NetFlow và IPFIX đều là công nghệ được sử dụng để giám sát và phân tích luồng mạng. Chúng cung cấp thông tin chi tiết về các mẫu lưu lượng mạng, hỗ trợ tối ưu hóa hiệu suất, khắc phục sự cố và phân tích bảo mật.
Dòng chảy ròng:
NetFlow là gì?
Dòng chảy rònglà giải pháp giám sát luồng ban đầu, được Cisco phát triển vào cuối những năm 1990. Có một số phiên bản khác nhau, nhưng hầu hết các triển khai đều dựa trên NetFlow v5 hoặc NetFlow v9. Mặc dù mỗi phiên bản có các khả năng khác nhau, nhưng hoạt động cơ bản vẫn giống nhau:
Đầu tiên, một bộ định tuyến, bộ chuyển mạch, tường lửa hoặc một loại thiết bị khác sẽ thu thập thông tin về "luồng" mạng – về cơ bản là một tập hợp các gói tin chia sẻ một tập hợp các đặc điểm chung như địa chỉ nguồn và đích, cổng nguồn và đích và loại giao thức. Sau khi luồng không hoạt động hoặc sau một khoảng thời gian được xác định trước, thiết bị sẽ xuất các bản ghi luồng đến một thực thể được gọi là "bộ thu thập luồng".
Cuối cùng, một “bộ phân tích lưu lượng” sẽ hiểu được các bản ghi đó, cung cấp thông tin chi tiết dưới dạng hình ảnh hóa, thống kê và báo cáo chi tiết theo thời gian thực và lịch sử. Trong thực tế, bộ thu thập và bộ phân tích thường là một thực thể duy nhất, thường được kết hợp thành một giải pháp giám sát hiệu suất mạng lớn hơn.
NetFlow hoạt động trên cơ sở có trạng thái. Khi máy khách kết nối với máy chủ, NetFlow sẽ bắt đầu thu thập và tổng hợp siêu dữ liệu từ luồng. Sau khi phiên kết thúc, NetFlow sẽ xuất một bản ghi hoàn chỉnh duy nhất đến bộ thu thập.
Mặc dù vẫn được sử dụng phổ biến, NetFlow v5 có một số hạn chế. Các trường được xuất là cố định, giám sát chỉ được hỗ trợ theo hướng vào và các công nghệ hiện đại như IPv6, MPLS và VXLAN không được hỗ trợ. NetFlow v9, còn được gọi là Flexible NetFlow (FNF), giải quyết một số hạn chế này, cho phép người dùng xây dựng các mẫu tùy chỉnh và thêm hỗ trợ cho các công nghệ mới hơn.
Nhiều nhà cung cấp cũng có các triển khai NetFlow độc quyền của riêng họ, chẳng hạn như jFlow từ Juniper và NetStream từ Huawei. Mặc dù cấu hình có thể khác nhau đôi chút, nhưng các triển khai này thường tạo ra các bản ghi luồng tương thích với trình thu thập và trình phân tích NetFlow.
Các tính năng chính của NetFlow:
~ Dữ liệu luồng: NetFlow tạo các bản ghi luồng bao gồm các thông tin chi tiết như địa chỉ IP nguồn và đích, cổng, dấu thời gian, số lượng gói và byte cũng như loại giao thức.
~ Giám sát giao thông:NetFlow cung cấp khả năng hiển thị các mẫu lưu lượng mạng, cho phép người quản trị xác định các ứng dụng, điểm cuối và nguồn lưu lượng hàng đầu.
~Phát hiện bất thường:Bằng cách phân tích dữ liệu luồng, NetFlow có thể phát hiện các bất thường như sử dụng băng thông quá mức, tắc nghẽn mạng hoặc các mẫu lưu lượng bất thường.
~ Phân tích bảo mật: NetFlow có thể được sử dụng để phát hiện và điều tra các sự cố bảo mật, chẳng hạn như các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc các nỗ lực truy cập trái phép.
Các phiên bản NetFlow: NetFlow đã phát triển theo thời gian và nhiều phiên bản khác nhau đã được phát hành. Một số phiên bản đáng chú ý bao gồm NetFlow v5, NetFlow v9 và Flexible NetFlow. Mỗi phiên bản đều giới thiệu các cải tiến và khả năng bổ sung.
IPFIX:
IPFIX là gì?
Một tiêu chuẩn IETF xuất hiện vào đầu những năm 2000, Internet Protocol Flow Information Export (IPFIX) cực kỳ giống với NetFlow. Trên thực tế, NetFlow v9 đóng vai trò là cơ sở cho IPFIX. Sự khác biệt chính giữa hai tiêu chuẩn này là IPFIX là một tiêu chuẩn mở và được nhiều nhà cung cấp mạng hỗ trợ ngoài Cisco. Ngoại trừ một vài trường bổ sung được thêm vào IPFIX, các định dạng còn lại gần như giống hệt nhau. Trên thực tế, IPFIX đôi khi thậm chí còn được gọi là "NetFlow v10".
Một phần do có nhiều điểm tương đồng với NetFlow nên IPFIX được nhiều giải pháp giám sát mạng cũng như thiết bị mạng hỗ trợ rộng rãi.
IPFIX (Internet Protocol Flow Information Export) là một giao thức chuẩn mở do Internet Engineering Task Force (IETF) phát triển. Giao thức này dựa trên thông số kỹ thuật NetFlow Phiên bản 9 và cung cấp định dạng chuẩn để xuất bản ghi lưu lượng từ các thiết bị mạng.
IPFIX xây dựng dựa trên các khái niệm của NetFlow và mở rộng chúng để cung cấp tính linh hoạt và khả năng tương tác cao hơn giữa các nhà cung cấp và thiết bị khác nhau. Nó giới thiệu khái niệm về mẫu, cho phép định nghĩa động về cấu trúc và nội dung bản ghi luồng. Điều này cho phép bao gồm các trường tùy chỉnh, hỗ trợ các giao thức mới và khả năng mở rộng.
Các tính năng chính của IPFIX:
~ Phương pháp tiếp cận dựa trên mẫu:IPFIX sử dụng các mẫu để xác định cấu trúc và nội dung của bản ghi luồng, mang lại sự linh hoạt trong việc xử lý các trường dữ liệu và thông tin cụ thể của giao thức khác nhau.
~ Khả năng tương tác:IPFIX là một tiêu chuẩn mở, đảm bảo khả năng giám sát lưu lượng nhất quán trên nhiều thiết bị và nhà cung cấp mạng khác nhau.
~ Hỗ trợ IPv6:IPFIX hỗ trợ IPv6, phù hợp để giám sát và phân tích lưu lượng trong mạng IPv6.
~Tăng cường bảo mật:IPFIX bao gồm các tính năng bảo mật như mã hóa Bảo mật lớp truyền tải (TLS) và kiểm tra tính toàn vẹn của thông điệp để bảo vệ tính bảo mật và toàn vẹn của dữ liệu luồng trong quá trình truyền.
IPFIX được hỗ trợ rộng rãi bởi nhiều nhà cung cấp thiết bị mạng, khiến nó trở thành lựa chọn trung lập về nhà cung cấp và được áp dụng rộng rãi để giám sát lưu lượng mạng.
Vậy, sự khác biệt giữa NetFlow và IPFIX là gì?
Câu trả lời đơn giản là NetFlow là giao thức độc quyền của Cisco được giới thiệu vào khoảng năm 1996 và IPFIX là giao thức được cơ quan tiêu chuẩn chấp thuận.
Cả hai giao thức đều phục vụ cùng một mục đích: cho phép các kỹ sư và quản trị viên mạng thu thập và phân tích luồng lưu lượng IP cấp độ mạng. Cisco đã phát triển NetFlow để các bộ chuyển mạch và bộ định tuyến của mình có thể xuất ra thông tin có giá trị này. Với sự thống trị của thiết bị Cisco, NetFlow nhanh chóng trở thành tiêu chuẩn thực tế cho phân tích lưu lượng mạng. Tuy nhiên, các đối thủ cạnh tranh trong ngành nhận ra rằng sử dụng một giao thức độc quyền do đối thủ chính của mình kiểm soát không phải là một ý tưởng hay và do đó IETF đã dẫn đầu nỗ lực chuẩn hóa một giao thức mở để phân tích lưu lượng, đó là IPFIX.
IPFIX dựa trên NetFlow phiên bản 9 và ban đầu được giới thiệu vào khoảng năm 2005 nhưng phải mất một số năm để được ngành công nghiệp chấp nhận. Tại thời điểm này, hai giao thức về cơ bản là giống nhau và mặc dù thuật ngữ NetFlow vẫn phổ biến hơn, hầu hết các triển khai (mặc dù không phải tất cả) đều tương thích với tiêu chuẩn IPFIX.
Sau đây là bảng tóm tắt sự khác biệt giữa NetFlow và IPFIX:
| Diện mạo | Dòng chảy ròng | IPFIX |
|---|---|---|
| Nguồn gốc | Công nghệ độc quyền được phát triển bởi Cisco | Giao thức chuẩn công nghiệp dựa trên NetFlow Phiên bản 9 |
| Chuẩn hóa | Công nghệ dành riêng cho Cisco | Tiêu chuẩn mở được IETF định nghĩa trong RFC 7011 |
| Tính linh hoạt | Phiên bản phát triển với các tính năng cụ thể | Tính linh hoạt và khả năng tương tác cao hơn giữa các nhà cung cấp |
| Định dạng dữ liệu | Gói có kích thước cố định | Phương pháp tiếp cận dựa trên mẫu cho các định dạng bản ghi luồng có thể tùy chỉnh |
| Hỗ trợ mẫu | Không được hỗ trợ | Mẫu động để đưa trường vào một cách linh hoạt |
| Hỗ trợ nhà cung cấp | Chủ yếu là các thiết bị Cisco | Hỗ trợ rộng rãi trên các nhà cung cấp mạng |
| Khả năng mở rộng | Tùy chỉnh hạn chế | Bao gồm các trường tùy chỉnh và dữ liệu cụ thể của ứng dụng |
| Sự khác biệt về giao thức | Các biến thể dành riêng cho Cisco | Hỗ trợ IPv6 gốc, tùy chọn ghi lại luồng được cải tiến |
| Tính năng bảo mật | Tính năng bảo mật hạn chế | Mã hóa bảo mật lớp truyền tải (TLS), tính toàn vẹn của tin nhắn |
Giám sát lưu lượng mạnglà việc thu thập, phân tích và giám sát lưu lượng đi qua một mạng hoặc phân đoạn mạng nhất định. Các mục tiêu có thể thay đổi từ việc khắc phục sự cố kết nối đến việc lập kế hoạch phân bổ băng thông trong tương lai. Giám sát luồng và lấy mẫu gói thậm chí có thể hữu ích trong việc xác định và khắc phục các sự cố bảo mật.
Giám sát luồng cung cấp cho các nhóm mạng ý tưởng tốt về cách mạng đang hoạt động, cung cấp thông tin chi tiết về mức sử dụng chung, mức sử dụng ứng dụng, các nút thắt cổ chai tiềm ẩn, các bất thường có thể báo hiệu các mối đe dọa bảo mật, v.v. Có một số tiêu chuẩn và định dạng khác nhau được sử dụng trong giám sát luồng mạng, bao gồm NetFlow, sFlow và Xuất thông tin luồng giao thức Internet (IPFIX). Mỗi tiêu chuẩn hoạt động theo một cách hơi khác nhau, nhưng tất cả đều khác với phản chiếu cổng và kiểm tra gói sâu ở chỗ chúng không nắm bắt nội dung của mọi gói đi qua cổng hoặc qua bộ chuyển mạch. Tuy nhiên, giám sát luồng cung cấp nhiều thông tin hơn SNMP, thường chỉ giới hạn ở các số liệu thống kê rộng như tổng thể gói và mức sử dụng băng thông.
So sánh các công cụ Network Flow
| Tính năng | Dòng chảy mạng v5 | NetFlow v9 | Dòng chảy | IPFIX |
| Mở hoặc độc quyền | Độc quyền | Độc quyền | Mở | Mở |
| Lấy mẫu hoặc Dựa trên luồng | Chủ yếu dựa trên luồng; Chế độ lấy mẫu có sẵn | Chủ yếu dựa trên luồng; Chế độ lấy mẫu có sẵn | Đã lấy mẫu | Chủ yếu dựa trên luồng; Chế độ lấy mẫu có sẵn |
| Thông tin đã được ghi lại | Siêu dữ liệu và thông tin thống kê, bao gồm các byte được chuyển, bộ đếm giao diện, v.v. | Siêu dữ liệu và thông tin thống kê, bao gồm các byte được chuyển, bộ đếm giao diện, v.v. | Tiêu đề gói hoàn chỉnh, Tải trọng gói một phần | Siêu dữ liệu và thông tin thống kê, bao gồm các byte được chuyển, bộ đếm giao diện, v.v. |
| Giám sát ra vào | Chỉ vào | Vào và ra | Vào và ra | Vào và ra |
| Hỗ trợ IPv6/VLAN/MPLS | No | Đúng | Đúng | Đúng |
Thời gian đăng: 18-03-2024
