Export informací o toku IP - IP Flow Information Export
Export informací o toku internetového protokolu (IPFIX) je IETF protokol, stejně jako název IETF pracovní skupina definování protokolu. Byl vytvořen na základě potřeby společného, univerzálního standardu exportu pro internetový protokol informace o toku z směrovače, sondy a další zařízení, která používají mediační systémy, účetní / fakturační systémy a systémy pro správu sítě k usnadnění služeb, jako je měření, účetnictví a fakturace. Standard IPFIX definuje, jak se mají informace o toku IP formátovat a přenášet z vývozce na sběratele.[1] Dříve se na mnoho provozovatelů datových sítí spoléhali Systémy Cisco ' proprietární Síťový tok technologie pro export informací o toku provozu.
Požadavky standardů IPFIX byly uvedeny v originálu RFC 3917. Cisco Síťový tok Verze 9 byla základem pro IPFIX. Základní specifikace pro IPFIX jsou dokumentovány v RFC 7011 přes RFC 7015, a RFC 5103.
Architektura
Následující obrázek ukazuje typickou architekturu toku informací v architektuře IPFIX:
Exportér IPFIX Collector O ---------------------------> O | | Pozorování | Doména | Měření č. 1 | Měření č. 2 O ---------------- O ---------------- O Měření č. 3 | | | | Pozorování | Pozorování | Pozorování | Bod č. 1 | Bod č. 2 | Bod č. 3 v | | ---- IP provoz ---> | | v | --------------- Více IP provozu ---> | v ---------------------------------- Více IP provozu --->
Pool of Procesy měření shromažďuje datové pakety v jednom nebo více Pozorovací body, volitelně je filtruje a agreguje informace o těchto paketech. An Vývozce poté shromáždí každý z pozorovacích bodů do jednoho Pozorovací doména a odešle tyto informace prostřednictvím protokolu IPFIX do a Kolektor. Vývozci a sběratelé jsou v a mnoho k mnoha vztah: Jeden vývozce může odesílat data mnoha sběratelům a jeden sběratel může přijímat data od mnoha vývozců.[2]
Protokol
Podobně jako NetFlow Protocol, IPFIX považuje a tok být libovolný počet paketů pozorovaných v určitém časovém úseku a sdílejících řadu vlastností, např. "stejný zdroj, stejný cíl, stejný protokol". Pomocí protokolu IPFIX mohou zařízení, jako jsou směrovače, informovat centrální monitorovací stanici o svém pohledu na potenciálně větší síť.
IPFIX je push protokol, tj. každý odesílatel bude pravidelně odesílat zprávy IPFIX nakonfigurovaným příjemcům bez jakékoli interakce ze strany příjemce.
Skutečné složení dat ve zprávách IPFIX je do značné míry na odesílateli. IPFIX zavádí úpravu těchto zpráv do přijímače pomocí speciálních Šablony. Odesílatel také může ve svých zprávách používat uživatelem definované datové typy, takže protokol je volně rozšiřitelný a může se přizpůsobit různým scénářům.
IPFIX preferuje Protokol přenosu řízení toku (SCTP) jako jeho transportní vrstva protokol, ale také umožňuje použití Transmission Control Protocol (TCP) nebo Uživatelský datagramový protokol (UDP).
Příklad
Jednoduchá sada informací odeslaná prostřednictvím protokolu IPFIX může vypadat takto:
Zdrojové cílové pakety ------------------------------------------ 192.168.0.201 192.168. 0.1 235192.168.0.202 192.168.0.1 42
Tato sada informací bude odeslána v následující zprávě IPFIX:
| Bity 0..15 | Bity 16..31 |
|---|---|
| Verze = 0x000a | Délka zprávy = 64 bajtů |
| Časové razítko exportu = 2005-12-31 23:59:60 | |
| Pořadové číslo = 0 | |
| ID domény pozorování = 12345678 | |
| Set ID = 2 (šablona) | Nastavit délku = 20 bajtů |
| ID šablony = 256 | Počet polí = 3 |
| Typ = sourceIPv4Address | Délka pole = 4 bajty |
| Typ = destinationIPv4Address | Délka pole = 4 bajty |
| Typ = packetDeltaCount | Délka pole = 4 bajty |
| ID sady = 256 (datová sada pomocí šablony 256) | Nastavit délku = 28 bajtů |
| Záznam 1, pole 1 = 192.168.0.201 | |
| Záznam 1, pole 2 = 192.168.0.1 | |
| Záznam 1, pole 3 = 235 paketů | |
| Záznam 2, pole 1 = 192.168.0.202 | |
| Záznam 2, pole 2 = 192.168.0.1 | |
| Záznam 2, pole 3 = 42 paketů | |
Jak je vidět, zpráva obsahuje záhlaví IPFIX a dvě sady IPFIX: Jedna sada šablon, která zavádí sestavení použité datové sady, a jednu datovou sadu, která obsahuje skutečná data. Když je IPFIX odesílán přes protokol, který udržuje stav relace (TCP nebo SCTP), nemusí být sada šablon znovu vysílána, protože je ukládána do vyrovnávací paměti v systému Collectors. Vzhledem k tomu, že se sada šablon může časem měnit, je nutné ji znovu vyslat, pokud je vytvořen nový stav relace nebo pokud je IPFIX odesílán přes UDP, což je protokol bez relace.
Viz také
Reference
- ^ Hofstede, Rick; Celeda, Pavel; Trammell, Brian; Drago, Idilio; Sadre, Ramin; Sperotto, Anna; Pras, Aiko (2014). „Vysvětlení monitorování toku: Od zachycování paketů po analýzu dat pomocí NetFlow a IPFIX“. Průzkumy a návody pro komunikaci IEEE. 16 (4): 2037–2064. doi:10.1109 / COMST.2014.2321898. S2CID 14042725.
- ^ IEEE komunikační časopis,http://ieeexplore.ieee.org.lcproxy.shu.ac.uk/stamp/stamp.jsp?tp=&arnumber=5741152
externí odkazy
- Stavové stránky IPFIX
- Charta IETF IPFIX
- Network World IPFIX Úvod
- RFC3954 - NetFlow verze 9
- RFC3955 - Protokoly kandidátů pro export informací o toku IP (IPFIX)
- RFC5103 - Obousměrný export toku pomocí exportu informací o toku IP
- RFC5153 - Pokyny pro implementaci IPFIX
- RFC5470 - Architektura pro export informací o toku IP
- RFC5471 - Pokyny pro testování exportu informací o toku IP (IPFIX)
- RFC5472 - Použitelnost exportu informací o toku IP (IPFIX)
- RFC5473 - Snížení redundance ve zprávách o exportu informací o toku IP (IPFIX) a vzorkování paketů (PSAMP)
- RFC7011 - Specifikace protokolu IPFIX pro export informací o toku provozu (IPFIX)
- RFC7012 - Informační model pro export informací o toku IP
- RFC7013 - Pokyny pro autory a recenzenty informačních prvků exportu informací o toku IP (IPFIX)
- RFC7014 - Techniky výběru toku
- RFC7015 - agregace toku pro protokol IP Flow Information Export (IPFIX)
- Knihovna pro analýzu, sběr a export zpráv IPFIX
- Enterprise Open Source IPFIX Collector
- Principy animace principů NetFlow / IPFIX
- Co je IPFIX a rozdíly mezi Netflow