tế cho việc phân tích lưu lượng mạng. Tuy nhiên, các đối thủ cạnh tranh trong ngành nhận ra rằng việc sử dụng một giao thức độc quyền do đối thủ chính kiểm soát không phải là một ý tưởng hay, và do đó IETF đã dẫn đầu nỗ lực tiêu chuẩn hóa một giao thức mở để phân tích lưu lượng, đó là IPFIX.
IPFIX dựa trên NetFlow phiên bản 9 và được giới thiệu lần đầu vào khoảng năm 2005 nhưng phải mất một vài năm mới được ngành công nghiệp chấp nhận. Hiện tại, hai giao thức này về cơ bản là giống nhau và mặc dù thuật ngữ NetFlow vẫn phổ biến hơn nhưng hầu hết các triển khai (mặc dù không phải tất cả) đều tương thích với tiêu chuẩn IPFIX.
Dưới đây là bảng tóm tắt những điểm khác biệt giữa NetFlow và IPFIX:
| Diện mạo | NetFlow | IPFIX |
|---|---|---|
| Nguồn gốc | Công nghệ độc quyền do Cisco phát triển. | Giao thức tiêu chuẩn ngành dựa trên NetFlow Phiên bản 9 |
| Tiêu chuẩn hóa | Công nghệ đặc thù của Cisco | Tiêu chuẩn mở được IETF định nghĩa trong RFC 7011. |
| Tính linh hoạt | Các phiên bản được cải tiến với các tính năng cụ thể. | Tính linh hoạt và khả năng tương tác cao hơn giữa các nhà cung cấp. |
| Định dạng dữ liệu | Gói có kích thước cố định | Phương pháp dựa trên mẫu cho các định dạng bản ghi luồng có thể tùy chỉnh |
| Hỗ trợ mẫu | Không được hỗ trợ | Các mẫu động cho phép bao gồm trường linh hoạt |
| Hỗ trợ nhà cung cấp | Chủ yếu là các thiết bị của Cisco. | Hỗ trợ rộng rãi từ nhiều nhà cung cấp thiết bị mạng. |
| Khả năng mở rộng | Khả năng tùy chỉnh hạn chế | Bao gồm các trường tùy chỉnh và dữ liệu dành riêng cho ứng dụng. |
| Sự khác biệt giữa các giao thức | Các biến thể dành riêng cho Cisco | Hỗ trợ IPv6 gốc, các tùy chọn ghi luồng được nâng cao |
| Tính năng bảo mật | Các tính năng bảo mật hạn chế | Mã hóa Bảo mật Lớp Vận chuyển (TLS), tính toàn vẹn của thông điệp |
Giám sát lưu lượng mạngGiám sát luồng dữ liệu là việc thu thập, phân tích và theo dõi lưu lượng truy cập đi qua một mạng hoặc phân đoạn mạng nhất định. Mục tiêu có thể khác nhau, từ khắc phục sự cố kết nối đến lập kế hoạch phân bổ băng thông trong tương lai. Giám sát luồng dữ liệu và lấy mẫu gói tin thậm chí còn hữu ích trong việc xác định và khắc phục các vấn đề bảo mật.
Giám sát lưu lượng mạng cung cấp cho các nhóm mạng cái nhìn tổng quan về cách thức hoạt động của mạng, cung cấp thông tin chi tiết về mức độ sử dụng tổng thể, việc sử dụng ứng dụng, các điểm nghẽn tiềm ẩn, các bất thường có thể báo hiệu các mối đe dọa bảo mật, và nhiều hơn nữa. Có một số tiêu chuẩn và định dạng khác nhau được sử dụng trong giám sát lưu lượng mạng, bao gồm NetFlow, sFlow và Internet Protocol Flow Information Export (IPFIX). Mỗi tiêu chuẩn hoạt động theo một cách hơi khác nhau, nhưng tất cả đều khác biệt so với việc phản chiếu cổng và kiểm tra gói sâu ở chỗ chúng không thu thập nội dung của mọi gói tin đi qua một cổng hoặc qua một bộ chuyển mạch. Tuy nhiên, giám sát lưu lượng cung cấp nhiều thông tin hơn SNMP, vốn thường chỉ giới hạn ở các số liệu thống kê chung như mức sử dụng gói và băng thông tổng thể.
So sánh các công cụ đo lưu lượng mạng
| Tính năng | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Mở hoặc Độc quyền | Độc quyền | Độc quyền | Mở | Mở |
| Dựa trên mẫu hoặc dòng chảy | Chủ yếu dựa trên lưu lượng; Chế độ lấy mẫu cũng có sẵn. | Chủ yếu dựa trên lưu lượng; Chế độ lấy mẫu cũng có sẵn. | Lấy mẫu | Chủ yếu dựa trên lưu lượng; Chế độ lấy mẫu cũng có sẵn. |
| Thông tin được thu thập | Siêu dữ liệu và thông tin thống kê, bao gồm số byte đã truyền, bộ đếm giao diện, v.v. | Siêu dữ liệu và thông tin thống kê, bao gồm số byte đã truyền, bộ đếm giao diện, v.v. | Tiêu đề gói tin hoàn chỉnh, nội dung gói tin một phần | Siêu dữ liệu và thông tin thống kê, bao gồm số byte đã truyền, bộ đếm giao diện, v.v. |
| Giám sát lối vào/lối ra | Chỉ dành cho Ingress | Lối vào và lối ra | Lối vào và lối ra | Lối vào và lối ra |
| Hỗ trợ IPv6/VLAN/MPLS | No | Đúng | Đúng | Đúng |
Thời gian đăng bài: 18/03/2024
