’S e teicneòlasan a th’ ann an NetFlow agus IPFIX a thathas a’ cleachdadh airson sgrùdadh agus mion-sgrùdadh sruthadh lìonra. Bidh iad a’ toirt sealladh air pàtrain trafaic lìonra, a’ cuideachadh le bhith a’ leasachadh coileanaidh, a’ fuasgladh dhuilgheadasan, agus a’ dèanamh mion-sgrùdadh tèarainteachd.
Sruth-lìonra:
Dè a th’ ann an NetFlow?
NetFlow’S e seo am fuasgladh tùsail airson sgrùdadh sruthadh, a chaidh a leasachadh an toiseach le Cisco aig deireadh nan 1990an. Tha grunn dhreachan eadar-dhealaichte ann, ach tha a’ mhòr-chuid de na cleachdaidhean stèidhichte air NetFlow v5 no NetFlow v9. Ged a tha comasan eadar-dhealaichte aig gach dreach, tha am prìomh obrachadh fhathast mar a tha e:
An toiseach, glacaidh router, suidse, balla-teine, no seòrsa eile de inneal fiosrachadh mu na “sruthan” lìonra – gu bunaiteach seata de phasganan aig a bheil seata cumanta de fheartan leithid seòladh tùsail is ceann-uidhe, stòr is port ceann-uidhe, agus seòrsa protocol. Às deidh do shruth a bhith na chadal no às deidh ùine ro-mhìnichte a dhol seachad, às-mhalairtidh an inneal na clàran sruth gu eintiteas ris an canar “neach-cruinneachaidh sruthan”.
Mu dheireadh, bidh “inneal-anailis sruthadh” a’ dèanamh ciall de na clàran sin, a’ toirt seachad lèirsinn ann an cruth lèirsinn, staitistig, agus aithris eachdraidheil is fìor-ùine mhionaideach. Ann an cleachdadh, is tric a bhios luchd-cruinneachaidh agus luchd-anailis mar aon eintiteas, gu tric air an cur còmhla ann am fuasgladh sgrùdaidh coileanaidh lìonra nas motha.
Bidh NetFlow ag obair air stèidh stàiteil. Nuair a chuireas inneal teachdaiche fios gu frithealaiche, tòisichidh NetFlow air meata-dhàta a ghlacadh agus a chruinneachadh bhon t-sruth. Às deidh don t-seisean a bhith seachad, cuiridh NetFlow aon chlàr slàn a-mach chun an neach-cruinneachaidh.
Ged a tha e fhathast ga chleachdadh gu cumanta, tha grunn chuingealachaidhean aig NetFlow v5. Tha na raointean a thèid às-phortadh stèidhichte, chan eil taic ri sgrùdadh ach anns an t-slighe a-steach, agus chan eil taic ri teicneòlasan ùr-nodha leithid IPv6, MPLS, agus VXLAN. Tha NetFlow v9, ris an canar cuideachd Flexible NetFlow (FNF), a’ dèiligeadh ri cuid de na cuingealachaidhean sin, a’ leigeil le luchd-cleachdaidh teamplaidean gnàthaichte a thogail agus taic a chur ris airson teicneòlasan nas ùire.
Tha na buileachaidhean seilbhe aca fhèin de NetFlow aig mòran de luchd-reic cuideachd, leithid jFlow bho Juniper agus NetStream bho Huawei. Ged a dh’ fhaodadh an rèiteachadh a bhith beagan eadar-dhealaichte, bidh na buileachaidhean sin gu tric a’ toirt a-mach clàran sruthadh a tha co-chòrdail ri luchd-cruinneachaidh agus innealan-anailis NetFlow.
Prìomh fheartan NetFlow:
~ Dàta SruthadhBidh NetFlow a’ gineadh chlàran sruthadh anns a bheil mion-fhiosrachadh leithid seòlaidhean IP tùsail is ceann-uidhe, puirt, stampaichean-ama, cunntadh phasgan is byte, agus seòrsachan protocol.
~ Sgrùdadh TrafaicBheir NetFlow sealladh farsaing air pàtrain trafaic lìonra, a’ leigeil le rianairean prìomh thagraidhean, puingean-crìochnachaidh agus stòran trafaic a chomharrachadh.
~Lorgaireachd Neo-riaghailteachdLe bhith a’ dèanamh anailis air dàta sruthadh, faodaidh NetFlow ana-cainnt a lorg leithid cus cleachdadh leud-bann, dùmhlachd lìonra, no pàtrain trafaic neo-àbhaisteach.
~ Mion-sgrùdadh TèarainteachdFaodar NetFlow a chleachdadh gus tachartasan tèarainteachd a lorg agus a sgrùdadh, leithid ionnsaighean diùltadh seirbheis sgaoilte (DDoS) no oidhirpean ruigsinneachd gun chead.
Tionndaidhean NetFlowTha NetFlow air atharrachadh thar ùine, agus chaidh diofar dhreachan fhoillseachadh. Am measg nan dreachan ainmeil tha NetFlow v5, NetFlow v9, agus Flexible NetFlow. Tha leasachaidhean agus comasan a bharrachd anns gach dreach.
IPFIX:
Dè a th' ann an IPFIX?
’S e inbhe IETF a th’ ann an Internet Protocol Flow Information Export (IPFIX) a nochd tràth anns na 2000an, agus tha e glè choltach ri NetFlow. Gu dearbh, b’ e NetFlow v9 am bunait airson IPFIX. Is e am prìomh eadar-dhealachadh eadar an dà rud gu bheil IPFIX na inbhe fhosgailte, agus gu bheil mòran de luchd-reic lìonraidh ga thaiceadh ach a-mhàin Cisco. A bharrachd air beagan raointean a bharrachd a chaidh a chur ris ann an IPFIX, tha na cruthan cha mhòr co-ionann air dhòigh eile. Gu dearbh, canar “NetFlow v10” ri IPFIX uaireannan.
Air sgàth cho coltach ‘s a tha e ri NetFlow, tha taic fharsaing aig IPFIX am measg fhuasglaidhean sgrùdaidh lìonra a bharrachd air uidheamachd lìonra.
’S e pròtacal àbhaisteach fosgailte a th’ ann an IPFIX (Internet Protocol Flow Information Export) a chaidh a leasachadh leis an Internet Engineering Task Force (IETF). Tha e stèidhichte air sònrachadh NetFlow Version 9 agus a’ toirt seachad cruth àbhaisteach airson clàran sruth a thoirt a-mach à innealan lìonra.
Tha IPFIX a’ togail air bun-bheachdan NetFlow agus gan leudachadh gus barrachd sùbailteachd agus eadar-obrachadh a thabhann thar diofar luchd-reic agus innealan. Tha e a’ toirt a-steach bun-bheachd theamplaidean, a’ leigeil le mìneachadh fiùghantach air structar agus susbaint chlàran sruthadh. Leigidh seo le raointean gnàthaichte, taic do phròtacalan ùra, agus comas leudachaidh a bhith air an toirt a-steach.
Prìomh fheartan IPFIX:
~ Dòigh-obrach stèidhichte air teamplaideanBidh IPFIX a’ cleachdadh teamplaidean gus structar agus susbaint chlàran sruthadh a mhìneachadh, a’ tabhann sùbailteachd ann a bhith a’ gabhail ri diofar raointean dàta agus fiosrachadh sònraichte do phròtacal.
~ Eadar-obrachadh’S e inbhe fhosgailte a th’ ann an IPFIX, a’ dèanamh cinnteach à comasan cunbhalach sgrùdaidh sruthadh thar diofar luchd-reic lìonraidh is innealan.
~ Taic IPv6Tha IPFIX a’ toirt taic dhùthchasach do IPv6, ga dhèanamh freagarrach airson trafaic ann an lìonraidhean IPv6 a sgrùdadh agus a sgrùdadh.
~Tèarainteachd LeasaichteTha feartan tèarainteachd leithid crioptachadh Tèarainteachd Sreath Còmhdhail (TLS) agus sgrùdaidhean ionracas teachdaireachdan aig IPFIX gus dìomhaireachd agus ionracas dàta sruthadh a dhìon rè tar-chuir.
Tha IPFIX a’ faighinn taic fharsaing bho dhiofar luchd-reic uidheamachd lìonraidh, ga dhèanamh na roghainn neodrach do luchd-reic agus air a ghabhail os làimh gu farsaing airson sgrùdadh sruthadh lìonra.
Mar sin, dè an diofar eadar NetFlow agus IPFIX?
Is e am freagairt shìmplidh gur e pròtacal seilbhe Cisco a th’ ann an NetFlow a chaidh a thoirt a-steach timcheall air 1996 agus gur e IPFIX am bràthair aige aontaichte le buidheann inbhean.
Tha an dà phròtacal a’ frithealadh an aon adhbhar: a’ comasachadh innleadairean lìonra agus rianairean sruthan trafaic IP aig ìre lìonra a chruinneachadh agus a sgrùdadh. Leasaich Cisco NetFlow gus am b’ urrainn dha na suidsichean agus na routers aige am fiosrachadh luachmhor seo a thoirt a-mach. Leis cho làidir sa bha uidheam Cisco, thàinig NetFlow gu bhith na inbhe de facto airson mion-sgrùdadh trafaic lìonra. Ach, thuig farpaisich sa ghnìomhachas nach robh e na dheagh bheachd pròtacal seilbhe a chleachdadh fo smachd a phrìomh cho-fharpaiseach agus mar sin stiùir an IETF oidhirp gus pròtacal fosgailte a dhèanamh àbhaisteach airson mion-sgrùdadh trafaic, is e sin IPFIX.
Tha IPFIX stèidhichte air NetFlow dreach 9 agus chaidh a thoirt a-steach an toiseach timcheall air 2005 ach thug e grunn bhliadhnaichean gus gabhail ris sa ghnìomhachas. Aig an ìre seo, tha an dà phròtacal gu ìre mhòr mar an ceudna agus ged a tha an teirm NetFlow fhathast nas cumanta tha a’ mhòr-chuid de na buileachaidhean (ged nach eil iad uile) co-chòrdail ris an inbhe IPFIX.
Seo clàr a tha a’ toirt geàrr-chunntas air na h-eadar-dhealachaidhean eadar NetFlow agus IPFIX:
| Taobh | NetFlow | IPFIX |
|---|---|---|
| Tùs | Teicneòlas seilbhe air a leasachadh le Cisco | Pròtacal àbhaisteach gnìomhachais stèidhichte air NetFlow Version 9 |
| Co-chòrdadh | Teicneòlas sònraichte do Cisco | Inbhe fosgailte air a mhìneachadh le IETF ann an RFC 7011 |
| Sùbailteachd | Tionndaidhean leasaichte le feartan sònraichte | Barrachd sùbailteachd agus eadar-obrachadh thar luchd-reic |
| Cruth Dàta | Pacaidean meud stèidhichte | Dòigh-obrach stèidhichte air teamplaid airson cruthan clàran sruth gnàthaichte |
| Taic Teamplaidean | Gun taic | Teamplaidean fiùghantach airson raointean a ghabhail a-steach gu sùbailte |
| Taic Luchd-reic | Innealan Cisco sa mhòr-chuid | Taic fharsaing thar luchd-reic lìonraidh |
| Leudachadh | Gnàthachadh cuibhrichte | A’ toirt a-steach raointean gnàthaichte agus dàta sònraichte don tagradh |
| Eadar-dhealachaidhean Pròtacal | Caochlaidhean sònraichte do Cisco | Taic dhùthchasach IPv6, roghainnean clàraidh sruth leasaichte |
| Feartan Tèarainteachd | Feartan tèarainteachd cuibhrichte | Crioptachadh Tèarainteachd Sreath Còmhdhail (TLS), ionracas teachdaireachd |
Sgrùdadh Sruthadh Lìonra’S e cruinneachadh, mion-sgrùdadh agus sgrùdadh trafaic a tha a’ dol tarsainn air lìonra no earrann sònraichte den lìonra a th’ ann. Faodaidh na h-amasan a bhith eadar-dhealaichte bho bhith a’ fuasgladh dhuilgheadasan ceangail gu bhith a’ dealbhadh riarachadh leud-bann san àm ri teachd. Faodaidh sgrùdadh sruthadh agus samplachadh phasgan a bhith feumail eadhon ann a bhith a’ comharrachadh agus a’ càradh chùisean tèarainteachd.
Bheir sgrùdadh sruthadh deagh bheachd do sgiobaidhean lìonraidh air mar a tha lìonra ag obair, a’ toirt sealladh air cleachdadh iomlan, cleachdadh thagraidhean, cnapan-starra a dh’ fhaodadh a bhith ann, ana-cainnt a dh’ fhaodadh bagairtean tèarainteachd a chomharrachadh, agus barrachd. Tha grunn inbhean agus chruthan eadar-dhealaichte ann a thathas a’ cleachdadh ann an sgrùdadh sruthadh lìonra, nam measg NetFlow, sFlow, agus Internet Protocol Flow Information Export (IPFIX). Bidh gach fear ag obair ann an dòigh beagan eadar-dhealaichte, ach tha iad uile eadar-dhealaichte bho sgàthan puirt agus sgrùdadh domhainn pacaid leis nach eil iad a’ glacadh susbaint gach pacaid a thèid thairis air port no tro suidse. Ach, tha sgrùdadh sruthadh a’ toirt seachad barrachd fiosrachaidh na SNMP, a tha mar as trice cuingealaichte ri staitistig fharsaing leithid cleachdadh iomlan pacaid agus leud-bann.
Innealan Sruthadh Lìonra air an Coimeas
| Feart | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Fosgailte no Seilbh | Seilbh | Seilbh | Fosgailte | Fosgailte |
| Samplaichte no stèidhichte air sruthadh | Stèidhichte air Sruth sa mhòr-chuid; Tha Modh Samplaichte ri fhaighinn | Stèidhichte air Sruth sa mhòr-chuid; Tha Modh Samplaichte ri fhaighinn | Samplaichte | Stèidhichte air Sruth sa mhòr-chuid; Tha Modh Samplaichte ri fhaighinn |
| Fiosrachadh air a ghlacadh | Meata-dhàta agus fiosrachadh staitistigeil, a’ gabhail a-steach bytes a chaidh a ghluasad, cunntairean eadar-aghaidh agus mar sin air adhart | Meata-dhàta agus fiosrachadh staitistigeil, a’ gabhail a-steach bytes a chaidh a ghluasad, cunntairean eadar-aghaidh agus mar sin air adhart | Ceann-sgrìobhaidhean pacaid coileanta, luchdan pacaid pàirteach | Meata-dhàta agus fiosrachadh staitistigeil, a’ gabhail a-steach bytes a chaidh a ghluasad, cunntairean eadar-aghaidh agus mar sin air adhart |
| Sgrùdadh a-steach/a-mach | A-steach a-mhàin | A-steach agus A-mach | A-steach agus A-mach | A-steach agus A-mach |
| Taic IPv6/VLAN/MPLS | No | Tha | Tha | Tha |
Àm puist: 18 Màrt 2024
