ネットワーク フロー監視における NetFlow と IPFIX の違いは何ですか?

NetFlow と IPFIX はどちらも、ネットワーク フローの監視と分析に使用されるテクノロジーです。これらはネットワーク トラフィック パターンに関する洞察を提供し、パフォーマンスの最適化、トラブルシューティング、セキュリティ分析に役立ちます。

ネットフロー:

ネットフローとは何ですか?

ネットフローは、1990 年代後半にシスコによって最初に開発された、オリジナルのフロー モニタリング ソリューションです。いくつかの異なるバージョンが存在しますが、ほとんどの導入は NetFlow v5 または NetFlow v9 に基づいています。各バージョンの機能は異なりますが、基本的な操作は同じです。

まず、ルーター、スイッチ、ファイアウォール、または別のタイプのデバイスが、ネットワーク「フロー」に関する情報をキャプチャします。これは基本的に、送信元と宛先のアドレス、送信元と宛先のポート、プロトコルなどの共通の特性セットを共有するパケットのセットです。タイプ。フローが休止状態になるか、事前定義された時間が経過すると、デバイスはフロー レコードを「フロー コレクター」と呼ばれるエンティティにエクスポートします。

最後に、「フロー アナライザー」はこれらの記録を理解し、視覚化、統計、詳細な履歴およびリアルタイムのレポートの形で洞察を提供します。実際には、コレクターとアナライザーは単一のエンティティであることが多く、より大規模なネットワーク パフォーマンス監視ソリューションに結合されることがよくあります。

NetFlow はステートフル ベースで動作します。クライアント マシンがサーバーに接続すると、NetFlow はフローからメタデータのキャプチャと集約を開始します。セッションが終了すると、NetFlow は単一の完全なレコードをコレクターにエクスポートします。

NetFlow v5 は依然として一般的に使用されていますが、多くの制限があります。エクスポートされるフィールドは固定されており、モニタリングは入力方向でのみサポートされており、IPv6、MPLS、VXLAN などの最新のテクノロジーはサポートされていません。 Flexible NetFlow (FNF) としてもブランド化されている NetFlow v9 は、これらの制限の一部に対処し、ユーザーがカスタム テンプレートを構築し、新しいテクノロジーのサポートを追加できるようにします。

多くのベンダーは、Juniper の jFlow や Huawei の NetStream など、独自の NetFlow 実装も行っています。構成は多少異なる場合がありますが、これらの実装では、多くの場合、NetFlow コレクターおよびアナライザーと互換性のあるフロー レコードが生成されます。

NetFlow の主な機能:

~ フローデータ: NetFlow は、送信元と宛先の IP アドレス、ポート、タイムスタンプ、パケット数とバイト数、プロトコル タイプなどの詳細を含むフロー レコードを生成します。

~ トラフィック監視: NetFlow はネットワーク トラフィック パターンを可視化し、管理者が上位のアプリケーション、エンドポイント、トラフィック ソースを特定できるようにします。

~異常検出: NetFlow はフロー データを分析することにより、過剰な帯域幅使用率、ネットワークの輻輳、異常なトラフィック パターンなどの異常を検出できます。

~ セキュリティ分析: NetFlow を使用すると、分散型サービス拒否 (DDoS) 攻撃や不正アクセスの試みなどのセキュリティ インシデントを検出および調査できます。

NetFlow のバージョン: NetFlow は時間の経過とともに進化し、さまざまなバージョンがリリースされています。注目すべきバージョンには、NetFlow v5、NetFlow v9、Flexible NetFlow などがあります。各バージョンでは、機能強化と追加機能が導入されています。

IPFIX:

IPFIXとは何ですか?

2000 年代初頭に登場した IETF 標準である Internet Protocol Flow Information Export (IPFIX) は、NetFlow に非常によく似ています。実際、NetFlow v9 は IPFIX の基礎として機能しました。 2 つの主な違いは、IPFIX がオープン スタンダードであり、Cisco 以外の多くのネットワーキング ベンダーによってサポートされていることです。 IPFIX で追加されたいくつかの追加フィールドを除いて、形式はほぼ同じです。実際、IPFIX は「NetFlow v10」と呼ばれることもあります。

NetFlow との類似性もあって、IPFIX はネットワーク監視ソリューションやネットワーク機器の間で広く支持されています。

IPFIX (Internet Protocol Flow Information Export) は、Internet Engineering Task Force (IETF) によって開発されたオープン標準プロトコルです。これは NetFlow バージョン 9 仕様に基づいており、ネットワーク デバイスからフロー レコードをエクスポートするための標準化された形式を提供します。

IPFIX は NetFlow の概念に基づいて構築され、それを拡張して、さまざまなベンダーやデバイス間での柔軟性と相互運用性を提供します。テンプレートの概念が導入され、フロー レコードの構造とコンテンツを動的に定義できるようになります。これにより、カスタム フィールドの組み込み、新しいプロトコルのサポート、および拡張性が可能になります。

IPFIX の主な特徴:

~ テンプレートベースのアプローチ: IPFIX は、テンプレートを使用してフロー レコードの構造とコンテンツを定義し、さまざまなデータ フィールドやプロトコル固有の情報に柔軟に対応します。

~ 相互運用性: IPFIX はオープン スタンダードであり、さまざまなネットワーク ベンダーやデバイス間で一貫したフロー モニタリング機能を保証します。

~ IPv6のサポート: IPFIX は IPv6 をネイティブにサポートしているため、IPv6 ネットワークのトラフィックの監視と分析に適しています。

~セキュリティの強化: IPFIX には、送信中のフロー データの機密性と整合性を保護するための Transport Layer Security (TLS) 暗号化やメッセージ整合性チェックなどのセキュリティ機能が含まれています。

IPFIX はさまざまなネットワーク機器ベンダーによって広くサポートされているため、ネットワーク フローの監視にベンダー中立で広く採用されています。

 

では、NetFlow と IPFIX の違いは何でしょうか?

簡単な答えは、NetFlow は 1996 年頃に導入されたシスコ独自のプロトコルであり、IPFIX は標準化団体が承認した兄弟であるということです。

どちらのプロトコルも同じ目的を果たします。つまり、ネットワーク エンジニアと管理者がネットワーク レベルの IP トラフィック フローを収集して分析できるようになります。シスコは、スイッチとルータがこの貴重な情報を出力できるように NetFlow を開発しました。 Cisco 機器の優位性により、NetFlow はすぐにネットワーク トラフィック分析の事実上の標準になりました。しかし、業界の競合他社は、最大のライバルが管理する独自のプロトコルを使用するのは得策ではないことに気づき、IETF がトラフィック分析用のオープン プロトコルである IPFIX を標準化する取り組みを主導しました。

IPFIX は NetFlow バージョン 9 に基づいており、最初は 2005 年頃に導入されましたが、業界で採用されるまでに数年かかりました。現時点では、2 つのプロトコルは本質的に同じであり、NetFlow という用語が依然として普及していますが、ほとんどの実装 (すべてではありません) は IPFIX 標準と互換性があります。

NetFlow と IPFIX の違いをまとめた表は次のとおりです。

側面	ネットフロー	IPFIX
起源	シスコが開発した独自のテクノロジー	NetFlow バージョン 9 に基づく業界標準プロトコル
標準化	シスコ固有のテクノロジー	IETF によって RFC 7011 で定義されたオープン標準
柔軟性	特定の機能を備えた進化したバージョン	ベンダー間での柔軟性と相互運用性の向上
データ形式	固定サイズのパケット	カスタマイズ可能なフローレコード形式のためのテンプレートベースのアプローチ
テンプレートのサポート	サポートされていません	柔軟なフィールドを含めるための動的テンプレート
ベンダーサポート	主に Cisco デバイス	ネットワーキング ベンダーにわたる幅広いサポート
拡張性	限定的なカスタマイズ	カスタムフィールドとアプリケーション固有のデータの組み込み
プロトコルの違い	シスコ固有のバリエーション	ネイティブ IPv6 サポート、強化されたフロー レコード オプション
セキュリティ機能	限られたセキュリティ機能	Transport Layer Security (TLS) 暗号化、メッセージの整合性