Internet Protocol Flow Information Export
Internet Protocol Flow Information Export (IPFIX), eine Verbesserung von Cisco Systems' Netflow Protokoll, wird von der IETF entwickelt, um den Austausch von Flow-Information zu standartisieren. Als ein Flow werden dabei Pakete eines Datentroms bezeichnet, die gemeinsame Eigenschaften wie z.B. "gleiche Quelle, gleiches Ziel und gleiches Protokoll" aufweisen. Mittels IPFIX kann nun z.B. ein Router Informationen über seine Sicht der aktuellen Netzauslastung an eine zentrale Monitoringstation schicken, die auf diese Informationen geeignet reagieren kann. IPFIX ist ein reines Push-Protokoll, d.h. die sendende Station schickt von sich aus in regelmäßigen Abständen IPFIX Datenpakete.
Die Zusammensetzung von IPFIX Datenpaketen ist dem Sender weitgehend freigestellt, da in IPFIX vor dem Versand von Flow-Information den Aufbau der Pakete mittels Templates bekannt macht. Auch die in Datenpaketen verwendeten Datentypen sind frei erweiterbar.
IPFIX bevorzugt als Transportprotokoll SCTP, die alternative Nutzung von TCP oder UDP ist aber auch vorgesehen.
Architektur
Die Architektur eines IPFIX Informationsflusses sieht typischerweise so aus:
...-IPFIX---+
|
Metering, |
Exporter | Collector
X----------IPFIX---+------->X
|
| Observation Point
v
---- IP Traffic --->
Ein Metering Process sammelt am Observation Point Datenpakete, filtert sie gegebenenfalls vor und aggregiert Informationen über diese Pakete. Diese Informationen werden dann vom Exporter and den Collector verschickt. Dabei besteht eine Many-to-Many Beziehung zwischen Exporter und Collector, d.h. ein Exporter kann sowohl mehrere Collectors beliefern als auch ein Collector Informationen von mehreren Exportern beziehen.
Beispiel
Ein einfacher, mittels IPFIX versendeter Datensatz könnte z.B. so aussehen:
Quelle Ziel Pakete ------------------------------------------ 192.168.0.201 192.168.0.1 235 192.168.0.202 192.168.0.1 42 192.168.0.1 192.168.0.201 23 192.168.0.1 192.168.0.202 1
Weblinks