NetFlow et IPFix sont tous deux des technologies utilisées pour la surveillance et l'analyse du flux de réseau. Ils fournissent un aperçu des modèles de trafic réseau, en aidant à l'optimisation des performances, au dépannage et à l'analyse de sécurité.
NetFlow:
Qu'est-ce que NetFlow?
Fileest la solution d'origine de surveillance du débit, développée à l'origine par Cisco à la fin des années 1990. Plusieurs versions différentes existent, mais la plupart des déploiements sont basés sur NetFlow V5 ou NetFlow V9. Bien que chaque version ait des capacités différentes, l'opération de base reste la même:
Tout d'abord, un routeur, un commutateur, un pare-feu ou un autre type d'appareil capturera des informations sur les «flux» du réseau - essentiellement un ensemble de paquets qui partagent un ensemble commun de caractéristiques telles que l'adresse source et la destination, la source et le port de destination et le type de protocole. Une fois qu'un flux est devenu en sommeil ou une durée prédéfinie s'est écoulée, l'appareil exportera les enregistrements d'écoulement vers une entité connue sous le nom de «collecteur de flux».
Enfin, un «analyseur de flux» donne un sens à ces enregistrements, fournissant des informations sous la forme de visualisations, de statistiques et de rapports historiques et en temps réel détaillés. En pratique, les collectionneurs et les analyseurs sont souvent une entité unique, souvent combinée dans une solution de surveillance des performances du réseau plus grande.
Netflow fonctionne sur une base avec état. Lorsqu'une machine client atteint un serveur, Netflow commencera à capturer et à agréger les métadonnées à partir du flux. Après la résiliation de la session, Netflow exportera un seul enregistrement complet vers le collectionneur.
Bien qu'il soit encore couramment utilisé, Netflow V5 a un certain nombre de limitations. Les champs exportés sont fixes, la surveillance n'est prise en charge que dans la direction de la pénétration, et les technologies modernes comme IPv6, MPLS et VXLAN ne sont pas prises en charge. Netflow V9, également marqué comme Flexible Netflow (FNF), traite de certaines de ces limitations, permettant aux utilisateurs de créer des modèles personnalisés et d'ajouter la prise en charge des technologies plus récentes.
De nombreux fournisseurs ont également leurs propres implémentations propriétaires de Netflow, comme JFlow de Juniper et Netsstream de Huawei. Bien que la configuration puisse différer quelque peu, ces implémentations produisent souvent des enregistrements de flux compatibles avec les collecteurs et analyseurs NetFlow.
Caractéristiques clés de NetFlow:
~ Données de flux: NetFlow génère des enregistrements de flux qui incluent des détails tels que les adresses IP source et de destination, les ports, les horodatages, les comptes de paquets et d'octets et les types de protocole.
~ Surveillance du trafic: NetFlow offre une visibilité sur les modèles de trafic réseau, permettant aux administrateurs d'identifier les principales applications, les points de terminaison et les sources de trafic.
~Détection d'anomalie: En analysant les données de flux, NetFlow peut détecter des anomalies telles que l'utilisation excessive de la bande passante, la congestion du réseau ou les modèles de trafic inhabituels.
~ Analyse de la sécurité: Netflow peut être utilisé pour détecter et étudier les incidents de sécurité, tels que les attaques de déni de service distribué (DDOS) ou les tentatives d'accès non autorisées.
Versions NetFlow: Netflow a évolué au fil du temps et différentes versions ont été publiées. Certaines versions notables incluent NetFlow V5, Netflow V9 et Flexible NetFlow. Chaque version introduit des améliorations et des capacités supplémentaires.
Ipfix:
Qu'est-ce que IPFIX?
Une norme IETF qui a émergé au début des années 2000, l'exportation d'informations de flux de protocole Internet (IPFIX) est extrêmement similaire à NetFlow. En fait, Netflow V9 a servi de base à IPFIX. La principale différence entre les deux est que l'IPFIX est un niveau ouvert et est pris en charge par de nombreux fournisseurs de réseautage en dehors de Cisco. À l'exception de quelques champs supplémentaires ajoutés dans IPFIX, les formats sont par ailleurs presque identiques. En fait, IPFIX est parfois même appelé «NetFlow V10».
En raison en partie de ses similitudes avec NetFlow, IPFIX bénéficie d'un large support entre les solutions de surveillance des réseaux ainsi que des équipements réseau.
IPFIX (Internet Protocol Flow Information Export) est un protocole standard ouvert développé par le groupe de travail sur Internet Engineering (IETF). Il est basé sur la spécification NetFlow version 9 et fournit un format standardisé pour l'exportation des enregistrements de flux à partir de périphériques réseau.
IPFIX s'appuie sur les concepts de NetFlow et les élargit pour offrir plus de flexibilité et d'interopérabilité entre différents fournisseurs et appareils. Il introduit le concept de modèles, permettant une définition dynamique de la structure et du contenu des enregistrements d'écoulement. Cela permet l'inclusion de champs personnalisés, la prise en charge de nouveaux protocoles et l'extensibilité.
Caractéristiques clés de IPFIX:
~ Approche basée sur un modèle: IPFIX utilise des modèles pour définir la structure et le contenu des enregistrements de flux, offrant une flexibilité dans les différents champs de données et informations spécifiques au protocole.
~ Interopérabilité: IPFIX est une norme ouverte, garantissant des capacités de surveillance de flux cohérentes entre différents fournisseurs et périphériques de mise en réseau.
~ Prise en charge IPv6: IPFIX prend en charge Native IPv6, ce qui le rend adapté à la surveillance et à l'analyse du trafic dans les réseaux IPv6.
~Sécurité améliorée: IPFIX comprend des fonctionnalités de sécurité telles que le chiffrement de la sécurité de la couche transport (TLS) et des vérifications d'intégrité des messages pour protéger la confidentialité et l'intégrité des données de flux pendant la transmission.
IPFIX est largement pris en charge par divers fournisseurs d'équipements de réseautage, ce qui en fait un choix neutre et largement adopté par le fournisseur pour la surveillance du flux de réseau.
Alors, quelle est la différence entre NetFlow et IPFIX?
La réponse simple est que Netflow est un protocole propriétaire de Cisco introduit vers 1996 et IPFIX est son frère approuvé par le corps.
Les deux protocoles servent le même objectif: permettant aux ingénieurs réseau et aux administrateurs de collecter et d'analyser les flux de trafic IP au niveau du réseau. Cisco a développé NetFlow afin que ses commutateurs et routeurs puissent diffuser ces informations précieuses. Compte tenu de la domination de l'équipement Cisco, Netflow est rapidement devenu la norme de facto pour l'analyse du trafic réseau. Cependant, les concurrents de l'industrie ont réalisé que l'utilisation d'un protocole propriétaire contrôlé par son principal rival n'était pas une bonne idée et que l'IETF a donc lancé un effort pour normaliser un protocole ouvert pour l'analyse du trafic, qui est IPFIX.
IPFIX est basé sur Netflow version 9 et a été initialement introduit vers 2005, mais a pris un certain nombre d'années pour obtenir l'adoption de l'industrie. À ce stade, les deux protocoles sont essentiellement les mêmes et bien que le terme netflow soit encore plus répandu, la plupart des implémentations (mais pas toutes) sont compatibles avec la norme IPFIX.
Voici un tableau résumant les différences entre NetFlow et IPFIX:
| Aspect | File | Ipfix |
|---|---|---|
| Origine | Technologie propriétaire développée par Cisco | Protocole standard de l'industrie basé sur NetFlow version 9 |
| Standardisation | Technologie spécifique à Cisco | Standard ouvert défini par l'IETF dans RFC 7011 |
| Flexibilité | Versions évoluées avec des fonctionnalités spécifiques | Plus grande flexibilité et interopérabilité entre les fournisseurs |
| Format de données | Paquets de taille fixe | Approche basée sur des modèles pour les formats d'enregistrement de flux personnalisables |
| Prise en charge du modèle | Non pris en charge | Modèles dynamiques pour l'inclusion de champ flexible |
| Support du vendeur | Principalement des appareils Cisco | Support large entre les fournisseurs de réseautage |
| Extensibilité | Personnalisation limitée | Inclusion de champs personnalisés et de données spécifiques à l'application |
| Différences de protocole | Variations spécifiques à Cisco | Prise en charge IPv6 native, options d'enregistrement de flux améliorées |
| Fonctionnalités de sécurité | Caractéristiques de sécurité limitées | Cryptage de sécurité de la couche de transport (TLS), intégrité de message |
Surveillance du flux de réseauLa collecte, l'analyse et la surveillance du trafic traversent un réseau ou un segment de réseau donné. Les objectifs peuvent varier du dépannage des problèmes de connectivité à la planification de la future allocation de bande passante. La surveillance des flux et l'échantillonnage des paquets peuvent même être utiles pour identifier et résoudre les problèmes de sécurité.
La surveillance du flux donne aux équipes de réseautage une bonne idée de la façon dont un réseau fonctionne, fournissant des informations sur l'utilisation globale, l'utilisation des applications, les goulots d'étranglement potentiels, les anomalies qui peuvent signaler les menaces de sécurité, etc. Il existe plusieurs normes et formats différents utilisés dans la surveillance du flux de réseau, notamment NetFlow, SFLOW et Internet Protocol Flow Information Export (IPFIX). Chacun fonctionne d'une manière légèrement différente, mais tous sont distincts de la mise en miroir du port et de l'inspection profonde des paquets en ce qu'ils ne capturent pas le contenu de chaque paquet passant sur un port ou à travers un interrupteur. Cependant, la surveillance du flux fournit plus d'informations que le SNMP, ce qui est généralement limité à des statistiques générales telles que l'utilisation globale des paquets et de la bande passante.
Outils de flux de réseau comparés
| Fonctionnalité | Netflow v5 | Netflow V9 | sflow | Ipfix |
| Ouvert ou propriétaire | Propriétaire | Propriétaire | Ouvrir | Ouvrir |
| Échantillonné ou basé sur le flux | Principalement basé sur le flux; Le mode échantillonné est disponible | Principalement basé sur le flux; Le mode échantillonné est disponible | Échantillonné | Principalement basé sur le flux; Le mode échantillonné est disponible |
| Informations capturées | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | En-têtes de paquets complets, charges utiles de paquets partiels | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. |
| Surveillance entrante / sortie | Entrant uniquement | Entrave et sortie | Entrave et sortie | Entrave et sortie |
| Prise en charge IPv6 / VLAN / MPLS | No | Oui | Oui | Oui |
Heure du poste: 18 mars-2024
