NetflowとIPFixはどちらもネットワークフローの監視と分析に使用されるテクノロジーです。それらは、ネットワークトラフィックパターンに関する洞察を提供し、パフォーマンスの最適化、トラブルシューティング、セキュリティ分析の支援を提供します。
Netflow:
Netflowとは何ですか?
Netflow1990年代後半にCiscoがもともと開発した元のフロー監視ソリューションです。いくつかの異なるバージョンが存在しますが、ほとんどの展開はNetflow V5またはNetflow V9のいずれかに基づいています。各バージョンには異なる機能がありますが、基本操作は同じままです。
まず、ルーター、スイッチ、ファイアウォール、または別のタイプのデバイスは、ネットワークの「フロー」に関する情報をキャプチャします。基本的には、ソースと宛先アドレス、ソース、宛先ポート、プロトコルタイプなどの共通の特性セットを共有するパケットのセットです。フローが休眠状態になったか、事前定義された時間が経過した後、デバイスはフローレコードを「フローコレクター」として知られるエンティティにエクスポートします。
最後に、「フローアナライザー」はこれらのレコードを理解し、視覚化、統計、詳細な歴史的およびリアルタイムレポートの形で洞察を提供します。実際には、コレクターとアナライザーは多くの場合、単一のエンティティであり、多くの場合、より大きなネットワークパフォーマンス監視ソリューションに結合されます。
Netflowは、ステートフルで動作します。クライアントマシンがサーバーに手を伸ばすと、Netflowはメタデータのキャプチャと集約をフローから開始します。セッションが終了した後、Netflowは1つの完全なレコードをコレクターにエクスポートします。
まだ一般的に使用されていますが、Netflow V5には多くの制限があります。エクスポートされたフィールドは固定されており、監視は侵入方向でのみサポートされ、IPv6、MPLS、VXLANなどの最新のテクノロジーはサポートされていません。柔軟なNetflow(FNF)としてブランド化されたNetflow V9は、これらの制限の一部に対処し、ユーザーがカスタムテンプレートを構築し、新しいテクノロジーのサポートを追加できるようにします。
また、多くのベンダーには、JuniperのJFlowやHuaweiのNetstreamなど、Netflowの独自の実装もあります。構成は多少異なる場合がありますが、これらの実装は、Netflow CollectorsとAnalyzersと互換性のあるフローレコードを作成することがよくあります。
Netflowの重要な機能:
~ フローデータ:Netflowは、ソースおよび宛先IPアドレス、ポート、タイムスタンプ、パケットおよびバイトカウント、プロトコルタイプなどの詳細を含むフローレコードを生成します。
~ 交通監視:Netflowは、ネットワークトラフィックパターンの可視性を提供し、管理者がトップアプリケーション、エンドポイント、トラフィックソースを特定できるようにします。
~異常検出:フローデータを分析することにより、Netflowは、過度の帯域幅の利用、ネットワーク輻輳、または異常なトラフィックパターンなどの異常を検出できます。
~ セキュリティ分析:Netflowは、分散型サービス拒否(DDO)攻撃や不正アクセスの試みなどのセキュリティインシデントを検出および調査するために使用できます。
Netflowバージョン:Netflowは時間とともに進化し、さまざまなバージョンがリリースされています。いくつかの注目すべきバージョンには、Netflow V5、Netflow V9、Flexible Netflowが含まれます。各バージョンは、機能強化と追加の機能を紹介します。
IPFIX:
IPFIXとは何ですか?
2000年代初頭に出現したIETF標準であるインターネットプロトコルフロー情報エクスポート(IPFIX)は、Netflowに非常に似ています。実際、Netflow V9はIPFIXの基礎として機能しました。 2つの主な違いは、IPFIXがオープン標準であり、シスコ以外の多くのネットワーキングベンダーによってサポートされていることです。 IPFIXに追加されたいくつかの追加フィールドを除き、形式はほぼ同じです。実際、IPFIXは「Netflow V10」と呼ばれることもあります。
Netflowとの類似性の一部により、IPFIXはネットワーク監視ソリューションとネットワーク機器の間で幅広いサポートを享受しています。
IPFIX(インターネットプロトコルフロー情報エクスポート)は、インターネットエンジニアリングタスクフォース(IETF)によって開発されたオープン標準プロトコルです。 Netflowバージョン9仕様に基づいており、ネットワークデバイスからフローレコードをエクスポートするための標準化された形式を提供します。
IPFIXは、NetFlowの概念に基づいて構築され、それらを拡張して、さまざまなベンダーやデバイスでより柔軟性と相互運用性を提供します。テンプレートの概念を導入し、フローレコード構造とコンテンツの動的定義を可能にします。これにより、カスタムフィールドを含めること、新しいプロトコルのサポート、および拡張性が可能になります。
IPFIXの重要な機能:
~ テンプレートベースのアプローチ:IPFIXは、テンプレートを使用してフローレコードの構造と内容を定義し、さまざまなデータフィールドとプロトコル固有の情報に対応する柔軟性を提供します。
~ 相互運用性:IPFIXはオープン標準であり、さまざまなネットワーキングベンダーとデバイスにわたって一貫したフロー監視機能を確保します。
~ IPv6サポート:IPFIXはネイティブにIPv6をサポートしており、IPv6ネットワークのトラフィックの監視と分析に適しています。
~セキュリティの強化:IPFIXには、トランスポートレイヤーセキュリティ(TLS)暗号化やメッセージの整合性チェックなどのセキュリティ機能が含まれており、伝送中のフローデータの整合性と整合性を保護します。
IPFIXは、さまざまなネットワーキング機器ベンダーによって広くサポートされており、ネットワークフローモニタリングのためにベンダーに中立で広く採用されている選択肢となっています。
では、NetflowとIPFixの違いは何ですか?
簡単な答えは、Netflowは1996年頃に導入されたCisco Proprietary Protocolであり、Ipfixはその基準機関承認兄弟です。
どちらのプロトコルも同じ目的を果たします。ネットワークエンジニアと管理者がネットワークレベルのIPトラフィックフローを収集および分析できるようにすることです。シスコは、スイッチとルーターがこの貴重な情報を出力できるように、Netflowを開発しました。 Cisco Gearの優位性を考えると、Netflowはすぐにネットワークトラフィック分析の事実上の標準になりました。しかし、業界の競合他社は、主要なライバルによって制御される独自のプロトコルを使用することは良い考えではないことを認識し、したがってIETFはトラフィック分析のためのオープンなプロトコルを標準化する努力であるIPFIXです。
IPFIXはNetflowバージョン9に基づいており、元々2005年頃に導入されましたが、業界の採用を獲得するのに数年かかりました。この時点で、2つのプロトコルは本質的に同じであり、Netflowという用語はさらに一般的ですが、ほとんどの実装(すべてではありませんが)はIPFIX標準と互換性があります。
NetflowとIPFixの違いを要約するテーブルは次のとおりです。
| 側面 | Netflow | ipfix |
|---|---|---|
| 起源 | シスコが開発した独自の技術 | Netflowバージョン9に基づく業界標準プロトコル |
| 標準化 | シスコ固有の技術 | RFC 7011のIETFによって定義されたオープン標準 |
| 柔軟性 | 特定の機能を備えた進化したバージョン | ベンダー間の柔軟性と相互運用性の向上 |
| データ形式 | 固定サイズのパケット | カスタマイズ可能なフローレコード形式のテンプレートベースのアプローチ |
| テンプレートサポート | サポートされていません | 柔軟なフィールド包含のための動的テンプレート |
| ベンダーサポート | 主にシスコデバイス | ネットワーキングベンダー全体の幅広いサポート |
| 拡張性 | 限られたカスタマイズ | カスタムフィールドとアプリケーション固有のデータを含める |
| プロトコルの違い | シスコ固有のバリエーション | ネイティブIPv6サポート、強化されたフローレコードオプション |
| セキュリティ機能 | 限られたセキュリティ機能 | 輸送層のセキュリティ(TLS)暗号化、メッセージの整合性 |
ネットワークフロー監視特定のネットワークまたはネットワークセグメントを通過するトラフィックの収集、分析、監視です。目標は、トラブルシューティング接続の問題から将来の帯域幅の割り当ての計画までさまざまです。フロー監視とパケットサンプリングは、セキュリティの問題を特定して修正するのに役立ちます。
フロー監視により、ネットワークチームがネットワークの動作方法について良いアイデアを提供し、全体的な利用、アプリケーションの使用、潜在的なボトルネック、セキュリティの脅威を示す可能性のある異常などの洞察を提供します。 Netflow、SFLOW、およびインターネットプロトコルフロー情報エクスポート(IPFIX)など、ネットワークフローモニタリングで使用されるいくつかの異なる標準と形式があります。それぞれがわずかに異なる方法で動作しますが、すべてがポートミラーリングや深いパケット検査とは異なり、ポートを通過するすべてのパケットまたはスイッチを通過するすべてのパケットの内容をキャプチャしないという点です。ただし、フローモニタリングは、一般に、パケット全体や帯域幅の使用などの広範な統計に限定されているSNMPよりも多くの情報を提供します。
ネットワークフローツールを比較しました
| 特徴 | Netflow V5 | Netflow V9 | sflow | ipfix |
| オープンまたは専有 | 独自 | 独自 | 開ける | 開ける |
| サンプリングまたはフローベース | 主にフローベース。サンプリングモードが利用可能です | 主にフローベース。サンプリングモードが利用可能です | サンプリング | 主にフローベース。サンプリングモードが利用可能です |
| キャプチャされた情報 | 転送されたバイト、インターフェイスカウンターなどを含むメタデータと統計情報 | 転送されたバイト、インターフェイスカウンターなどを含むメタデータと統計情報 | 完全なパケットヘッダー、部分パケットペイロード | 転送されたバイト、インターフェイスカウンターなどを含むメタデータと統計情報 |
| 侵入/出口監視 | 侵入のみ | 侵入と出口 | 侵入と出口 | 侵入と出口 |
| IPv6/VLAN/MPLSサポート | No | はい | はい | はい |
投稿時間:2024年3月18日
