Exportación de información de flujo de protocolo de Internet (IPFIX) es un protocolo IETF , así como el nombre del grupo de trabajo IETF que define el protocolo. Fue creado en base a la necesidad de un estándar común y universal de exportación para la información de flujo del Protocolo de Internet de enrutadores , sondas y otros dispositivos que son utilizados por sistemas de mediación, sistemas de contabilidad / facturación y sistemas de administración de redes para facilitar servicios como medición, contabilidad. y facturación. El estándar IPFIX define cómo se formateará y transferirá la información de flujo de IP de un exportador a un recopilador. [1] Anteriormente, muchos operadores de redes de datos confiaban en la propiedad de Cisco SystemsTecnología NetFlow para la exportación de información de flujo de tráfico.
Los requisitos de los estándares IPFIX se describieron en el RFC 3917 original. Cisco NetFlow Versión 9 fue la base para IPFIX. Las especificaciones básicas para IPFIX están documentadas en RFC 7011 a través de RFC 7015 y RFC 5103.
Arquitectura
La siguiente figura muestra una arquitectura típica de flujo de información en una arquitectura IPFIX:
Exportador Recopilador IPFIX O ---------------------------> O | | Observación | Dominio | Medición # 1 | Medición n. ° 2 O ---------------- O ---------------- O Medición # 3 | | | | Observación | Observación | Observación | Punto # 1 | Punto # 2 | Punto # 3 v | |---- Tráfico IP ---> | | v |--------------- Más tráfico IP ---> | v---------------------------------- Más tráfico IP --->
Un grupo de procesos de medición recopila paquetes de datos en uno o más puntos de observación , opcionalmente los filtra y agrega información sobre estos paquetes. Luego, un exportador reúne cada uno de los puntos de observación en un dominio de observación y envía esta información a través del protocolo IPFIX a un recopilador . Los exportadores y los recopiladores están en una relación de varios a varios : un exportador puede enviar datos a muchos recopiladores y un recopilador puede recibir datos de muchos exportadores. [2]
Protocolo
Similar al protocolo NetFlow, IPFIX considera que un flujo es cualquier número de paquetes observados en un intervalo de tiempo específico y que comparten una serie de propiedades, por ejemplo, " misma fuente, mismo destino, mismo protocolo ". Con IPFIX, los dispositivos como los enrutadores pueden informar a una estación de monitoreo central sobre su visión de una red potencialmente más grande.
IPFIX es un protocolo push , es decir, cada remitente enviará periódicamente mensajes IPFIX a los receptores configurados sin ninguna interacción por parte del receptor.
La composición real de los datos en los mensajes IPFIX depende en gran medida del remitente. IPFIX presenta la composición de estos mensajes al receptor con la ayuda de Plantillas especiales . El remitente también es libre de usar tipos de datos definidos por el usuario en sus mensajes, por lo que el protocolo es extensible libremente y puede adaptarse a diferentes escenarios.
IPFIX prefiere el Protocolo de transmisión de control de transmisión (SCTP) como su protocolo de capa de transporte , pero también permite el uso del Protocolo de control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP) .
Ejemplo
Un conjunto de información simple enviado a través de IPFIX podría tener este aspecto:
Paquetes de destino de origen------------------------------------------192.168.0.201 192.168.0.1 235192.168.0.202 192.168.0.1 42
Este conjunto de información se enviaría en el siguiente mensaje IPFIX:
Bits 0..15 | Bits 16..31 |
---|---|
Versión = 0x000a | Longitud del mensaje = 64 bytes |
Marca de tiempo de exportación = 2005-12-31 23:59:60 | |
Número de secuencia = 0 | |
ID de dominio de observación = 12345678 | |
Establecer ID = 2 (plantilla) | Establecer longitud = 20 bytes |
ID de plantilla = 256 | Número de campos = 3 |
Typ = sourceIPv4Address | Longitud del campo = 4 bytes |
Typ = destinationIPv4Address | Longitud del campo = 4 bytes |
Typ = packetDeltaCount | Longitud del campo = 4 bytes |
Establecer ID = 256 (conjunto de datos usando la plantilla 256) | Establecer longitud = 28 bytes |
Registro 1, campo 1 = 192.168.0.201 | |
Registro 1, campo 2 = 192.168.0.1 | |
Registro 1, campo 3 = 235 paquetes | |
Registro 2, campo 1 = 192.168.0.202 | |
Registro 2, campo 2 = 192.168.0.1 | |
Registro 2, campo 3 = 42 paquetes |
Como puede verse, el mensaje contiene el encabezado IPFIX y dos conjuntos IPFIX: un conjunto de plantillas que presenta la creación del conjunto de datos utilizado, así como un conjunto de datos, que contiene los datos reales. Cuando IPFIX se envía a través de un protocolo que mantiene un estado de sesión (TCP o SCTP), no es necesario retransmitir el conjunto de plantillas, ya que está almacenado en el búfer en los recopiladores. Dado que el conjunto de plantillas puede cambiar con el tiempo, debe retransmitirse si se establece un nuevo estado de sesión o si se envía IPFIX a través de UDP, que es un protocolo sin sesión.
Ver también
Referencias
- ^ Hofstede, Rick; Celeda, Pavel; Trammell, Brian; Drago, Idilio; Sadre, Ramin; Sperotto, Anna; Pras, Aiko (2014). "Explicación de la supervisión de flujo: de la captura de paquetes al análisis de datos con NetFlow e IPFIX" . Encuestas y tutoriales de comunicaciones de IEEE . 16 (4): 2037-2064. doi : 10.1109 / COMST.2014.2321898 . S2CID 14042725 .
- ^ Revista de comunicaciones IEEE, http://ieeexplore.ieee.org.lcproxy.shu.ac.uk/stamp/stamp.jsp?tp=&arnumber=5741152
enlaces externos
- Páginas de estado de IPFIX
- Carta de IETF IPFIX
- Introducción a Network World IPFIX
- RFC3954 - NetFlow Versión 9
- RFC3955 - Protocolos candidatos para la exportación de información de flujo de IP (IPFIX)
- RFC5103 - Exportación de flujo bidireccional mediante la exportación de información de flujo de IP
- RFC5153 - Directrices de implementación de IPFIX
- RFC5470 - Arquitectura para la exportación de información de flujo de IP
- RFC5471 - Directrices para las pruebas de exportación de información de flujo de IP (IPFIX)
- RFC5472 - Aplicabilidad de la exportación de información de flujo de IP (IPFIX)
- RFC5473 - Reducción de la redundancia en los informes de exportación de información de flujo de IP (IPFIX) y muestreo de paquetes (PSAMP)
- RFC7011 - Especificación del protocolo de exportación de información de flujo de IP (IPFIX) para el intercambio de información de flujo de tráfico de IP (IPFIX)
- RFC7012 - Modelo de información para la exportación de información de flujo de IP
- RFC7013 - Directrices para autores y revisores de elementos de información de exportación de información de flujo de IP (IPFIX)
- RFC7014 - Técnicas de selección de flujo
- RFC7015 - Agregación de flujo para el protocolo de exportación de información de flujo de IP (IPFIX)
- Biblioteca para analizar, recopilar y exportar mensajes IPFIX
- Recopilador IPFIX de código abierto empresarial
- Comprensión de la animación del principio NetFlow / IPFIX
- ¿Qué es IPFIX y las diferencias entre Netflow?