IPFIX

编辑 锁定 讨论999
IPFIX全称为IP Flow Information Export,即IP数据流信息输出,它是由IETF公布的用于网络中的流信息测量的标准协议。
中文名
IPFIX
外文名
IP Flow Information Export
作    用
刻画网络传输
基    于
基于“流”的概念

IPFIX1.1 IPFIX技术概况

编辑
基于流的技术被越来越广泛地用于刻画网络传输流,它在设置QoS 策略、部署应用和进行容量规划上都有着巨大的价值。但是,网络管理员却缺少一种输出传输流的标准格式。
该协议主要在于:
l 统一 IP数据流的统计、输出标准,这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。
l 输出格式具有较强的可扩展性,因此如果流量监控的要求发生改变,网络管理员也可通过修改相应配置来实现,不必升级网络设备软件或管理工具。
IPFIX 定义的格式以Cisco Netflow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(Exporter)传送到收集器(Collector)。因为IPFIX 是一种针对数据流特征分析、基于模板的格式输出的协议,因此具有很强的可扩展性,对于不同的需求都可以定义不同的数据格式。
为了较完整的输出数据,IPFIX 缺省使用网络设备的七个关键域来表示每股网络流量:
l 源 IP 地址
l 目的IP 地址
l TCP/UDP 源端口
l TCP/UDP 目的端口
l 三层协议类型
l 服务类型(Type-of-service)字节
l 输入逻辑接口
如果不同的IP 报文中所有的七个关键域都匹配,那么这些IP 报文都将被视为属于同一股流量。通过记录网络中这些流量的特征,如流量持续时间、流量中报文平均长度等, 我们可以了解到当前网络的应用情况,并根据这些信息对网络进行优化,安全检测,流量计费。 [1] 

IPFIX1.2 IPFIX技术组网

编辑
IPFIX 是基于“流”的概念,一个流是指,来自相同的子接口,有相同的源和目的IP 地址,协议类型,相同的源和目的协议端口号,以及相同ToS 的报文,通常为5 元组。IPFIX 会记录这个流的统计信息,包括:时间戳报文数,总的字节数。IPFIX 主要包括三个设备Export、Collector、Analyzer,三个设备之间的关系如下。
l Export对网络流进行分析处理,提取符合条件的流统计信息,并将统计信息输出Collector
l Collector 负责解析Export的数据报文,把统计数据收集到数据库中,可供Analyser 进行解析。
l Analyser 从Collector 中提取统计数据,进行后续处理,为各种业务提供依据,以图形界面的形式显示出来

IPFIX1.3 IPFIX技术价值

编辑
1. IPFIX 统一了流量监控标准,通过使用单一的、一致的模型,简化了流输出架构。
随着 IPFIX 标准更广泛地为网络设备厂商采用,网络管理员不用再为支持多个流报告应用而
操心,每个应用都有自己的流输出格式。IPFIX 让他们可以使用一个符合这项标准的流报告应
用程序。此外,IPFIX 的可扩展性使得网络管理员不必在传输流监测或报告需求发生变化时修
改或升级设备配置。
2. IPFIX 标准关注网络升级时的流输出可扩展性。随着 MPLS、IPv6 和多播路由等网络技术的日益普及,管理员也需要更好地了解它们对网络环境的影响,这种可扩展性就变得越来越重要。为了确保这种可扩展性的轻松实现,IPFIX 兼容设备将输出模板,这些模板详细说明那些为输出而配置的流“特征”。流的采集和报告应用程序可以被用来读取这些模板,以了解哪些“特征”被输出,因此网络管理员不需要调整应用程序配置。
3. IPFIX RFC定义了不同的流输出应用,包括基于使用的统计、传输流分布、传输流工程、攻击/入侵检测和QoS监测。
例如,支持IPFIX 的流报告应用程序通过读取服务类型字节流“特征”,可以显示每一个等级的QoS 服务会消费多少网络传输流。此外,流量报告应用还可以显示应用和用户如何根据服务类型策略分类。支持IPFIX 攻击/入侵检测的应用将能够提供基准协议(Baseline)和地址数据来确定网络异常现象。
4. IPFIX 描述对于流量输出至关重要的众多规则,包括时间戳时间同步、流终止、数据包分段和多播流行为。例如,传送多播应用流的IPFIX 兼容设备应当输出反映每一个进入设备接口的流记录。此外,这类设备应当输出通过多播传送给同一台设备上所有输出接口每个数据包的流记录。同使用多播输出行为一样,RFC 中列出的其他规则使网络设备厂商可以更好地了解IPFIX 标准的支持要求,以及它如何在已有的技术中实现集成。

IPFIX1.4 IPFIX技术应用

编辑
Usage-based Accounting(基于使用流量的计费)
在网络运营商中的流量计费一般只是简单的基于每用户的上传、下载流量。由于IPFIX可以精确到目的IP、协议端口等字段,今后的流量计费就可以基于应用服务的特点来分段收费。当然,协议中也说明了,IPFIX 是报文统计是“采样”的,在许多应用场合(如骨干层),数据流统计并不是越精细越好,出于网络设备的性能考虑,采样率不能过小,因此并不需要提供完全精确可靠的流量计费。但在网络运营商级别,计费单位一般都是百兆以上,IPFIX 的采样精度能满足相关需求。
Traffic Profiling、Traffic Engineering:流量概图、流量工程
IPFIX Exporter 的记录输出,IPFIX Collector 可以以各种图表形式输出非常丰富的流量记录信息,这就是Traffic Profiling的概念。然而,只是信息的记录,还无法利用IPFIX 的强大功能,IETF同时推出了Traffic Engineering的概念:在实际运营网络中,经常规划了负载均衡和冗余备份,但各种协议一般都是按网络规划时预定的路线、或协议原理进行调整。而如果采用IPFIX 监控网络中的流量,发现某段时间某些数据流较大,可以汇报给网络管理员进行流量调整,以分配、调整更多的网络带宽供给相关应用服务使用,减少负载不均的情况发生。甚至于,可以更智能把路由调整、带宽分配、安全策略等设置规则直接绑定到IPFIXCollector 上的操作上,自动完成网络流量调整。
Attack/Intrusion Detection:攻击/入侵检测
述第二点的描述,我们也已经能推理出IPFIX 可以根据流量特点,进行网络攻击的检测(比如典型的IP扫描、端口扫描、DDOS攻击)。而采样标准的IPFIX 协议,还可以像一般主机端病毒防护一样,采用“特征库”升级来阻止最新的网络攻击。
QoS Monitoring:网络服务质量的监控
典型的QOS参数有:
l 丢包情况:loss [RFC2680],
l 单向延时:one-way delay[RFC2679]
l 往返延时:round-trip delay [RFC2681]
l 延时变化:delay variation [RFC3393]
以往的技术很难实时地监控上述信息,而通过IPFIX 的各种自定义字段、监控时间间隔就可
以很容易的监控各种报文的上述数值。
这一点是IPFIX 比较深入的应用,目前看属于未来技术。IETF还成立了IPPM(IP Performance
Metrics)工作组配合相关方向的标准推进。

IPFIX1.5 总结

编辑
IPFIX 作为目前标准化的一种网络流量监控标准,统一了流量监控标准,通过使用单一的、一
致的模型,简化了流输出架构,它为高速网络用户带来价值,目前此标准逐渐被多个厂家的
网络设备所支持。目前,部分以太网设备上已经提供了IPFIX 功能,后续也会在
网络管理和监控方面提供更加丰富的功能,以满足网络用户在网络管理、网络规划、网络监
控方面的需求。
参考资料
  • 1.    IPFIX  .好词好句[引用日期2017-01-09]