NetFlow និង IPFIX គឺជាបច្ចេកវិទ្យាទាំងពីរដែលប្រើសម្រាប់ការត្រួតពិនិត្យលំហូរបណ្តាញ និងការវិភាគ។ ពួកគេផ្តល់នូវការយល់ដឹងអំពីគំរូចរាចរណ៍បណ្តាញ ជំនួយក្នុងការបង្កើនប្រសិទ្ធភាពប្រតិបត្តិការ ការដោះស្រាយបញ្ហា និងការវិភាគសុវត្ថិភាព។
NetFlow៖
តើ NetFlow ជាអ្វី?
NetFlowគឺជាដំណោះស្រាយត្រួតពិនិត្យលំហូរដើម ដែលត្រូវបានបង្កើតឡើងដោយ Cisco នៅចុងទសវត្សរ៍ឆ្នាំ 1990។ មានកំណែផ្សេងៗគ្នាជាច្រើន ប៉ុន្តែការដាក់ពង្រាយភាគច្រើនគឺផ្អែកលើ NetFlow v5 ឬ NetFlow v9 ។ ខណៈពេលដែលកំណែនីមួយៗមានសមត្ថភាពខុសៗគ្នា ប្រតិបត្តិការមូលដ្ឋាននៅតែដូចគ្នា៖
ដំបូង រ៉ោតទ័រ កុងតាក់ ជញ្ជាំងភ្លើង ឬឧបករណ៍ប្រភេទផ្សេងទៀតនឹងចាប់យកព័ត៌មាននៅលើបណ្តាញ "លំហូរ" - ជាមូលដ្ឋាននៃកញ្ចប់ព័ត៌មានដែលចែករំលែកសំណុំលក្ខណៈទូទៅដូចជាអាសយដ្ឋានប្រភព និងទិសដៅ ប្រភព និងច្រកគោលដៅ និងពិធីការ។ ប្រភេទ។ បន្ទាប់ពីលំហូរបានឈប់សម្រាក ឬពេលវេលាដែលបានកំណត់ជាមុនបានកន្លងផុតទៅ ឧបករណ៍នឹងនាំចេញកំណត់ត្រាលំហូរទៅកាន់អង្គភាពដែលគេស្គាល់ថាជា "អ្នកប្រមូលលំហូរ"។
ជាចុងក្រោយ "អ្នកវិភាគលំហូរ" ធ្វើឱ្យយល់អំពីកំណត់ត្រាទាំងនោះ ដោយផ្តល់នូវការយល់ដឹងក្នុងទម្រង់នៃការមើលឃើញ ស្ថិតិ និងការរាយការណ៍លម្អិតអំពីប្រវត្តិសាស្ត្រ និងពេលវេលាជាក់ស្តែង។ នៅក្នុងការអនុវត្ត អ្នកប្រមូល និងអ្នកវិភាគច្រើនតែជាអង្គភាពតែមួយ ដែលជារឿយៗត្រូវបានបញ្ចូលគ្នាទៅក្នុងដំណោះស្រាយត្រួតពិនិត្យដំណើរការបណ្តាញធំជាង។
NetFlow ដំណើរការលើមូលដ្ឋានច្បាស់លាស់។ នៅពេលដែលម៉ាស៊ីនភ្ញៀវទៅដល់ម៉ាស៊ីនមេ NetFlow នឹងចាប់ផ្តើមចាប់យក និងប្រមូលផ្តុំទិន្នន័យមេតាពីលំហូរ។ បន្ទាប់ពីវគ្គនេះត្រូវបានបញ្ចប់ NetFlow នឹងនាំចេញកំណត់ត្រាពេញលេញតែមួយទៅកាន់អ្នកប្រមូល។
ទោះបីជាវានៅតែត្រូវបានប្រើប្រាស់ជាទូទៅក៏ដោយ NetFlow v5 មានដែនកំណត់មួយចំនួន។ វាលដែលបាននាំចេញត្រូវបានជួសជុល ការត្រួតពិនិត្យត្រូវបានគាំទ្រតែក្នុងទិសដៅចូលប៉ុណ្ណោះ ហើយបច្ចេកវិទ្យាទំនើបដូចជា IPv6, MPLS និង VXLAN មិនត្រូវបានគាំទ្រទេ។ NetFlow v9 ដែលដាក់ស្លាកយីហោថា Flexible NetFlow (FNF) ដោះស្រាយដែនកំណត់មួយចំនួនដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បង្កើតគំរូផ្ទាល់ខ្លួន និងបន្ថែមការគាំទ្រសម្រាប់បច្ចេកវិទ្យាថ្មីៗ។
អ្នកលក់ជាច្រើនក៏មានការអនុវត្តកម្មសិទ្ធិផ្ទាល់ខ្លួនរបស់ NetFlow ដូចជា jFlow ពី Juniper និង NetStream ពីក្រុមហ៊ុន Huawei ជាដើម។ ទោះបីជាការកំណត់រចនាសម្ព័ន្ធអាចខុសគ្នាខ្លះក៏ដោយ ប៉ុន្តែការអនុវត្តទាំងនេះច្រើនតែបង្កើតកំណត់ត្រាលំហូរដែលត្រូវគ្នាជាមួយអ្នកប្រមូល និងវិភាគ NetFlow ។
លក្ខណៈសំខាន់ៗរបស់ NetFlow៖
~ ទិន្នន័យលំហូរ៖ NetFlow បង្កើតកំណត់ត្រាលំហូរដែលរួមបញ្ចូលព័ត៌មានលម្អិតដូចជាអាសយដ្ឋាន IP ប្រភព និងទិសដៅ ច្រក ត្រាពេលវេលា កញ្ចប់ព័ត៌មាន និងចំនួនបៃ និងប្រភេទពិធីការ។
~ ការត្រួតពិនិត្យចរាចរណ៍៖ NetFlow ផ្តល់នូវភាពមើលឃើញចូលទៅក្នុងគំរូចរាចរណ៍បណ្តាញ ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងកំណត់អត្តសញ្ញាណកម្មវិធីកំពូល ចំណុចបញ្ចប់ និងប្រភពចរាចរណ៍។
~ការរកឃើញភាពមិនប្រក្រតី៖ តាមរយៈការវិភាគទិន្នន័យលំហូរ NetFlow អាចរកឃើញភាពមិនប្រក្រតីដូចជាការប្រើប្រាស់កម្រិតបញ្ជូនច្រើនពេក ការកកស្ទះបណ្តាញ ឬលំនាំចរាចរណ៍មិនធម្មតា។
~ ការវិភាគសុវត្ថិភាព៖ NetFlow អាចត្រូវបានប្រើដើម្បីស្វែងរក និងស៊ើបអង្កេតឧប្បត្តិហេតុសុវត្ថិភាព ដូចជាការវាយប្រហារនៃការបដិសេធការចែកចាយ (DDoS) ឬការប៉ុនប៉ងចូលប្រើដោយគ្មានការអនុញ្ញាត។
កំណែ NetFlow៖ NetFlow បានវិវត្តន៍ទៅតាមពេលវេលា ហើយកំណែផ្សេងៗគ្នាត្រូវបានចេញផ្សាយ។ កំណែដែលគួរឱ្យកត់សម្គាល់មួយចំនួនរួមមាន NetFlow v5, NetFlow v9 និង NetFlow ដែលអាចបត់បែនបាន។ កំណែនីមួយៗណែនាំការពង្រឹង និងសមត្ថភាពបន្ថែម។
IPFIX៖
តើ IPFIX ជាអ្វី?
ស្តង់ដារ IETF ដែលបានលេចឡើងនៅដើមទសវត្សរ៍ឆ្នាំ 2000 ការនាំចេញព័ត៌មានលំហូរពិធីសារអ៊ីនធឺណិត (IPFIX) គឺស្រដៀងទៅនឹង NetFlow ខ្លាំងណាស់។ តាមពិត NetFlow v9 បានបម្រើជាមូលដ្ឋានសម្រាប់ IPFIX ។ ភាពខុសគ្នាចម្បងរវាងទាំងពីរគឺថា IPFIX គឺជាស្តង់ដារបើកចំហ ហើយត្រូវបានគាំទ្រដោយអ្នកលក់បណ្តាញជាច្រើន ក្រៅពី Cisco ។ ជាមួយនឹងករណីលើកលែងនៃវាលបន្ថែមមួយចំនួនដែលបានបន្ថែមនៅក្នុង IPFIX នោះទម្រង់គឺស្ទើរតែដូចគ្នាបេះបិទ។ តាមពិត IPFIX ជួនកាលត្រូវបានគេហៅថា "NetFlow v10" ។
ដោយសារផ្នែកខ្លះនៃភាពស្រដៀងគ្នារបស់វាទៅនឹង NetFlow IPFIX រីករាយនឹងការគាំទ្រយ៉ាងទូលំទូលាយក្នុងចំណោមដំណោះស្រាយត្រួតពិនិត្យបណ្តាញ ក៏ដូចជាឧបករណ៍បណ្តាញ។
IPFIX (Internet Protocol Flow Information Export) គឺជាពិធីការស្តង់ដារបើកចំហដែលត្រូវបានបង្កើតឡើងដោយក្រុមការងារវិស្វកម្មអ៊ីនធឺណិត (IETF)។ វាត្រូវបានផ្អែកលើការបញ្ជាក់របស់ NetFlow កំណែ 9 និងផ្តល់នូវទម្រង់ស្តង់ដារសម្រាប់ការនាំចេញកំណត់ត្រាលំហូរពីឧបករណ៍បណ្តាញ។
IPFIX បង្កើតលើគោលគំនិតនៃ NetFlow និងពង្រីកពួកវាដើម្បីផ្តល់នូវភាពបត់បែន និងអន្តរប្រតិបត្តិការកាន់តែច្រើននៅទូទាំងអ្នកលក់ និងឧបករណ៍ផ្សេងៗ។ វាណែនាំអំពីគំនិតនៃគំរូ ដែលអនុញ្ញាតឱ្យមាននិយមន័យថាមវន្តនៃរចនាសម្ព័ន្ធកំណត់ត្រាលំហូរ និងខ្លឹមសារ។ វាអនុញ្ញាតឱ្យមានការដាក់បញ្ចូលវាលផ្ទាល់ខ្លួន ការគាំទ្រសម្រាប់ពិធីការថ្មី និងលទ្ធភាពពង្រីក។
លក្ខណៈសំខាន់ៗរបស់ IPFIX៖
~ វិធីសាស្រ្តផ្អែកលើគំរូ៖ IPFIX ប្រើគំរូដើម្បីកំណត់រចនាសម្ព័ន្ធ និងខ្លឹមសារនៃកំណត់ត្រាលំហូរ ដោយផ្តល់នូវភាពបត់បែនក្នុងការសម្រុះសម្រួលផ្នែកទិន្នន័យផ្សេងៗគ្នា និងព័ត៌មានជាក់លាក់នៃពិធីការ។
~ អន្តរប្រតិបត្តិការ៖ IPFIX គឺជាស្តង់ដារបើកចំហ ដែលធានានូវសមត្ថភាពត្រួតពិនិត្យលំហូរជាប់លាប់នៅទូទាំងអ្នកលក់ និងឧបករណ៍បណ្តាញផ្សេងៗគ្នា។
~ ការគាំទ្រ IPv6៖ IPFIX គាំទ្រ IPv6 ពីកំណើត ដែលធ្វើឱ្យវាសមរម្យសម្រាប់ការត្រួតពិនិត្យ និងវិភាគចរាចរណ៍នៅក្នុងបណ្តាញ IPv6 ។
~សុវត្ថិភាពប្រសើរឡើង៖ IPFIX រួមបញ្ចូលមុខងារសុវត្ថិភាពដូចជាការអ៊ិនគ្រីប Transport Layer Security (TLS) និងការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសារ ដើម្បីការពារការសម្ងាត់ និងភាពត្រឹមត្រូវនៃទិន្នន័យលំហូរអំឡុងពេលបញ្ជូន។
IPFIX ត្រូវបានគាំទ្រយ៉ាងទូលំទូលាយដោយអ្នកលក់ឧបករណ៍បណ្តាញផ្សេងៗ ដែលធ្វើឱ្យវាក្លាយជាជម្រើសអ្នកលក់អព្យាក្រឹត និងត្រូវបានអនុម័តយ៉ាងទូលំទូលាយសម្រាប់ការត្រួតពិនិត្យលំហូរបណ្តាញ។
ដូច្នេះ តើអ្វីជាភាពខុសគ្នារវាង NetFlow និង IPFIX?
ចម្លើយសាមញ្ញគឺថា NetFlow គឺជាពិធីការកម្មសិទ្ធិរបស់ Cisco ដែលបានណែនាំនៅជុំវិញឆ្នាំ 1996 ហើយ IPFIX គឺជាស្ថាប័នស្តង់ដាររបស់ខ្លួនដែលត្រូវបានអនុម័តជាបងប្រុស។
ពិធីការទាំងពីរបម្រើគោលបំណងដូចគ្នា៖ អនុញ្ញាតឱ្យវិស្វករបណ្តាញ និងអ្នកគ្រប់គ្រងប្រមូល និងវិភាគលំហូរចរាចរ IP កម្រិតបណ្តាញ។ Cisco បានបង្កើត NetFlow ដូច្នេះកុងតាក់ និងរ៉ោតទ័ររបស់វាអាចបញ្ចេញព័ត៌មានដ៏មានតម្លៃនេះ។ ដោយសារភាពលេចធ្លោរបស់ Cisco gear NetFlow បានក្លាយជាស្តង់ដារ de-facto យ៉ាងឆាប់រហ័សសម្រាប់ការវិភាគចរាចរណ៍បណ្តាញ។ ទោះជាយ៉ាងណាក៏ដោយ ដៃគូប្រកួតប្រជែងក្នុងឧស្សាហកម្មបានដឹងថាការប្រើប្រាស់ពិធីការដែលមានកម្មសិទ្ធិដែលគ្រប់គ្រងដោយគូប្រជែងចម្បងរបស់ខ្លួនមិនមែនជាគំនិតល្អទេ ហេតុដូច្នេះហើយ IETF បានដឹកនាំកិច្ចខិតខំប្រឹងប្រែងដើម្បីធ្វើស្តង់ដារពិធីការបើកចំហសម្រាប់ការវិភាគចរាចរណ៍ដែលជា IPFIX ។
IPFIX គឺផ្អែកលើ NetFlow កំណែ 9 ហើយត្រូវបានណែនាំដំបូងនៅជុំវិញឆ្នាំ 2005 ប៉ុន្តែបានចំណាយពេលប៉ុន្មានឆ្នាំដើម្បីទទួលបានការអនុម័តក្នុងឧស្សាហកម្មនេះ។ នៅចំណុចនេះ ពិធីការទាំងពីរគឺដូចគ្នាបេះបិទ ហើយទោះបីជាពាក្យ NetFlow នៅតែជាការអនុវត្តភាគច្រើន (ទោះបីជាមិនមែនទាំងអស់ក៏ដោយ) គឺត្រូវគ្នាជាមួយស្តង់ដារ IPFIX ។
នេះគឺជាតារាងសង្ខេបពីភាពខុសគ្នារវាង NetFlow និង IPFIX៖
ទិដ្ឋភាព | NetFlow | IPFIX |
---|---|---|
ប្រភពដើម | បច្ចេកវិជ្ជាកម្មសិទ្ធិ បង្កើតឡើងដោយ ស៊ីស្កូ | ពិធីការស្តង់ដារឧស្សាហកម្មផ្អែកលើ NetFlow កំណែ 9 |
ស្តង់ដារ | បច្ចេកវិទ្យាជាក់លាក់របស់ស៊ីស្កូ | ស្តង់ដារបើកចំហដែលកំណត់ដោយ IETF នៅក្នុង RFC 7011 |
ភាពបត់បែន | កំណែវិវត្តដែលមានលក្ខណៈពិសេស | ភាពបត់បែនកាន់តែច្រើន និងអន្តរប្រតិបត្តិការរវាងអ្នកលក់ |
ទម្រង់ទិន្នន័យ | កញ្ចប់ទំហំថេរ | វិធីសាស្រ្តផ្អែកលើគំរូសម្រាប់ទម្រង់កំណត់ត្រាលំហូរដែលអាចប្ដូរតាមបំណងបាន។ |
ការគាំទ្រគំរូ | មិនគាំទ្រ | គំរូថាមវន្តសម្រាប់ការបញ្ចូលវាលដែលអាចបត់បែនបាន។ |
ការគាំទ្រអ្នកលក់ | ឧបករណ៍ Cisco ជាចម្បង | ការគាំទ្រទូលំទូលាយនៅទូទាំងអ្នកលក់បណ្តាញ |
ភាពអាចពង្រីកបាន។ | ការប្ដូរតាមបំណងមានកំណត់ | ការដាក់បញ្ចូលវាលផ្ទាល់ខ្លួន និងទិន្នន័យកម្មវិធីជាក់លាក់ |
ភាពខុសគ្នានៃពិធីការ | ការប្រែប្រួលជាក់លាក់របស់ស៊ីស្កូ | ការគាំទ្រ IPv6 ដើម ជម្រើសការកត់ត្រាលំហូរប្រសើរឡើង |
លក្ខណៈពិសេសសុវត្ថិភាព | មុខងារសុវត្ថិភាពមានកំណត់ | ការអ៊ិនគ្រីប Transport Layer Security (TLS) ភាពសុចរិតនៃសារ |
ការត្រួតពិនិត្យលំហូរបណ្តាញគឺជាការប្រមូល ការវិភាគ និងការត្រួតពិនិត្យចរាចរណ៍ដែលឆ្លងកាត់បណ្តាញ ឬផ្នែកបណ្តាញដែលបានផ្តល់ឱ្យ។ គោលបំណងអាចប្រែប្រួលពីការដោះស្រាយបញ្ហាការតភ្ជាប់ ដល់ការរៀបចំផែនការបែងចែកកម្រិតបញ្ជូននាពេលអនាគត។ ការត្រួតពិនិត្យលំហូរ និងការយកគំរូកញ្ចប់អាចមានប្រយោជន៍ក្នុងការកំណត់អត្តសញ្ញាណ និងការដោះស្រាយបញ្ហាសុវត្ថិភាព។
ការត្រួតពិនិត្យលំហូរផ្តល់ឱ្យក្រុមបណ្តាញនូវគំនិតដ៏ល្អអំពីរបៀបដែលបណ្តាញកំពុងដំណើរការ ការផ្តល់ការយល់ដឹងអំពីការប្រើប្រាស់រួម ការប្រើប្រាស់កម្មវិធី ការស្ទះសក្តានុពល ភាពមិនប្រក្រតីដែលអាចជាសញ្ញានៃការគំរាមកំហែងផ្នែកសុវត្ថិភាព និងច្រើនទៀត។ មានស្តង់ដារ និងទម្រង់ផ្សេងៗគ្នាជាច្រើនដែលប្រើក្នុងការត្រួតពិនិត្យលំហូរបណ្តាញ រួមមាន NetFlow, sFlow, និង Internet Protocol Flow Information Export (IPFIX)។ នីមួយៗដំណើរការតាមរបៀបខុសគ្នាបន្តិចបន្តួច ប៉ុន្តែអ្វីៗទាំងអស់គឺខុសគ្នាពីការឆ្លុះច្រក និងការត្រួតពិនិត្យកញ្ចប់ព័ត៌មានយ៉ាងស៊ីជម្រៅ ដែលពួកវាមិនចាប់យកខ្លឹមសារនៃរាល់កញ្ចប់ព័ត៌មានដែលឆ្លងកាត់ច្រក ឬតាមរយៈកុងតាក់នោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ការត្រួតពិនិត្យលំហូរផ្តល់ព័ត៌មានច្រើនជាង SNMP ដែលជាទូទៅត្រូវបានកំណត់ចំពោះស្ថិតិទូលំទូលាយដូចជាកញ្ចប់ព័ត៌មានទូទៅ និងការប្រើប្រាស់កម្រិតបញ្ជូន។
ឧបករណ៍លំហូរបណ្តាញប្រៀបធៀប
លក្ខណៈ | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
បើក ឬមានកម្មសិទ្ធិ | កម្មសិទ្ធិ | កម្មសិទ្ធិ | បើក | បើក |
គំរូឬលំហូរផ្អែកលើ | លំហូរជាចម្បង; របៀបគំរូគឺអាចប្រើបាន | លំហូរជាចម្បង; របៀបគំរូគឺអាចប្រើបាន | គំរូ | លំហូរជាចម្បង; របៀបគំរូគឺអាចប្រើបាន |
ព័ត៌មានត្រូវបានចាប់យក | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ចំណុចប្រទាក់ចំណុចប្រទាក់ និងដូច្នេះនៅលើ | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ចំណុចប្រទាក់ចំណុចប្រទាក់ និងដូច្នេះនៅលើ | បំពេញបឋមកថាកញ្ចប់ បន្ទុកកញ្ចប់មួយផ្នែក | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ចំណុចប្រទាក់ចំណុចប្រទាក់ និងដូច្នេះនៅលើ |
ការត្រួតពិនិត្យការចូល / ច្រកចូល | ចូលតែប៉ុណ្ណោះ | Ingress និង Egress | Ingress និង Egress | Ingress និង Egress |
ការគាំទ្រ IPv6 / VLAN / MPLS | No | បាទ | បាទ | បាទ |
ពេលវេលាប្រកាស៖ ថ្ងៃទី ១៨-២៤ ខែមីនា