IP 흐름 정보 내보내기

IP Flow Information Export

IPFIX(Internet Protocol Flow Information Export)는 IETF 프로토콜이며 프로토콜을 정의하는 IETF 작업 그룹의 이름입니다.이것은 측정, 회계, 과금 등의 서비스를 용이하게 하기 위해 중개 시스템, 회계/과금 시스템 및 네트워크 관리 시스템에서 사용되는 라우터, 프로브 및 기타 디바이스로부터의 인터넷 프로토콜 흐름 정보에 대한 공통적이고 보편적인 내보내기 표준이 필요하기 때문에 작성되었습니다.IPFIX 표준은 IP 흐름 정보를 포맷하여 익스포터에서 컬렉터로 [1]전송하는 방법을 정의합니다.이전에는 많은 데이터 네트워크 오퍼레이터가 트래픽플로우 정보 내보내기에 시스코 시스템즈의 독자적인 NetFlow 테크놀로지에 의존하고 있었습니다.

IPFIX 표준 요건은 원래의 RFC 3917에 개략적으로 설명되어 있습니다.Cisco NetFlow 버전9는 IPFIX의 기초가 되었습니다.IPFIX의 기본 사양은 RFC 7011~RFC 7015 및 RFC 5103에 기재되어 있습니다.

아키텍처

다음 그림은 IPFIX 아키텍처에서의 정보 흐름의 일반적인 아키텍처를 나타내고 있습니다.

내보내기 IPFIX 수집기 O---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------관찰 관찰 포인트 #1 포인트 #2 포인트 #3 v ----IP 트래픽 ---> v -------------------------------------------------------------------------------------------------------------------------------------------v ----------------------------------------------------------->

미터링 프로세스의 은 하나 이상의 관찰 지점에서 데이터 패킷을 수집하여 선택적으로 필터링하고 이러한 패킷에 대한 정보를 집계합니다.그런 다음 내보내기는 각 관찰 지점을 관찰 도메인으로 수집하고 IPFIX 프로토콜을 통해 이 정보를 수집기로 보냅니다.수출업자와 수집업자는 다대다 관계에 있습니다.하나의 Exporter는 여러 Collector에 데이터를 전송할 수 있으며 하나의 Collector는 여러 Exporter로부터 데이터를 수신할 수 있습니다.[2]

프로토콜

NetFlow Protocol과 마찬가지로 IPFIX는 플로우를 특정 타임슬롯에서 관찰되어 다수의 속성을 공유하는 임의의 수의 패킷으로 간주합니다.예를 들어, 「같은 송신원, 같은 행선지, 같은 프로토콜」입니다.IPFIX 를 사용하면, 라우터등의 디바이스는, 중앙 모니터링 스테이션에, 대규모 네트워크의 표시에 대해 통지할 수 있습니다.

IPFIX는 푸시 프로토콜입니다. 즉, 각 송신자는 수신자의 상호 작용 없이 IPFIX 메시지를 구성된 수신자에게 정기적으로 보냅니다.

IPFIX 메시지의 데이터의 실제 구성은, 송신자에게 크게 좌우됩니다.IPFIX는 특별한 템플릿을 사용하여 이러한 메시지의 구성을 수신자에게 소개합니다.또한 보낸 사람은 메시지에서 사용자 정의 데이터 유형을 자유롭게 사용할 수 있으므로 프로토콜은 자유롭게 확장 가능하며 다양한 시나리오에 적응할 수 있습니다.

IPFIX는 트랜스포트층 프로토콜로서 Stream Control Transmission Protocol(SCTP)선호하지만 Transmission Control Protocol(TCP) 또는 User Datagram Protocol(UDP)을 사용할 수도 있습니다.

IPFIX 를 개입시켜 송신되는 단순한 정보 세트는, 다음과 같습니다.

송신원패킷 --------------------------------------------------------------------------------------------------------------------------------------------------------- 192.168.0.1 235 192.168.0.202 192.1

이 정보 세트는 다음 IPFIX 메시지로 전송됩니다.

비트 0..15 비트 16..31
버전 = 0x000a 메시지 길이 = 64 바이트
내보내기 타임스탬프 = 2005-12-31 23:59:60
시퀀스 번호 = 0
관찰 도메인 ID = 12345678
ID 설정 = 2(템플릿) 길이 = 20 바이트 설정
템플릿 ID = 256 필드 수 = 3
= 소스 입력IPv4 주소 필드 길이 = 4 바이트
= 대상 입력IPv4 주소 필드 길이 = 4 바이트
입력 = packetDeltaCount 필드 길이 = 4 바이트
ID 설정 = 256(데이터 세트)
템플릿 256 사용)		 길이 설정 = 28 바이트
레코드 1, 필드 1 = 192.168.0.201
레코드 1, 필드 2 = 192.168.0.1
레코드 1, 필드 3 = 235 패킷
레코드 2, 필드 1 = 192.168.0.199
레코드 2, 필드 2 = 192.168.0.1
레코드 2, 필드 3 = 42 패킷

이 메시지에는 IPFIX 헤더와 2개의 IPFIX 세트가 포함되어 있습니다.사용하는 데이터 세트의 빌드업을 도입하는 템플릿세트 1개와 실제 데이터를 포함하는 데이터 세트 1개가 포함됩니다.IPFIX가 세션 상태(TCP 또는 SCTP)를 유지하는 프로토콜을 통해 전송되는 경우 템플릿세트는 Collectors에서 버퍼링되므로 재발송할 필요가 없습니다.템플릿 세트는 시간이 지남에 따라 변경될 수 있으므로 새 세션 상태가 확립되거나 세션이 없는 프로토콜인 UDP를 통해 IPFIX가 전송될 경우 다시 전송되어야 합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Hofstede, Rick; Celeda, Pavel; Trammell, Brian; Drago, Idilio; Sadre, Ramin; Sperotto, Anna; Pras, Aiko (2014). "Flow Monitoring Explained: From Packet Capture to Data Analysis with NetFlow and IPFIX". IEEE Communications Surveys & Tutorials. 16 (4): 2037–2064. doi:10.1109/COMST.2014.2321898. S2CID 14042725.
  2. ^ IEEE 커뮤니케이션 매거진, http://ieeexplore.ieee.org.lcproxy.shu.ac.uk/stamp/stamp.jsp?tp=&arnumber=5741152

외부 링크