WikiDer > Экспорт информации IP-потока

IP Flow Information Export

Экспорт информации о потоке интернет-протокола (IPFIX) - это IETF протокол, а также название IETF рабочая группа определение протокола. Он был создан исходя из потребности в общем универсальном стандарте экспорта для протокол Интернета поток информации из маршрутизаторы, зонды и другие устройства, которые используются системами посредничества, системами учета / биллинга и системами управления сетью для облегчения таких услуг, как измерение, учет и выставление счетов. Стандарт IPFIX определяет, как информация IP-потока должна быть отформатирована и передана от экспортера к сборщику.[1] Ранее многие операторы сетей передачи данных полагались на Cisco Systemsпроприетарный Поток данных, передающихся по сети технология экспорта информации о транспортном потоке.

Требования стандартов IPFIX были изложены в оригинале. RFC 3917. Cisco Поток данных, передающихся по сети Версия 9 была основой IPFIX. Основные спецификации IPFIX задокументированы в RFC 7011 через RFC 7015, и RFC 5103.

Архитектура

На следующем рисунке показана типичная архитектура информационного потока в архитектуре IPFIX:

                       Экспортер IPFIX Collector O ---------------------------> O | | Наблюдение | Домен | Замер №1 | Измерение № 2 O ---------------- O ---------------- O Измерение № 3 | | | | Наблюдение | Наблюдение | Наблюдение | Пункт №1 | Пункт № 2 | Пункт № 3 v | | ---- IP-трафик ---> | | v | --------------- Больше IP-трафика ---> | v ---------------------------------- Больше IP-трафика --->

Пул Процессы измерения собирает пакеты данных на одном или нескольких Пункты наблюдения, при необходимости фильтрует их и собирает информацию об этих пакетах. An Экспортер затем собирает каждую из точек наблюдения в Область наблюдения и отправляет эту информацию через протокол IPFIX в Коллектор. Экспортеры и коллекционеры находятся в многие-ко-многим взаимосвязь: один экспортер может отправлять данные нескольким сборщикам, а один сборщик может получать данные от многих экспортеров.[2]

Протокол

Подобно протоколу NetFlow, IPFIX считает поток быть любым количеством пакетов, наблюдаемых в определенном временном интервале и имеющих ряд свойств, например "тот же источник, тот же пункт назначения, тот же протокол". Используя IPFIX, такие устройства, как маршрутизаторы, могут информировать центральную станцию ​​мониторинга о своем видении потенциально более крупной сети.

IPFIX - это протокол push, т.е. каждый отправитель будет периодически отправлять сообщения IPFIX настроенным получателям без какого-либо взаимодействия со стороны получателя.

Фактический состав данных в сообщениях IPFIX в значительной степени зависит от отправителя. IPFIX знакомит получателя с составом этих сообщений с помощью специальных Шаблоны. Отправитель также может свободно использовать определяемые пользователем типы данных в своих сообщениях, поэтому протокол является свободно расширяемым и может адаптироваться к различным сценариям.

IPFIX предпочитает Протокол передачи управления потоком (SCTP) как его транспортный уровень протокол, но также позволяет использовать Протокол управления передачей (TCP) или же Протокол дейтаграмм пользователя (UDP).

Пример

Простой набор информации, отправленный через IPFIX, может выглядеть так:

Исходные пакеты назначения ------------------------------------------ 192.168.0.201 192.168. 0,1 235192.168.0.202 192.168.0.1 42

Этот набор информации будет отправлен в следующем сообщении IPFIX:

Биты 0..15Биты 16..31
Версия = 0x000aДлина сообщения = 64 байта
Отметка времени экспорта = 2005-12-31 23:59:60
Порядковый номер = 0
ID домена наблюдения = 12345678
Установить ID = 2 (шаблон)Установить длину = 20 байтов
ID шаблона = 256Количество полей = 3
Тип = sourceIPv4AddressДлина поля = 4 байта
Тип = destinationIPv4AddressДлина поля = 4 байта
Тип = packetDeltaCountДлина поля = 4 байта
Установить ID = 256 (набор данных
с использованием шаблона 256)		Установить длину = 28 байтов
Запись 1, поле 1 = 192.168.0.201
Запись 1, Поле 2 = 192.168.0.1
Запись 1, поле 3 = 235 пакетов
Запись 2, поле 1 = 192.168.0.202
Запись 2, Поле 2 = 192.168.0.1
Запись 2, поле 3 = 42 пакета

Как видно, сообщение содержит заголовок IPFIX и два набора IPFIX: один набор шаблонов, который вводит создание используемого набора данных, а также один набор данных, который содержит фактические данные. Когда IPFIX отправляется по протоколу, который сохраняет состояние сеанса (TCP или SCTP), набор шаблонов не нужно повторно передавать, поскольку он буферизуется в коллекторах. Поскольку набор шаблонов может изменяться с течением времени, его необходимо повторно передать, если установлено новое состояние сеанса или если IPFIX отправляется через UDP, который является бессессионным протоколом.

Смотрите также

Рекомендации

  1. ^ Хофстеде, Рик; Селеда, Павел; Траммелл, Брайан; Драго, Идилио; Садре, Рамин; Сперотто, Анна; Прас, Айко (2014). «Объяснение мониторинга потока: от захвата пакетов до анализа данных с помощью NetFlow и IPFIX». Обзоры и учебные пособия по коммуникациям IEEE. 16 (4): 2037–2064. Дои:10.1109 / COMST.2014.2321898. S2CID 14042725.
  2. ^ Журнал коммуникаций IEEE,http://ieeexplore.ieee.org.lcproxy.shu.ac.uk/stamp/stamp.jsp?tp=&arnumber=5741152

внешняя ссылка