NetFlow និង IPFIX សុទ្ធតែជាបច្ចេកវិទ្យាដែលប្រើសម្រាប់ការត្រួតពិនិត្យ និងវិភាគលំហូរបណ្តាញ។ ពួកវាផ្តល់នូវការយល់ដឹងអំពីគំរូចរាចរណ៍បណ្តាញ ដែលជួយក្នុងការបង្កើនប្រសិទ្ធភាពប្រតិបត្តិការ ការដោះស្រាយបញ្ហា និងការវិភាគសុវត្ថិភាព។
លំហូរបណ្តាញ៖
តើ NetFlow ជាអ្វី?
NetFlowគឺជាដំណោះស្រាយត្រួតពិនិត្យលំហូរដើម ដែលដើមឡើយត្រូវបានបង្កើតឡើងដោយ Cisco នៅចុងទសវត្សរ៍ឆ្នាំ 1990។ មានកំណែផ្សេងៗគ្នាជាច្រើន ប៉ុន្តែការដាក់ពង្រាយភាគច្រើនគឺផ្អែកលើ NetFlow v5 ឬ NetFlow v9។ ខណៈពេលដែលកំណែនីមួយៗមានសមត្ថភាពខុសៗគ្នា ប្រតិបត្តិការមូលដ្ឋាននៅតែដដែល៖
ដំបូងឡើយ រ៉ោតទ័រ ស្វីច ជញ្ជាំងភ្លើង ឬឧបករណ៍ប្រភេទផ្សេងទៀតនឹងចាប់យកព័ត៌មាននៅលើ "លំហូរ" បណ្តាញ - ជាទូទៅគឺជាសំណុំនៃកញ្ចប់ដែលចែករំលែកសំណុំលក្ខណៈទូទៅដូចជាអាសយដ្ឋានប្រភព និងអាសយដ្ឋានគោលដៅ ច្រកប្រភព និងអាសយដ្ឋានគោលដៅ និងប្រភេទពិធីការ។ បន្ទាប់ពីលំហូរមួយបានឈប់ដំណើរការ ឬរយៈពេលដែលបានកំណត់ជាមុនបានកន្លងផុតទៅ ឧបករណ៍នឹងនាំចេញកំណត់ត្រាលំហូរទៅកាន់អង្គភាពមួយដែលគេស្គាល់ថាជា "អ្នកប្រមូលលំហូរ"។
ជាចុងក្រោយ “ឧបករណ៍វិភាគលំហូរ” ធ្វើឱ្យយល់អំពីកំណត់ត្រាទាំងនោះ ដោយផ្តល់នូវការយល់ដឹងក្នុងទម្រង់នៃការមើលឃើញ ស្ថិតិ និងរបាយការណ៍លម្អិតអំពីប្រវត្តិសាស្ត្រ និងពេលវេលាជាក់ស្តែង។ នៅក្នុងការអនុវត្ត អ្នកប្រមូល និងអ្នកវិភាគច្រើនតែជាអង្គភាពតែមួយ ដែលជារឿយៗត្រូវបានបញ្ចូលគ្នាទៅជាដំណោះស្រាយត្រួតពិនិត្យដំណើរការបណ្តាញធំជាង។
NetFlow ដំណើរការលើមូលដ្ឋាន stateful។ នៅពេលដែលម៉ាស៊ីនភ្ញៀវទៅដល់ម៉ាស៊ីនមេ NetFlow នឹងចាប់ផ្តើមចាប់យក និងប្រមូលផ្តុំទិន្នន័យមេតាពីលំហូរ។ បន្ទាប់ពីវគ្គត្រូវបានបញ្ចប់ NetFlow នឹងនាំចេញកំណត់ត្រាពេញលេញតែមួយទៅកាន់អ្នកប្រមូល។
ទោះបីជាវានៅតែត្រូវបានប្រើប្រាស់ជាទូទៅក៏ដោយ NetFlow v5 មានដែនកំណត់មួយចំនួន។ វាលដែលបាននាំចេញត្រូវបានជួសជុល ការត្រួតពិនិត្យត្រូវបានគាំទ្រតែក្នុងទិសដៅចូលប៉ុណ្ណោះ ហើយបច្ចេកវិទ្យាទំនើបដូចជា IPv6, MPLS និង VXLAN មិនត្រូវបានគាំទ្រទេ។ NetFlow v9 ដែលក៏មានឈ្មោះថា Flexible NetFlow (FNF) ដោះស្រាយដែនកំណត់មួយចំនួនទាំងនេះ ដោយអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បង្កើតគំរូផ្ទាល់ខ្លួន និងបន្ថែមការគាំទ្រសម្រាប់បច្ចេកវិទ្យាថ្មីៗ។
អ្នកលក់ជាច្រើនក៏មានការអនុវត្ត NetFlow ផ្ទាល់ខ្លួនរបស់ពួកគេដែរ ដូចជា jFlow ពី Juniper និង NetStream ពី Huawei។ ទោះបីជាការកំណត់រចនាសម្ព័ន្ធអាចខុសគ្នាខ្លះក៏ដោយ ការអនុវត្តទាំងនេះច្រើនតែបង្កើតកំណត់ត្រាលំហូរដែលឆបគ្នាជាមួយឧបករណ៍ប្រមូល និងឧបករណ៍វិភាគ NetFlow។
លក្ខណៈពិសេសសំខាន់ៗរបស់ NetFlow៖
~ ទិន្នន័យលំហូរ៖ NetFlow បង្កើតកំណត់ត្រាលំហូរដែលរួមបញ្ចូលព័ត៌មានលម្អិតដូចជាអាសយដ្ឋាន IP ប្រភព និងគោលដៅ ច្រក ត្រាពេលវេលា ចំនួនកញ្ចប់ និងបៃ និងប្រភេទពិធីការ។
~ ការត្រួតពិនិត្យចរាចរណ៍៖ NetFlow ផ្តល់នូវភាពមើលឃើញទៅក្នុងគំរូចរាចរណ៍បណ្តាញ ដែលអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងកំណត់អត្តសញ្ញាណកម្មវិធីកំពូលៗ ចំណុចបញ្ចប់ និងប្រភពចរាចរណ៍។
~ការរកឃើញភាពមិនប្រក្រតីតាមរយៈការវិភាគទិន្នន័យលំហូរ NetFlow អាចរកឃើញភាពមិនប្រក្រតីដូចជាការប្រើប្រាស់កម្រិតបញ្ជូនលើសលប់ ការកកស្ទះបណ្តាញ ឬគំរូចរាចរណ៍មិនធម្មតា។
~ ការវិភាគសុវត្ថិភាព៖ NetFlow អាចត្រូវបានប្រើដើម្បីរកឃើញ និងស៊ើបអង្កេតឧប្បត្តិហេតុសុវត្ថិភាព ដូចជាការវាយប្រហារបដិសេធសេវាកម្មចែកចាយ (DDoS) ឬការប៉ុនប៉ងចូលប្រើដោយគ្មានការអនុញ្ញាត។
កំណែ NetFlow៖ NetFlow បានវិវត្តន៍ទៅតាមពេលវេលា ហើយកំណែផ្សេងៗគ្នាត្រូវបានចេញផ្សាយ។ កំណែគួរឱ្យកត់សម្គាល់មួយចំនួនរួមមាន NetFlow v5, NetFlow v9 និង Flexible NetFlow។ កំណែនីមួយៗណែនាំអំពីការបង្កើនប្រសិទ្ធភាព និងសមត្ថភាពបន្ថែម។
អាយភីហ្វីកស៍៖
តើ IPFIX ជាអ្វី?
ស្តង់ដារ IETF ដែលបានលេចចេញនៅដើមទសវត្សរ៍ឆ្នាំ 2000 ការនាំចេញព័ត៌មានលំហូរពិធីការអ៊ីនធឺណិត (IPFIX) គឺស្រដៀងគ្នាខ្លាំងណាស់ទៅនឹង NetFlow។ តាមពិតទៅ NetFlow v9 បានបម្រើជាមូលដ្ឋានសម្រាប់ IPFIX។ ភាពខុសគ្នាចម្បងរវាងទាំងពីរគឺថា IPFIX គឺជាស្តង់ដារបើកចំហ ហើយត្រូវបានគាំទ្រដោយអ្នកលក់បណ្តាញជាច្រើនក្រៅពី Cisco។ លើកលែងតែវាលបន្ថែមមួយចំនួនដែលបានបន្ថែមនៅក្នុង IPFIX ទម្រង់គឺស្ទើរតែដូចគ្នា។ តាមពិតទៅ IPFIX ពេលខ្លះត្រូវបានគេហៅថា "NetFlow v10"។
ដោយសារតែភាពស្រដៀងគ្នារបស់វាទៅនឹង NetFlow IPFIX ទទួលបានការគាំទ្រយ៉ាងទូលំទូលាយក្នុងចំណោមដំណោះស្រាយត្រួតពិនិត្យបណ្តាញ ក៏ដូចជាឧបករណ៍បណ្តាញ។
IPFIX (ការនាំចេញព័ត៌មានលំហូរពិធីការអ៊ីនធឺណិត) គឺជាពិធីការស្តង់ដារបើកចំហមួយដែលបង្កើតឡើងដោយក្រុមការងារវិស្វកម្មអ៊ីនធឺណិត (IETF)។ វាផ្អែកលើលក្ខណៈបច្ចេកទេស NetFlow កំណែ 9 និងផ្តល់នូវទម្រង់ស្តង់ដារសម្រាប់នាំចេញកំណត់ត្រាលំហូរពីឧបករណ៍បណ្តាញ។
IPFIX បង្កើតឡើងដោយផ្អែកលើគោលគំនិតរបស់ NetFlow ហើយពង្រីកពួកវាដើម្បីផ្តល់នូវភាពបត់បែន និងអន្តរប្រតិបត្តិការកាន់តែច្រើននៅទូទាំងអ្នកលក់ និងឧបករណ៍ផ្សេងៗគ្នា។ វាណែនាំគោលគំនិតនៃគំរូ ដែលអនុញ្ញាតឱ្យមាននិយមន័យថាមវន្តនៃរចនាសម្ព័ន្ធ និងខ្លឹមសារនៃកំណត់ត្រាលំហូរ។ នេះអនុញ្ញាតឱ្យមានការរួមបញ្ចូលវាលផ្ទាល់ខ្លួន ការគាំទ្រសម្រាប់ពិធីការថ្មី និងការពង្រីក។
លក្ខណៈពិសេសសំខាន់ៗរបស់ IPFIX៖
~ វិធីសាស្រ្តផ្អែកលើគំរូ៖ IPFIX ប្រើប្រាស់គំរូដើម្បីកំណត់រចនាសម្ព័ន្ធ និងខ្លឹមសារនៃកំណត់ត្រាលំហូរ ដោយផ្តល់នូវភាពបត់បែនក្នុងការសម្របតាមវាលទិន្នន័យផ្សេងៗគ្នា និងព័ត៌មានជាក់លាក់នៃពិធីការ។
~ អន្តរប្រតិបត្តិការ៖ IPFIX គឺជាស្តង់ដារបើកចំហ ដែលធានានូវសមត្ថភាពត្រួតពិនិត្យលំហូរដែលស៊ីសង្វាក់គ្នានៅទូទាំងអ្នកលក់ និងឧបករណ៍បណ្តាញផ្សេងៗគ្នា។
~ ការគាំទ្រ IPv6៖ IPFIX គាំទ្រ IPv6 ដើម ដែលធ្វើឱ្យវាសមស្របសម្រាប់ការត្រួតពិនិត្យ និងវិភាគចរាចរណ៍នៅក្នុងបណ្តាញ IPv6។
~សុវត្ថិភាពប្រសើរឡើង៖ IPFIX រួមបញ្ចូលមុខងារសុវត្ថិភាពដូចជាការអ៊ិនគ្រីប Transport Layer Security (TLS) និងការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសារ ដើម្បីការពារការសម្ងាត់ និងភាពសុចរិតនៃទិន្នន័យលំហូរកំឡុងពេលបញ្ជូន។
IPFIX ត្រូវបានគាំទ្រយ៉ាងទូលំទូលាយដោយអ្នកលក់ឧបករណ៍បណ្តាញជាច្រើន ដែលធ្វើឱ្យវាក្លាយជាជម្រើសអព្យាក្រឹតសម្រាប់អ្នកផ្គត់ផ្គង់ និងត្រូវបានអនុម័តយ៉ាងទូលំទូលាយសម្រាប់ការត្រួតពិនិត្យលំហូរបណ្តាញ។
ដូច្នេះតើអ្វីជាភាពខុសគ្នារវាង NetFlow និង IPFIX?
ចម្លើយសាមញ្ញគឺថា NetFlow គឺជាពិធីការកម្មសិទ្ធិរបស់ Cisco ដែលត្រូវបានណែនាំនៅប្រហែលឆ្នាំ 1996 ហើយ IPFIX គឺជាបងប្រុសដែលត្រូវបានអនុម័តដោយស្ថាប័នស្តង់ដាររបស់វា។
ពិធីការទាំងពីរបម្រើគោលបំណងដូចគ្នា៖ អនុញ្ញាតឱ្យវិស្វករបណ្តាញ និងអ្នកគ្រប់គ្រងប្រមូល និងវិភាគលំហូរចរាចរណ៍ IP កម្រិតបណ្តាញ។ Cisco បានបង្កើត NetFlow ដើម្បីឱ្យកុងតាក់ និងរ៉ោតទ័ររបស់ខ្លួនអាចបញ្ចេញព័ត៌មានដ៏មានតម្លៃនេះ។ ដោយសារតែភាពលេចធ្លោនៃឧបករណ៍ Cisco NetFlow បានក្លាយជាស្តង់ដារជាក់ស្តែងយ៉ាងឆាប់រហ័សសម្រាប់ការវិភាគចរាចរណ៍បណ្តាញ។ ទោះជាយ៉ាងណាក៏ដោយ ដៃគូប្រកួតប្រជែងក្នុងឧស្សាហកម្មបានដឹងថា ការប្រើប្រាស់ពិធីការដែលមានកម្មសិទ្ធិដែលគ្រប់គ្រងដោយគូប្រជែងសំខាន់របស់ខ្លួនមិនមែនជាគំនិតល្អទេ ដូច្នេះ IETF បានដឹកនាំកិច្ចខិតខំប្រឹងប្រែងដើម្បីធ្វើឱ្យពិធីការបើកចំហសម្រាប់ការវិភាគចរាចរណ៍ ដែលជា IPFIX។
IPFIX គឺផ្អែកលើ NetFlow កំណែទី 9 ហើយត្រូវបានណែនាំដំបូងនៅប្រហែលឆ្នាំ 2005 ប៉ុន្តែត្រូវចំណាយពេលពីរបីឆ្នាំដើម្បីទទួលបានការអនុម័តពីឧស្សាហកម្ម។ នៅចំណុចនេះ ពិធីការទាំងពីរគឺដូចគ្នាបេះបិទ ហើយទោះបីជាពាក្យ NetFlow នៅតែមានប្រជាប្រិយភាពជាងក៏ដោយ ការអនុវត្តភាគច្រើន (ទោះបីជាមិនមែនទាំងអស់ក៏ដោយ) គឺឆបគ្នាជាមួយស្តង់ដារ IPFIX។
នេះជាតារាងសង្ខេបអំពីភាពខុសគ្នារវាង NetFlow និង IPFIX៖
| ទិដ្ឋភាព | NetFlow | IPFIX |
|---|---|---|
| ប្រភពដើម | បច្ចេកវិទ្យាផ្តាច់មុខដែលបង្កើតឡើងដោយ Cisco | ពិធីការស្តង់ដារឧស្សាហកម្មដែលផ្អែកលើ NetFlow កំណែ 9 |
| ស្តង់ដារភាវូបនីយកម្ម | បច្ចេកវិទ្យាជាក់លាក់របស់ Cisco | ស្តង់ដារបើកចំហដែលកំណត់ដោយ IETF នៅក្នុង RFC 7011 |
| ភាពបត់បែន | កំណែវិវឌ្ឍជាមួយលក្ខណៈពិសេសជាក់លាក់ | ភាពបត់បែន និងអន្តរប្រតិបត្តិការកាន់តែច្រើននៅទូទាំងអ្នកលក់ |
| ទម្រង់ទិន្នន័យ | កញ្ចប់ទំហំថេរ | វិធីសាស្រ្តផ្អែកលើគំរូសម្រាប់ទម្រង់កំណត់ត្រាលំហូរដែលអាចប្ដូរតាមបំណងបាន |
| ការគាំទ្រគំរូ | មិនគាំទ្រទេ | គំរូថាមវន្តសម្រាប់ការដាក់បញ្ចូលវាលដែលអាចបត់បែនបាន |
| ការគាំទ្រអ្នកលក់ | ឧបករណ៍ Cisco ជាចម្បង | ការគាំទ្រយ៉ាងទូលំទូលាយនៅទូទាំងអ្នកលក់បណ្តាញ |
| ភាពអាចពង្រីកបាន | ការប្ដូរតាមបំណងមានកំណត់ | ការរួមបញ្ចូលវាលផ្ទាល់ខ្លួន និងទិន្នន័យជាក់លាក់នៃកម្មវិធី |
| ភាពខុសគ្នានៃពិធីការ | បំរែបំរួលជាក់លាក់របស់ Cisco | ការគាំទ្រ IPv6 ដើម ជម្រើសកំណត់ត្រាលំហូរប្រសើរឡើង |
| លក្ខណៈពិសេសសុវត្ថិភាព | មុខងារសុវត្ថិភាពមានកំណត់ | ការអ៊ិនគ្រីបសុវត្ថិភាពស្រទាប់ដឹកជញ្ជូន (TLS) ភាពសុចរិតនៃសារ |
ការត្រួតពិនិត្យលំហូរបណ្តាញគឺជាការប្រមូល ការវិភាគ និងការត្រួតពិនិត្យចរាចរណ៍ដែលឆ្លងកាត់បណ្តាញ ឬផ្នែកបណ្តាញដែលបានផ្តល់ឱ្យ។ គោលបំណងអាចប្រែប្រួលចាប់ពីការដោះស្រាយបញ្ហាការតភ្ជាប់ រហូតដល់ការរៀបចំផែនការបែងចែកកម្រិតបញ្ជូននាពេលអនាគត។ ការត្រួតពិនិត្យលំហូរ និងការយកគំរូកញ្ចប់អាចមានប្រយោជន៍ក្នុងការកំណត់អត្តសញ្ញាណ និងដោះស្រាយបញ្ហាសុវត្ថិភាព។
ការត្រួតពិនិត្យលំហូរផ្តល់ឱ្យក្រុមបណ្តាញនូវគំនិតល្អអំពីរបៀបដែលបណ្តាញកំពុងដំណើរការ ដោយផ្តល់នូវការយល់ដឹងអំពីការប្រើប្រាស់ទូទៅ ការប្រើប្រាស់កម្មវិធី ការកកស្ទះដែលអាចកើតមាន ភាពមិនប្រក្រតីដែលអាចជាសញ្ញានៃការគំរាមកំហែងសុវត្ថិភាព និងច្រើនទៀត។ មានស្តង់ដារ និងទម្រង់ផ្សេងៗគ្នាជាច្រើនដែលប្រើក្នុងការត្រួតពិនិត្យលំហូរបណ្តាញ រួមទាំង NetFlow, sFlow និងការនាំចេញព័ត៌មានលំហូរពិធីការអ៊ីនធឺណិត (IPFIX)។ ស្តង់ដារនីមួយៗដំណើរការក្នុងវិធីខុសគ្នាបន្តិចបន្តួច ប៉ុន្តែទាំងអស់គឺខុសគ្នាពីការឆ្លុះបញ្ចាំងច្រក និងការត្រួតពិនិត្យកញ្ចប់ជ្រៅ ដោយពួកវាមិនចាប់យកខ្លឹមសារនៃកញ្ចប់នីមួយៗដែលឆ្លងកាត់ច្រក ឬតាមរយៈកុងតាក់នោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ការត្រួតពិនិត្យលំហូរផ្តល់ព័ត៌មានច្រើនជាង SNMP ដែលជាទូទៅត្រូវបានកំណត់ចំពោះស្ថិតិទូលំទូលាយដូចជាការប្រើប្រាស់កញ្ចប់ និងកម្រិតបញ្ជូនទាំងមូល។
ឧបករណ៍លំហូរបណ្តាញត្រូវបានប្រៀបធៀប
| លក្ខណៈពិសេស | NetFlow ជំនាន់ទី 5 | NetFlow ជំនាន់ទី 9 | លំហូរ s | IPFIX |
| បើកចំហ ឬ កម្មសិទ្ធិ | កម្មសិទ្ធិ | កម្មសិទ្ធិ | បើក | បើក |
| គំរូ ឬផ្អែកលើលំហូរ | ផ្អែកលើលំហូរជាចម្បង; របៀបយកគំរូអាចប្រើបាន | ផ្អែកលើលំហូរជាចម្បង; របៀបយកគំរូអាចប្រើបាន | បានយកគំរូ | ផ្អែកលើលំហូរជាចម្បង; របៀបយកគំរូអាចប្រើបាន |
| ព័ត៌មានដែលចាប់យកបាន | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ការរាប់ចំណុចប្រទាក់ និងអ្វីៗផ្សេងទៀត | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ការរាប់ចំណុចប្រទាក់ និងអ្វីៗផ្សេងទៀត | បឋមកថាកញ្ចប់ពេញលេញ បន្ទុកកញ្ចប់ដោយផ្នែក | ទិន្នន័យមេតា និងព័ត៌មានស្ថិតិ រួមទាំងបៃដែលបានផ្ទេរ ការរាប់ចំណុចប្រទាក់ និងអ្វីៗផ្សេងទៀត |
| ការត្រួតពិនិត្យការចូល/ចេញ | ច្រកចូលតែប៉ុណ្ណោះ | ច្រកចូល និង ច្រកចេញ | ច្រកចូល និង ច្រកចេញ | ច្រកចូល និង ច្រកចេញ |
| ការគាំទ្រ IPv6/VLAN/MPLS | No | បាទ/ចាស៎ | បាទ/ចាស៎ | បាទ/ចាស៎ |
ពេលវេលាបង្ហោះ៖ ថ្ងៃទី ១៨ ខែមីនា ឆ្នាំ ២០២៤
