1 IPFIX技术概述

 

1.1 IPFIX技术概况

 

    基于流的技术被越来越宽泛地用于刻画网络传输流，，，，，，，它在设置QoS战术、部署利用和进行容量规划上都有着巨大的价值。。。。。。但是，，，，，，，网络治理员却短缺一种输出传输流的尺度体式。。。。。。
IPFIX全称为IP Flow Information Export，，，，，，，即IP数据流信息输出，，，，，，，它是由IETF颁布的用于网络中的流信息丈量的尺度和谈。。。。。。该和谈重要在于：

 

    统一IP数据流的统计、输出尺度，，，，，，，这使得网络治理员很容易地提取和查看存储在这些网络设备中的沉要流量统计信息。。。。。。

 

    输出体式拥有较强的可扩大性，，，，，，，因而若是流量监控的要求产生扭转，，，，，，，网络治理员也可通过批改相应配置来实现，，，，，，，不用升级网络设备软件或治理工具。。。。。。

 

    IPFIX界说的体式以Cisco Netflow Version 9数据输出体式作为基础，，，，，，，可使IP流量信息从一个输出器（Exporter）传送到网络器（Collector）。。。。。。由于IPFIX是一种针对数据流特点分析、基于模板的体式输出的和谈，，，，，，，因而拥有很强的可扩大性，，，，，，，对于分歧的需要都能够界说分歧的数据体式。。。。。。

 

    为了较齐全的输出数据，，，，，，，IPFIX缺省使用网络设备的七个关键域来暗示每股网络流量：

 

    源 IP 地址

    主张 IP 地址

    TCP/UDP 源端口

    TCP/UDP 主张端口

    三层和谈类型

    服务类型（Type-of-service）字节

    输入逻辑接口

 

    若是分歧的 IP 报文中所有的七个关键域都匹配，，，，，，，那么这些 IP 报文都将被视为属于统一股流量。。。。。。通过纪录网络中这些流量的特点，，，，，，，如流量持续功夫、流量中报文均匀长度等，，，，，，， 我们能够相识到当前网络的利用情况，，，，，，，并凭据这些信息对网络进行优化，，，，，，，安全检测，，，，，，，流量计费。。。。。。

 

1.2 IPFIX技术组网

 

    IPFIX是基于“流”的概想，，，，，，，一个流是指，，，，，，，来自一样的子接口，，，，，，，有一样的源和主张IP 地址，，，，，，，和谈类型，，，，，，，一样的源和主张和谈端标语，，，，，，，以及一样ToS的报文，，，，，，，通常为5 元组。。。。。。IPFIX会纪录这个流的统计信息，，，，，，，蕴含：功夫戳，，，，，，，报文数，，，，，，，总的字节数。。。。。。

 

    IPFIX重要蕴含三个设备Export、Collector、 Analyzer，，，，，，，三个设备之间的关系如下图所示。。。。。。

 

 

                                  图1-1

 

    Export对网络流进行分析处置，，，，，，，提取切合前提的流统计信息，，，，，，，并将统计信息输出给Collector

 

    Collector掌管解析Export的数据报文，，，，，，，把统计数据网络到数据库中，，，，，，，可供Analyser进行解析。。。。。。

 

    Analyser从Collector中提取统计数据，，，，，，，进行后续处置，，，，，，，为各类业务提供凭据,以图形界面的大局显示出来

 

1.3 IPFIX技术价值

 

    1. IPFIX统一了流量监控尺度，，，，，，，通过使用单一的、一致的模型，，，，，，，简化了流输出架构。。。。。。

 

    随着IPFIX尺度更宽泛地为网络设备厂商选取，，，，，，，网络治理员不用再为支持多个流汇报利用而费神，，，，，，，每个利用都有自己的流输出体式。。。。。。IPFIX让他们能够使用一个切合这项尺度的流汇报利用法式。。。。。。此表，，，，，，，IPFIX的可扩大性使得网络治理员不用在传输流监测或汇报需要产生变动时批改或升级设备配置。。。。。。

 

    2. IPFIX尺度关注网络升级时的流输出可扩大性。。。。。。

 

    随着MPLS、IPv6和多播路由等网络技术的日益遍及，，，，，，，治理员也必要更好地相识它们对网络环境的影响，，，，，，，这种可扩大性就变得越来越沉要。。。。。。为了确保这种可扩大性的轻松实现，，，，，，，IPFIX兼容设备将输出模板，，，，，，，这些模板具体注明那些为输出而配置的流“特点”。。。。。。流的采集和汇报利用法式能够被用来读取这些模板，，，，，，，以相识哪些“特点”被输出，，，，，，，因而网络治理员不必要调整利用法式配置。。。。。。

 

    3. IPFIX RFC界说了分歧的流输出利用，，，，，，，蕴含基于使用的统计、传输流散布、传输流工程、攻击/入侵检测和QoS监测。。。。。。

 

    例如，，，，，，，支持IPFIX的流汇报利用法式通过读取服务类型字节流“特点”，，，，，，，能够显示每一个等级的QoS服务会消费几多网络传输流。。。。。。此表，，，，，，，流量汇报利用还能够显示利用和用户若何凭据服务类型战术分类。。。。。。支持IPFIX攻击/入侵检测的利用将可能提供基准和谈（Baseline）和地址数据来确定网络异常景象。。。。。。

 

    4. IPFIX描述对于流量输出至关沉要的多多规定，，，，，，，蕴含功夫戳、功夫同步、流终止、数据包分段和多播盛行为。。。。。。

 

    例如，，，，，，，传送多播利用流的IPFIX兼容设备该当输出反映每一个进入设备接口的流纪录。。。。。。此表，，，，，，，这类设备该当输出通过多播传送给统一台设备上所有输出接口每个数据包的流纪录。。。。。。同使用多播输出行为一样，，，，，，，RFC中列出的其他规定使网络设备厂商能够更好地相识IPFIX尺度的支持要求,以及它若何在已有的技术中实现集成。。。。。。

 

2 全发国际网络IPFIX技术实现

 

2.1 IPFIX技术根基概想

 

Observation Point、Observation Domain（观测点、观察域）

 

    捕获IP报文的处所。。。。。。具体到设备上，，，，，，，观测点能够指定到互换机或路由器的每个端口上，，，，，，，观测域 则暗示观测点的组合，，，，，，，即线卡、硬件？？？？？？？榈取。。。。。

 

Metering Process（测定过程）

 

    IP数据流的解析处置过程。。。。。。
 

    输入：IP数据流。。。。。。
 

    输出：Flow Records。。。。。。

 

Exporting Process（输出过程）

 

    对流纪录进行处置，，，，，，，整顿成IPFIX报文输出。。。。。。
 

    输入：Flow Records。。。。。。
 

    输出：封装成IPFIX报文发送。。。。。。

 

Sampling Functions（采样职能）

 

    Metering Process中的采样职能，，，，，，，能够对数据流进行N:1的采样，，，，，，，以便对IP数据流进行缩减，，，，，，，在精确度要求不高的场所，，，，，，，削减处置职守。。。。。。

 

Filter Functions（过滤职能）

 

    Metering Process中的过滤职能，，，，，，，能够对数据流进行报文过滤，，，，，，，过滤掉治理员不用关切的报文。。。。。。理论上能够反复进行采样、过滤的几个处置，，，，，，，直到筛选出相宜的IP数据流。。。。。。

 

Collecting Process

 

    IPFIX报文的接管处置。。。。。。Collector掌管处置的过程，，，，，，，网络设备可不关切。。。。。。

 

2.2 IPFIX技术实现

 

    全发国际网络是在RG-S8600、RG-S9600高端互换机上实现IPFIX职能，，，，，，，使用多业务卡来进行IP报文的分析处置。。。。。。

 

    主引擎：重要掌管与其他？？？？？？？楦丛拥慕换ァ。。。。。具体掌管配置治理、传输层和谈封装、发包。。。。。。

 

    多业务卡：高机能的NP板，，，，，，，高效能IP报文解析、统计，，，，，，，组装成IPFIX报文的DATA部门发给主引擎进行传输层封装。。。。。。

 

 

                                    图2-1

 

2.3 设备处置道理

 

    对于网络设备来说，，，，，，，重要处置Metering Process 、Exporting process。。。。。。结合根基概想中的名词，，，，，，，和谈的流程概图如下：

 

 

                                图2-2

 

2.3.1 Metering Process

 

Observation Point收到报文后，，，，，，，直接进入Metering的处置，，，，，，，依序进行以下处置：

 

    1. packet header capturing：

 

    IPFIX并不必要处置全数的报文字段，，，，，，，凭据和谈描述，，，，，，，只有获取报文头（IP层头、传输层头）处置，，，，，，，IP报文能够持续给其他各和谈处置。。。。。。

 

    2. timestamping：

 

    给报文加上功夫戳。。。。。。

 

    3. sampling：

 

    采样：即每n个报文处置一个。。。。。。好比配置1：100暗示每100个报文选 取一个给后续？？？？？？？榇χ谩。。。。。若是是1：1，，，，，，，则暗示处置所有报文。。。。。。

 

    4. filtering：

 

    过滤：凭据治理员的要求，，，，，，，IPFIX可能只针对某一类报文进行后续处置，，，，，，，其他报文不再进行IPFIX处置。。。。。？？？？？？Ｄ芄煌ü鼳CL列表来实现这个需要。。。。。。

 

    5. loopback：

 

    处置完一次的sampling、filtering，，，，，，，还能够凭据治理员配置需要，，，，，，，进行屡次的sampling、filtering操作（算法能够分歧）。。。。。？？？？？？Ｄ芄环锤瓷秆〕鲋卫碓彼匾谋ㄎ摹。。。。。

 

    6. 天生flows

 

    经过上述处置，，，，，，，已经获得到治理员想要的IP报文，，，，，，，就能够天生流纪录给Exporting Process处置。。。。。。

 

流纪录举例如下：
 

 

 

2.3.2 Exporting Process

 

    采集到流纪录后，，，，，，，就能够组装报文发送了。。。。。。这其中没有太多的技术点，，，，，，，但出于配置治理需要，，，，，，，和谈约定还可凭据治理员的特定配置进行更矫捷的输出。。。。。。

 

    以下是Exporting Process的几个步骤流程：

 

    1. 选择模板、流纪录（可选。。。。。

 

    2. 组装报文中的节造信息和数据信息。。。。。。

 

    节造信息蕴含：观察点的域ID（用来标识观测设备上的概想域）、采样算法、采样距离等等，，，，，，，这些信息能协助服务器还原数据流图，，，，，，，统一单元显示。。。。。。

 

    数据信息就是打包好的流纪录、模板等信息。。。。。。

 

    3. 输出IPFIX Message

   

    4. 传输层和谈封装输出

 

2.4 全发国际网络IPFIX技术特点

 

 

                                 图2-3

 

    1. 预处置阶段，，，，，，，IPFIX能够首先凭据网络治理的必要对特定级此外数据流进行过滤或对高速网络端口进行数据包抽样，，，，，，，这样能够在确保必要的治理信息被采集和统计的同时，，，，，，，削减网络设备的处置负荷，，，，，，，增长整系统的可扩大性。。。。。。

 

    2. 选取高机能的NP多业务卡进行高效能IP报文解析、统计，，，，，，，保障IPFIX报文高效传输。。。。。。

 

    3. 原始统计信息进行多种大局的数据汇聚，，，，，，，只把汇总后的统计了局发送给上层治理服务器。。。。。。由网络设备进行原始统计信息的汇聚能够大大削减网络设备输出的数据量，，，，，，，降低对上层治理服务器的配置要求，，，，，，，提高上层治理系统的扩大性和工作效能。。。。。。

 

3 IPFIX技术利用

 

Usage-based Accounting（基于使用流量的计费）

 

    以往在网络运营商中的流量计费通常只是单一的基于每用户的上传、下载流量。。。。。。由于IPFIX能够精确到主张IP、和谈端口等字段，，，，，，，今后的流量计费就能够基于利用服务的特点来分段收费。。。。。。

 

 

 

    当然，，，，，，，和谈中也说了然，，，，，，，IPFIX是报文统计是“采样”的，，，，，，，在很多利用场所（如骨干层），，，，，，，数据流统计并不是越精密越好，，，，，，，出于网络设备的机能思考，，，，，，，采样率不能过幼，，，，，，，因而并不必要提供齐全精确靠得住的流量计费。。。。。。但在网络运营商级别，，，，，，，计费单元通常都是百兆以上，，，，，，，IPFIX的采样精度能满足有关需要。。。。。。

 

Traffic Profiling、Traffic Engineering：流量概图、流量工程

 

    通过IPFIX Exporter的纪录输出，，，，，，，IPFIX Collector能够以各类图表大局输出极度丰硕的流量纪录信息，，，，，，，这就是Traffic Profiling的概想。。。。。。

 

    然而，，，，，，，只是信息的纪录，，，，，，，还无法利用IPFIX的壮大职能，，，，，，，IETF同时推出了Traffic Engineering的概想：在现实运营网络中，，，，，，，时时规划了负载平衡和冗余备份，，，，，，，但各类和谈通常都是按网络规划时预约的路线、或和谈道理进行调整。。。。。。

 

    而若是选取IPFIX监控网络中的流量，，，，，，，发现某段功夫某些数据流较大，，，，，，，能够汇报给网络治理员进行流量调整，，，，，，，以分配、调整更多的网络带宽供给有关利用服务使用，，，，，，，削减负载不均的情况产生。。。。。。 甚至于，，，，，，，能够更智能把路由调整、带宽分配、安全战术等设置规定 直接绑定到IPFIX Collector上的操作上，，，，，，，自动实现网络流量调整。。。。。。

 

Attack/Intrusion Detection：攻击/入侵检测

 

    从上述第二点的描述，，，，，，，我们也已经能推理出IPFIX能够凭据流量特点，，，，，，，进行网络攻击的检测（好比典型的IP扫描、端口扫描、DDOS攻击）。。。。。。而采样尺度的IPFIX和谈，，，，，，，还能够像通常主机端病毒防护一样，，，，，，，选取“特点库”升级来阻止最新的网络攻击。。。。。。

 

QoS Monitoring：网络服务质量的监控

 

典型的QOS参数有：

 

    丢包情况：loss [RFC2680],

 

    单向延时：one-way delay[RFC2679]

    往返延时：round-trip delay [RFC2681]

    延时变动：delay variation [RFC3393]

 

    以往的技术很难实时地监控上述信息，，，，，，，而通过IPFIX的各类自界说字段、监控功夫距离就能够很容易的监控各类报文的上述数值。。。。。。

 

    这一点是IPFIX比力深刻的利用，，，，，，，目前看属于将来技术。。。。。。IETF还成立了IPPM（IP Performance Metrics）工作组共同有关方向的尺度推动。。。。。。

 

4 总结

 

    IPFIX作为目前尺度化的一种网络流量监控尺度，，，，，，，统一了流量监控尺度，，，，，，，通过使用单一的、一致的模型，，，，，，，简化了流输出架构，，，，，，，它为高速网络用户带来价值，，，，，，，目前此尺度逐步被多个厂家的网络设备所支持。。。。。。目前全发国际网络在部门以太网设备上已经提供了IPFIX职能，，，，，，，后续也会在网络治理和监控方面提供越发丰硕的职能，，，，，，，以满足网络用户在网络治理、网络规划、网络监控方面的需要。。。。。。