La exportación de información de flujo de protocolo de Internet (IPFIX) es un protocolo del IETF , así como el nombre del grupo de trabajo del IETF que define el protocolo. Fue creado en base a la necesidad de un estándar común y universal de exportación para el flujo de información del Protocolo de Internet desde enrutadores , sondas y otros dispositivos que son utilizados por sistemas de mediación, sistemas de contabilidad/facturación y sistemas de gestión de red para facilitar servicios como medición, contabilidad. y facturación. El estándar IPFIX define cómo se formateará y transferirá la información del flujo de IP de un exportador a un recopilador. [1] Anteriormente, muchos operadores de redes de datos confiaban en la tecnología NetFlow patentada por Cisco Systems para exportar información sobre el flujo de tráfico.
Los requisitos de los estándares IPFIX se describieron en el RFC 3917 original. Cisco NetFlow versión 9 fue la base para IPFIX. Las especificaciones básicas para IPFIX están documentadas en RFC 7011 a RFC 7015 y RFC 5103.
La siguiente figura muestra una arquitectura típica de flujo de información en una arquitectura IPFIX:
Exportador IPFIX Collector O--------------------->O | | Observación | Dominio | Medición #1 | Medición #2 O----------------O----------------O Medición #3 | | | | Observación | Observación | Observación | Punto #1 | Punto #2 | Punto #3 v | |---- Tráfico IP ---> | | v |--------------- Más tráfico IP ---> | v---------------------------------- Más tráfico IP --->
Un conjunto de procesos de medición recopila paquetes de datos en uno o más puntos de observación , opcionalmente los filtra y agrega información sobre estos paquetes. Luego, un exportador reúne cada uno de los puntos de observación en un dominio de observación y envía esta información a través del protocolo IPFIX a un recopilador . Los exportadores y los recopiladores están en una relación de muchos a muchos : un exportador puede enviar datos a muchos recopiladores y un recopilador puede recibir datos de muchos exportadores.[2]
De manera similar al protocolo NetFlow, IPFIX considera que un flujo es cualquier número de paquetes observados en un intervalo de tiempo específico y que comparten una serie de propiedades, por ejemplo, " mismo origen, mismo destino, mismo protocolo ". Usando IPFIX, dispositivos como enrutadores pueden informar a una estación central de monitoreo sobre su visión de una red potencialmente más grande.
IPFIX es un protocolo push , es decir, cada remitente enviará periódicamente mensajes IPFIX a los receptores configurados sin ninguna interacción por parte del receptor.
La composición real de los datos en los mensajes IPFIX depende en gran medida del remitente. IPFIX presenta la composición de estos mensajes al receptor con la ayuda de plantillas especiales . El remitente también es libre de utilizar tipos de datos definidos por el usuario en sus mensajes, por lo que el protocolo es libremente extensible y puede adaptarse a diferentes escenarios.
IPFIX prefiere el Protocolo de transmisión de control de transmisión (SCTP) como protocolo de capa de transporte , pero también permite el uso del Protocolo de control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP) .
Un conjunto de información simple enviado a través de IPFIX podría verse así:
Paquetes de origen y destino------------------------------------------192.168.0.201 192.168.0.1 235192.168.0.202 192.168.0.1 42
Este conjunto de información se enviaría en el siguiente mensaje IPFIX:
Como puede verse, el mensaje contiene el encabezado IPFIX y dos conjuntos IPFIX: un conjunto de plantillas que presenta la creación del conjunto de datos utilizado, así como un conjunto de datos que contiene los datos reales. Cuando IPFIX se envía a través de un protocolo que mantiene un estado de sesión (TCP o SCTP), no es necesario retransmitir el conjunto de plantillas ya que está almacenado en el búfer de los recopiladores. Dado que el conjunto de plantillas puede cambiar con el tiempo, debe retransmitirse si se establece un nuevo estado de sesión o si IPFIX se envía a través de UDP, que es un protocolo sin sesión.