Экспорт информации IP-потока - IP Flow Information Export
Экспорт информации о потоке интернет-протокола (IPFIX) - это IETF протокол, а также название IETF рабочая группа определение протокола. Он был создан исходя из потребности в общем универсальном стандарте экспорта для протокол Интернета поток информации из маршрутизаторы, зонды и другие устройства, которые используются системами посредничества, системами учета / биллинга и системами управления сетью для облегчения таких услуг, как измерение, учет и выставление счетов. Стандарт IPFIX определяет, как информация IP-потока должна быть отформатирована и передана от экспортера к сборщику.[1] Ранее многие операторы сетей передачи данных полагались на Cisco Systems проприетарный Поток данных, передающихся по сети технология экспорта информации о транспортном потоке.
Требования стандартов IPFIX были изложены в оригинале. RFC 3917. Cisco Поток данных, передающихся по сети Версия 9 была основой IPFIX. Основные спецификации IPFIX задокументированы в RFC 7011 через RFC 7015, и RFC 5103.
Архитектура
На следующем рисунке показана типичная архитектура информационного потока в архитектуре IPFIX:
Экспортер IPFIX Collector O ---------------------------> O | | Наблюдение | Домен | Замер №1 | Измерение № 2 O ---------------- O ---------------- O Измерение № 3 | | | | Наблюдение | Наблюдение | Наблюдение | Пункт №1 | Пункт № 2 | Пункт № 3 v | | ---- IP-трафик ---> | | v | --------------- Больше IP-трафика ---> | v ---------------------------------- Больше IP-трафика --->
Пул Процессы измерения собирает пакеты данных на одном или нескольких Пункты наблюдения, при необходимости фильтрует их и собирает информацию об этих пакетах. An Экспортер затем собирает каждую из точек наблюдения в Область наблюдения и отправляет эту информацию через протокол IPFIX в Коллектор. Экспортеры и коллекционеры находятся в многие-ко-многим взаимосвязь: один экспортер может отправлять данные нескольким сборщикам, а один сборщик может получать данные от многих экспортеров.[2]
Протокол
Подобно протоколу NetFlow, IPFIX считает поток быть любым количеством пакетов, наблюдаемых в определенном временном интервале и имеющих ряд свойств, например "тот же источник, тот же пункт назначения, тот же протокол". Используя IPFIX, такие устройства, как маршрутизаторы, могут информировать центральную станцию мониторинга о своем видении потенциально более крупной сети.
IPFIX - это протокол push, т.е. каждый отправитель будет периодически отправлять сообщения IPFIX настроенным получателям без какого-либо взаимодействия со стороны получателя.
Фактический состав данных в сообщениях IPFIX в значительной степени зависит от отправителя. IPFIX знакомит получателя с составом этих сообщений с помощью специальных Шаблоны. Отправитель также может свободно использовать определяемые пользователем типы данных в своих сообщениях, поэтому протокол является свободно расширяемым и может адаптироваться к различным сценариям.
IPFIX предпочитает Протокол передачи управления потоком (SCTP) как его транспортный уровень протокол, но также позволяет использовать Протокол управления передачей (TCP) или же Протокол дейтаграмм пользователя (UDP).
Пример
Простой набор информации, отправленный через IPFIX, может выглядеть так:
Исходные пакеты назначения ------------------------------------------ 192.168.0.201 192.168. 0,1 235192.168.0.202 192.168.0.1 42
Этот набор информации будет отправлен в следующем сообщении IPFIX:
Биты 0..15 | Биты 16..31 |
---|---|
Версия = 0x000a | Длина сообщения = 64 байта |
Отметка времени экспорта = 2005-12-31 23:59:60 | |
Порядковый номер = 0 | |
ID домена наблюдения = 12345678 | |
Установить ID = 2 (шаблон) | Установить длину = 20 байтов |
ID шаблона = 256 | Количество полей = 3 |
Тип = sourceIPv4Address | Длина поля = 4 байта |
Тип = destinationIPv4Address | Длина поля = 4 байта |
Тип = packetDeltaCount | Длина поля = 4 байта |
Установить ID = 256 (набор данных с использованием шаблона 256) | Установить длину = 28 байтов |
Запись 1, поле 1 = 192.168.0.201 | |
Запись 1, Поле 2 = 192.168.0.1 | |
Запись 1, поле 3 = 235 пакетов | |
Запись 2, поле 1 = 192.168.0.202 | |
Запись 2, Поле 2 = 192.168.0.1 | |
Запись 2, поле 3 = 42 пакета |
Как видно, сообщение содержит заголовок IPFIX и два набора IPFIX: один набор шаблонов, который вводит создание используемого набора данных, а также один набор данных, который содержит фактические данные. Когда IPFIX отправляется по протоколу, который сохраняет состояние сеанса (TCP или SCTP), набор шаблонов не нужно повторно передавать, поскольку он буферизуется в коллекторах. Поскольку набор шаблонов может изменяться с течением времени, его необходимо повторно передать, если установлено новое состояние сеанса или если IPFIX отправляется через UDP, который является бессессионным протоколом.
Смотрите также
Рекомендации
- ^ Хофстеде, Рик; Селеда, Павел; Траммелл, Брайан; Драго, Идилио; Садре, Рамин; Сперотто, Анна; Прас, Айко (2014). «Объяснение мониторинга потока: от захвата пакетов до анализа данных с помощью NetFlow и IPFIX». Обзоры и учебные пособия по коммуникациям IEEE. 16 (4): 2037–2064. Дои:10.1109 / COMST.2014.2321898. S2CID 14042725.
- ^ Журнал коммуникаций IEEE,http://ieeexplore.ieee.org.lcproxy.shu.ac.uk/stamp/stamp.jsp?tp=&arnumber=5741152
внешняя ссылка
- Страницы состояния IPFIX
- Устав IETF IPFIX
- Network World IPFIX Введение
- RFC3954 - NetFlow версии 9
- RFC3955 - протоколы-кандидаты для экспорта информации IP-потока (IPFIX)
- RFC5103 - Экспорт двунаправленного потока с использованием экспорта информации IP-потока
- RFC5153 - Руководство по внедрению IPFIX
- RFC5470 - Архитектура для экспорта информации IP-потока
- RFC5471 - Руководство по тестированию экспорта информации IP-потока (IPFIX)
- RFC5472 - Применимость экспорта информации IP-потока (IPFIX)
- RFC5473 - Уменьшение избыточности в отчетах об экспорте информации IP-потока (IPFIX) и о выборке пакетов (PSAMP)
- RFC7011 - Спецификация протокола экспорта информации IP-потока (IPFIX) для обмена информацией о потоке IP-трафика (IPFIX)
- RFC7012 - информационная модель для экспорта информации IP-потока
- RFC7013 - Рекомендации для авторов и рецензентов информационных элементов экспорта информации IP-потока (IPFIX)
- RFC7014 - Методы выбора потока
- RFC7015 - агрегирование потоков для протокола экспорта информации IP-потока (IPFIX)
- Библиотека для разбора, сбора и экспорта сообщений IPFIX
- Корпоративный сборщик IPFIX с открытым исходным кодом
- Понимание принципов анимации NetFlow / IPFIX
- Что такое IPFIX и различия между Netflow