NetFlow እና IPFIX ሁለቱም ለኔትወርክ ፍሰት ክትትል እና ትንተና የሚያገለግሉ ቴክኖሎጂዎች ናቸው። ስለ አውታረ መረብ የትራፊክ ቅጦች ግንዛቤዎችን ይሰጣሉ፣ በአፈጻጸም ማመቻቸት፣ በመላ ፍለጋ እና በደህንነት ትንተና ላይ ያግዛሉ።
ኔትፍሎው፡
NetFlow ምንድን ነው?
ኔትፍሎውየመጀመሪያው የፍሰት መቆጣጠሪያ መፍትሄ ሲሆን፣ መጀመሪያ የተገነባው በ1990ዎቹ መጨረሻ ላይ በሲስኮ ነው። በርካታ የተለያዩ ስሪቶች አሉ፣ ነገር ግን አብዛኛዎቹ ማሰማራቶች በNetFlow v5 ወይም በNetFlow v9 ላይ የተመሰረቱ ናቸው። እያንዳንዱ ስሪት የተለያዩ ችሎታዎች ቢኖሩትም፣ መሰረታዊ አሠራሩ አንድ አይነት ነው፡
በመጀመሪያ፣ ራውተር፣ ማብሪያ/ማጥፊያ፣ ፋየርዎል ወይም ሌላ ዓይነት መሣሪያ በአውታረ መረቡ "ፍሰቶች" ላይ መረጃን ይይዛል - በመሠረቱ የምንጭ እና የመድረሻ አድራሻ፣ የምንጭ እና የመድረሻ ወደብ እና የፕሮቶኮል አይነት ያሉ የተለመዱ ባህሪያትን የሚጋሩ የፓኬቶች ስብስብ። ፍሰቱ ከተንገዳገደ ወይም አስቀድሞ የተወሰነ ጊዜ ካለፈ በኋላ መሣሪያው የፍሰት መዝገቦችን "ፍሰት ሰብሳቢ" በመባል ወደሚታወቀው አካል ይልካል።
በመጨረሻም፣ “የፍሰት ተንታኝ” እነዚያን መዝገቦች ትርጉም ይሰጣል፣ በምስል፣ በስታቲስቲክስ እና በዝርዝር ታሪካዊ እና እውነተኛ ጊዜ ሪፖርት በማድረግ ግንዛቤዎችን ይሰጣል። በተግባር፣ ሰብሳቢዎች እና ተንታኞች ብዙውን ጊዜ አንድ አካል ሲሆኑ ብዙውን ጊዜ ወደ ትልቅ የአውታረ መረብ አፈጻጸም ክትትል መፍትሄ ይጣመራሉ።
NetFlow በስቴት ደረጃ ይሰራል። አንድ የደንበኛ ማሽን ወደ አገልጋይ ሲደርስ፣ NetFlow ከፍሰቱ ውስጥ ሜታዳታዎችን መቅዳት እና ማዋሃድ ይጀምራል። ክፍለ ጊዜው ከተቋረጠ በኋላ NetFlow አንድ ሙሉ መዝገብ ወደ ሰብሳቢው ይልካል።
ምንም እንኳን አሁንም በብዛት ጥቅም ላይ የሚውል ቢሆንም፣ NetFlow v5 በርካታ ገደቦች አሉት። ወደ ውጭ የሚላኩት መስኮች የተስተካከሉ ናቸው፣ ክትትል የሚደገፈው በመግቢያ አቅጣጫ ብቻ ነው፣ እና እንደ IPv6፣ MPLS እና VXLAN ያሉ ዘመናዊ ቴክኖሎጂዎች አይደገፉም። NetFlow v9፣ እንዲሁም ተለዋዋጭ NetFlow (FNF) ተብሎ የተሰየመው፣ ከእነዚህ ገደቦች ውስጥ አንዳንዶቹን ይፈታዋል፣ ይህም ተጠቃሚዎች ብጁ አብነቶችን እንዲገነቡ እና ለአዳዲስ ቴክኖሎጂዎች ድጋፍ እንዲጨምሩ ያስችላቸዋል።
ብዙ ሻጮች የራሳቸው የNetFlow አተገባበሮች አሏቸው፣ ለምሳሌ ከጁኒፐር የተገኘ jFlow እና ከሁዋዌ የተገኘ NetStream። ውቅር በተወሰነ ደረጃ ሊለያይ ቢችልም፣ እነዚህ አተገባበሮች ብዙውን ጊዜ ከNetFlow ሰብሳቢዎች እና ተንታኞች ጋር የሚጣጣሙ የፍሰት መዝገቦችን ያመነጫሉ።
የኔትፍሎው ቁልፍ ባህሪያት፡
~ የፍሰት ውሂብ፦ NetFlow እንደ የምንጭ እና የመድረሻ አይፒ አድራሻዎች፣ ወደቦች፣ የጊዜ ማህተሞች፣ የፓኬት እና የባይት ብዛት እና የፕሮቶኮል አይነቶች ያሉ ዝርዝሮችን የሚያካትቱ የፍሰት መዝገቦችን ያመነጫል።
~ የትራፊክ ክትትልኔትፍሎው የአውታረ መረብ ትራፊክ ቅጦችን ታይነት ይሰጣል፣ ይህም አስተዳዳሪዎች ከፍተኛ መተግበሪያዎችን፣ የመጨረሻ ነጥቦችን እና የትራፊክ ምንጮችን እንዲለዩ ያስችላቸዋል።
~የአኖማሊ ምርመራ፦ የፍሰት ዳታዎችን በመተንተን፣ NetFlow እንደ ከመጠን በላይ የመተላለፊያ ይዘት አጠቃቀም፣ የአውታረ መረብ መጨናነቅ ወይም ያልተለመዱ የትራፊክ ቅጦች ያሉ ያልተለመዱ ነገሮችን መለየት ይችላል።
~ የደህንነት ትንተና፦ NetFlow እንደ የተከፋፈለ የአገልግሎት ውድቅ ማድረጊያ (DDoS) ጥቃቶች ወይም ያልተፈቀደ የመዳረሻ ሙከራዎች ያሉ የደህንነት ክስተቶችን ለመለየት እና ለመመርመር ሊያገለግል ይችላል።
የኔትፍሎው ስሪቶች፦ NetFlow በጊዜ ሂደት ተሻሽሏል፣ እና የተለያዩ ስሪቶች ተለቀዋል። አንዳንድ ታዋቂ ስሪቶች NetFlow v5፣ NetFlow v9 እና Flexible NetFlow ያካትታሉ። እያንዳንዱ ስሪት ማሻሻያዎችን እና ተጨማሪ ችሎታዎችን ያስተዋውቃል።
IPFIX:
IPFIX ምንድን ነው?
በ2000ዎቹ መጀመሪያ ላይ ብቅ ያለው የIETF መስፈርት፣ የኢንተርኔት ፕሮቶኮል ፍሰት መረጃ ኤክስፖርት (IPFIX) ከNetFlow ጋር በጣም ተመሳሳይ ነው። እንዲያውም፣ NetFlow v9 ለIPFIX መሠረት ሆኖ አገልግሏል። በሁለቱ መካከል ያለው ዋና ልዩነት IPFIX ክፍት ደረጃ መሆኑ እና ከCisco በስተቀር በብዙ የኔትወርክ አቅራቢዎች የሚደገፍ መሆኑ ነው። በIPFIX ውስጥ ከተጨመሩ ጥቂት ተጨማሪ መስኮች በስተቀር፣ ቅርጸቶቹ በሌላ መልኩ ተመሳሳይ ናቸው። እንደ እውነቱ ከሆነ፣ IPFIX አንዳንድ ጊዜ “NetFlow v10” ተብሎም ይጠራል።
በከፊል ከኔትፍሎው ጋር ባለው ተመሳሳይነት ምክንያት፣ IPFIX በኔትወርክ ክትትል መፍትሄዎች እንዲሁም በኔትወርክ መሳሪያዎች መካከል ሰፊ ድጋፍ አለው።
IPFIX (የኢንተርኔት ፕሮቶኮል ፍሰት መረጃ ኤክስፖርት) በኢንተርኔት ኢንጂነሪንግ ግብረ ኃይል (IETF) የተዘጋጀ ክፍት መደበኛ ፕሮቶኮል ነው። በNetFlow ስሪት 9 ዝርዝር መግለጫ ላይ የተመሠረተ ሲሆን የፍሰት መዝገቦችን ከኔትወርክ መሳሪያዎች ወደ ውጭ ለመላክ መደበኛ ቅርጸት ይሰጣል።
IPFIX በNetFlow ጽንሰ-ሀሳቦች ላይ የተገነባ ሲሆን በተለያዩ ሻጮች እና መሳሪያዎች ላይ የበለጠ ተለዋዋጭነት እና መስተጋብር ለማቅረብ ያሰፋቸዋል። የአብነቶችን ጽንሰ-ሀሳብ ያስተዋውቃል፣ ይህም የፍሰት መዝገብ አወቃቀር እና ይዘት ተለዋዋጭ ፍቺ እንዲኖር ያስችላል። ይህም ብጁ መስኮችን ማካተት፣ ለአዳዲስ ፕሮቶኮሎች ድጋፍ እና ማራዘሚያ ያስችላል።
የ IPFIX ቁልፍ ባህሪያት፡
~ አብነት-ተኮር አቀራረብ፦ IPFIX የፍሰት መዝገቦችን አወቃቀር እና ይዘት ለመግለጽ አብነቶችን ይጠቀማል፣ ይህም የተለያዩ የውሂብ መስኮችን እና ፕሮቶኮልን የሚመለከቱ መረጃዎችን ለማስተናገድ ተለዋዋጭነትን ይሰጣል።
~ መስተጋብር፦ IPFIX ክፍት ደረጃ ሲሆን በተለያዩ የኔትወርክ አቅራቢዎች እና መሳሪያዎች ላይ ወጥ የሆነ የፍሰት ክትትል ችሎታዎችን ያረጋግጣል።
~ የIPv6 ድጋፍ፦ IPFIX IPv6ን በተፈጥሮው ይደግፋል፣ ይህም በ IPv6 አውታረ መረቦች ውስጥ ያለውን ትራፊክ ለመከታተል እና ለመተንተን ተስማሚ ያደርገዋል።
~የተሻሻለ ደህንነት፦ IPFIX እንደ Transport Layer Security (TLS) ምስጠራ እና የመልእክት ታማኝነት ፍተሻዎች ያሉ የደህንነት ባህሪያትን ያካትታል፤ ይህም በማስተላለፍ ወቅት የፍሰት ውሂብ ሚስጥራዊነት እና ታማኝነት ለመጠበቅ ይረዳል።
IPFIX በተለያዩ የኔትወርክ መሳሪያዎች አቅራቢዎች በስፋት የሚደገፍ ሲሆን ይህም ለኔትወርክ ፍሰት ክትትል አቅራቢ ገለልተኛ እና በስፋት ተቀባይነት ያለው ምርጫ ያደርገዋል።
ስለዚህ፣ በNetFlow እና IPFIX መካከል ያለው ልዩነት ምንድን ነው?
ቀላሉ መልስ NetFlow በ1996 አካባቢ የተጀመረ የሲስኮ የባለቤትነት መብት ያለው ፕሮቶኮል ሲሆን IPFIX ደግሞ ደረጃውን የጠበቀ አካል መሆኑ ነው።
ሁለቱም ፕሮቶኮሎች ተመሳሳይ ዓላማ አላቸው፡ የኔትወርክ መሐንዲሶች እና አስተዳዳሪዎች የኔትወርክ ደረጃ የአይፒ ትራፊክ ፍሰቶችን እንዲሰበስቡ እና እንዲተነትኑ ማስቻል። Cisco NetFlowን ያዘጋጀው ማብሪያ / ማጥፊያዎቹ እና ራውተሮቹ ይህንን ጠቃሚ መረጃ እንዲያወጡ ነው። የሲስኮ ማርሽ የበላይነትን ከግምት ውስጥ በማስገባት፣ NetFlow በፍጥነት ለኔትወርክ ትራፊክ ትንተና መደበኛ ያልሆነ ደረጃ ሆነ። ሆኖም የኢንዱስትሪ ተወዳዳሪዎች በዋና ተቀናቃኙ የሚቆጣጠር የባለቤትነት ፕሮቶኮል መጠቀም ጥሩ ሀሳብ እንዳልሆነ ተገነዘቡ፣ ስለዚህም IETF ለትራፊክ ትንተና ክፍት ፕሮቶኮል ደረጃውን የጠበቀ ለማድረግ ጥረት አድርጓል፣ ይህም IPFIX ነው።
IPFIX በNetFlow ስሪት 9 ላይ የተመሰረተ ሲሆን መጀመሪያ ላይ የተዋወቀው በ2005 አካባቢ ቢሆንም የኢንዱስትሪ ተቀባይነት ለማግኘት የተወሰኑ ዓመታት ፈጅቷል። በዚህ ጊዜ፣ ሁለቱ ፕሮቶኮሎች በመሠረቱ ተመሳሳይ ናቸው እና NetFlow የሚለው ቃል አሁንም በስፋት የተለመደ ቢሆንም አብዛኛዎቹ አተገባበሮች (ምንም እንኳን ሁሉም ባይሆኑም) ከIPFIX መስፈርት ጋር ተኳሃኝ ናቸው።
በNetFlow እና IPFIX መካከል ያለውን ልዩነት የሚያጠቃልል ሰንጠረዥ እነሆ፡
| ገጽታ | ኔትፍሎው | IPFIX |
|---|---|---|
| መነሻ | በሲስኮ የተገነባ የባለቤትነት ቴክኖሎጂ | በNetFlow ስሪት 9 ላይ የተመሠረተ የኢንዱስትሪ ደረጃውን የጠበቀ ፕሮቶኮል |
| መደበኛነት | የሲስኮ-ተኮር ቴክኖሎጂ | በ RFC 7011 ውስጥ በ IETF የተገለጸ ክፍት መደበኛ |
| ተለዋዋጭነት | ከተወሰኑ ባህሪያት ጋር የተሻሻሉ ስሪቶች | በአቅራቢዎች መካከል የበለጠ ተለዋዋጭነት እና መስተጋብር |
| የውሂብ ቅርጸት | ቋሚ መጠን ያላቸው ፓኬቶች | ሊበጁ የሚችሉ የፍሰት መዝገብ ቅርጸቶችን ለማግኘት አብነት ላይ የተመሠረተ አቀራረብ |
| የአብነት ድጋፍ | አይደገፍም | ተለዋዋጭ የመስክ ማካተት አብነቶች |
| የአቅራቢ ድጋፍ | በዋናነት የሲስኮ መሳሪያዎች | በኔትወርክ አቅራቢዎች ላይ ሰፊ ድጋፍ |
| ማስፋፊያ | የተወሰነ ማበጀት | ብጁ መስኮችን እና በመተግበሪያ ላይ የተመሰረተ ውሂብን ማካተት |
| የፕሮቶኮል ልዩነቶች | የሲስኮ-ተኮር ልዩነቶች | ቤተኛ የአይፒቪ6 ድጋፍ፣ የተሻሻለ የፍሰት መዝገብ አማራጮች |
| የደህንነት ባህሪያት | የተገደቡ የደህንነት ባህሪያት | የትራንስፖርት ንብርብር ደህንነት (TLS) ምስጠራ፣ የመልእክት ትክክለኛነት |
የአውታረ መረብ ፍሰት ክትትልበተወሰነ አውታረ መረብ ወይም የኔትወርክ ክፍል ውስጥ የሚያልፈውን የትራፊክ ፍሰት መሰብሰብ፣ መተንተን እና መከታተል ነው። ዓላማዎቹ የግንኙነት ችግሮችን መላ መፈለግ እስከ የወደፊት የመተላለፊያ ይዘት ምደባ ማቀድ ድረስ ሊለያዩ ይችላሉ። የፍሰት ክትትል እና የፓኬት ናሙና የደህንነት ችግሮችን በመለየት እና በማረም ረገድ ጠቃሚ ሊሆኑ ይችላሉ።
የፍሰት ክትትል የኔትወርክ ቡድኖች አውታረ መረብ እንዴት እየሰራ እንደሆነ ጥሩ ሀሳብ እንዲኖራቸው ያደርጋል፣ አጠቃላይ አጠቃቀምን፣ የአፕሊኬሽን አጠቃቀምን፣ ሊሆኑ የሚችሉ ማነቆዎችን፣ የደህንነት ስጋቶችን ሊያመለክቱ የሚችሉ ያልተለመዱ ነገሮችን እና ሌሎችንም ግንዛቤዎችን ይሰጣል። በኔትወርክ ፍሰት ክትትል ውስጥ ጥቅም ላይ የሚውሉ በርካታ የተለያዩ ደረጃዎች እና ቅርጸቶች አሉ፣ NetFlow፣ sFlow እና Internet Protocol Flow Information Export (IPFIX)። እያንዳንዳቸው በትንሹ በተለየ መንገድ ይሰራሉ፣ ነገር ግን ሁሉም ከፖርት መስታወት እና ጥልቅ የፓኬት ፍተሻ የተለዩ ናቸው ምክንያቱም ወደብ ወይም በማብሪያ / ማጥፊያ በኩል የሚያልፈውን የእያንዳንዱን ፓኬት ይዘት አይይዙም። ሆኖም፣ የፍሰት ክትትል ከ SNMP የበለጠ መረጃ ይሰጣል፣ ይህም በአጠቃላይ እንደ አጠቃላይ ፓኬት እና የመተላለፊያ ይዘት አጠቃቀም ባሉ ሰፊ ስታቲስቲክስ ብቻ የተወሰነ ነው።
የአውታረ መረብ ፍሰት መሳሪያዎች ንጽጽር
| ባህሪ | ኔትፍሎው v5 | የኔትፍሎው v9 | ኤስፍሎው | IPFIX |
| ክፍት ወይም የባለቤትነት መብት ያለው | የባለቤትነት መብት | የባለቤትነት መብት | ክፈት | ክፈት |
| ናሙና ወይም ፍሰት ላይ የተመሠረተ | በዋናነት በፍሰት ላይ የተመሠረተ፤ የናሙና ሁነታ ይገኛል | በዋናነት በፍሰት ላይ የተመሠረተ፤ የናሙና ሁነታ ይገኛል | ናሙና ተሰጥቷል | በዋናነት በፍሰት ላይ የተመሠረተ፤ የናሙና ሁነታ ይገኛል |
| መረጃ ተይዟል | ሜታዳታ እና ስታትስቲካዊ መረጃ፣ የተላለፉ ባይቶችን፣ የበይነገጽ ቆጣሪዎችን እና የመሳሰሉትን ጨምሮ | ሜታዳታ እና ስታትስቲካዊ መረጃ፣ የተላለፉ ባይቶችን፣ የበይነገጽ ቆጣሪዎችን እና የመሳሰሉትን ጨምሮ | የተሟላ የፓኬት ራስጌዎች፣ ከፊል የፓኬት ክፍያዎች | ሜታዳታ እና ስታትስቲካዊ መረጃ፣ የተላለፉ ባይቶችን፣ የበይነገጽ ቆጣሪዎችን እና የመሳሰሉትን ጨምሮ |
| የመግቢያ/መውጣት ክትትል | መግቢያ ብቻ | መግቢያ እና መውጫ | መግቢያ እና መውጫ | መግቢያ እና መውጫ |
| የIPv6/VLAN/MPLS ድጋፍ | No | አዎ | አዎ | አዎ |
የፖስታ ሰዓት፡- ማርች-18-2024
