Guia de configuração flexível do NetFlow, Cisco IOS Release 15E
Resumo
O artigo discute o Guia de Configuração para o Flowflow Flexível no Cisco IOS Release 15E. Ele fornece informações sobre os dispositivos suportados pelo NetFlow Analyzer e o tipo de fluxo que eles exportam. Ele também abrange o suporte para o NetFlow em roteadores e interruptores da Cisco, bem como outros dispositivos de fornecedores. O artigo explora o suporte da versão 9 do NetFlow e fornece detalhes sobre o formato de configuração e exportação. Conclui com informações sobre como encontrar informações sobre recursos e usar o Cisco Feature Navigator.
Pontos chave
- Analisador de netflow aproveita vários tipos de informações de fluxo para fornecer visibilidade ao tráfego de rede.
- Os roteadores da Cisco suportados incluem 7200 e 7500 Series, RSP 7200 Series e mais.
- O NetFlow também é suportado pela Cisco Switches, incluindo Switches da Catalyst Series e Meraki.
- Os dispositivos que não suportam o NetFlow incluem Cisco 2900, 3500, 3660 e 3750.
- A exportação do NetFlow é suportada em outros comutadores Cisco com NFFC ou RSM/RSFC.
- O formato de exportação IPFIX flexível do NetFlow permite usar o protocolo de exportação IPFIX.
- A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
- Encontre as informações do recurso usando a ferramenta de pesquisa de bugs e as notas de liberação.
- Use o Cisco Feature Navigator para suporte de imagem de plataforma e software.
Perguntas e respostas
1. Que tipos de informações de fluxo fazem alavancagem do analisador NetFlow?
Analisador de netflow alavanca no NetFlow®, SFLOW®, CFLFLED®, J-FLOW®, IPFIX®, NetStream® e Cisco NBAR® Informações.
2. Quais roteadores da Cisco são suportados pelo NetFlow Analyzer?
O NetFlow Analyzer suporta a Cisco 7200 e 7500 Series, RSP 7200 Series e mais.
3. Existem switches da Cisco que suportam a exportação do NetFlow?
Sim, o NetFlow é suportado pela Cisco Catalyst Series Switches and Meraki.
4. Quais dispositivos não suportam o NetFlow?
Cisco 2900, 3500, 3660 e 3750 não suportam o NetFlow.
5. Como a exportação do NetFlow pode ser suportada em outros interruptores da Cisco?
A exportação do NetFlow pode ser suportada em outros interruptores da Cisco usando uma placa de recurso NetFlow (NFFC) ou Módulo de Switch de rota (RSM) com a placa de destaque (RSFC) da Route Switch (RSFC).
6. Qual é o formato de exportação do IPFIX do NetFlow flexível usado para?
O formato de exportação IPFIX do NetFlow flexível permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX.
7. Que tipo de exportação é suportada para campos extraídos da NBAR?
A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
8. Como pode ser encontrado informações sobre o recurso?
As informações de recurso podem ser encontradas usando a ferramenta de pesquisa de bugs e as notas de lançamento da plataforma e liberação de software.
9. O Cisco Feature Navigator pode ser usado para encontrar suporte de imagem de plataforma e software?
Sim, o Cisco Feature Navigator pode ser usado para encontrar informações sobre suporte da plataforma e suporte à imagem da Cisco Software.
10. A linguagem sem preconceitos é usada no conjunto de documentação?
Sim, o conjunto de documentação se esforça para usar a linguagem livre de viés e define livre de viés como linguagem que não implica discriminação com base em vários fatores.
11. Qual é o objetivo do livro “Guia de configuração do Flexible NetFlow, Cisco IOS Release 15E”?
O livro serve como um guia de configuração para o Flowflow flexível no Cisco IOS Release 15E.
12. Qual é o protocolo IPFIX derivado de?
O protocolo IPFIX foi derivado do netflow v9.
13. Quais são alguns dispositivos suportados por outros fornecedores para o NetFlow?
Outros dispositivos de fornecedores que suportam o NetFlow incluem Alaxala Networks AX7800R, AX7800S, AX7700R, AX5400S, FIREWALL DE BARRACUDA NG, Série Alpina 3800 e muito mais.
14. É o netflow versão 9 suportado?
Sim, o NetFlow versão 9 é suportado.
15. O que está incluído no capítulo “Formato de exportação Flexible NetFlow IPFIX”?
O capítulo inclui informações sobre como encontrar informações sobre recursos, a visão geral do formato de exportação, a configuração do exportador de fluxo e as configurações de exemplo.
Guia de configuração flexível do NetFlow, Cisco IOS Release 15E
IPFIX foi derivado do netflow v9. As especificações padrão do IPFIX (RFC 5101 e RFC 5102) foram co-autorizadas por Benoit Clais, que também é co-autor do NetFlow V9 RFC (RFC 3954).
Analisador NetFlow – Dispositivos suportados
Analisador de netflow alavanca em NetFlow®, SFLOW®, CFLFLED®, J-FLOW®, IPFIX®, NetStream® e Cisco NBAR® Informações exportadas dos dispositivos de roteamento e comutação para fornecer visibilidade aprofundada nos principais Talkers and Applications em sua rede. A tabela abaixo lista o conjunto de dispositivos de vários fornecedores e o tipo de fluxo que eles exportam.
Roteadores da Cisco
| Versão de liberação de software Cisco iOS | Plataformas de hardware Cisco suportadas |
| 11.1CA, 11.1cc | Série Cisco 7200 e 7500, série RSP 7200 |
| 12.0 | Cisco 1720, 2600, 3600, 4500, 4700, AS5800 |
Série RSP 7000 e 7200
Série UBR 7200 e 7500
Série RSP 7000 e 7200
Série UBR 7200 e 7500
Série RSP 7000 e 7200
Série UBR 7200 e 7500
4700, AS5300, AS5800
Série RSP 7000 e 7200
Série UBR 7200 e 7500
O NetFlow também é suportado por esses dispositivos Cisco 800, 1700, 1800, 2800, 3800, 6500, 7300, 7600, 10000, CRS-1 e esses switches da série Catalyst: 45xx, 55xx, 6xxx, 9300 e Cisco meraki.
Esses dispositivos não suportam NetFlow: Cisco 2900, 3500, 3660, 3750.
Switches da Cisco
A exportação do NetFlow também é suportada em outros interruptores da Cisco ao usar uma placa de recurso do NetFlow (NFFC) ou NFFC II e o módulo de switch de rota (RSM) ou placa de recurso de switch de rota (RSFC). No entanto, verifique se a versão 5 é suportada, pois a maioria dos comutadores exporta versão 7 por padrão.
Suporte da versão 9 do NetFlow
Outros fornecedores
AX7800R, AX7800S, AX7700R, AX5400S REFERENTE O SITE ALAXALA NETWORKS
Série Bigiron, Fastiron Series, Ironint Series, Netiron Series, Secureiron Series, Serveriron Series
Firewall Barracuda Ng (firmware 5.2.3 e acima)
!-Rex 16gi & 24gi e 24gi-combo
Série Alpine 3800, Blackdiamond 6800 Series, Blackdiamond 8800 Series, Blackdiamond 10808, Blackdiamond 12804c, Blackdiamond 12804r, Summit X450 Series, Summit I Series I
S3300 Series, S3400 Series, S3900 Series
Para consultas sobre o trabalho com outros dispositivos, contato
Guia de configuração flexível do NetFlow, Cisco IOS Release 15E
A documentação conjunta para este produto se esforça para usar a linguagem sem preconceitos. Para os propósitos deste conjunto de documentação, o preconceito é definido como linguagem que não implica discriminação com base na idade, incapacidade, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Exceções podem estar presentes na documentação devido ao idioma que é codificado nas interfaces do usuário do software de produto, linguagem usada com base na documentação da RFP ou idioma usado por um produto de terceiros referenciados. Saiba mais sobre como a Cisco está usando o idioma inclusivo.
Conteúdo do livro
Conteúdo do livro
- Formato de exportação IPFIX do NetFlow flexível
- Exportação de fluxo flexível para um endereço IPv6
Encontre partidas neste livro
Faça login para salvar o conteúdo
idiomas disponíveis
Baixar opções
Título do livro
Guia de configuração flexível do NetFlow, Cisco IOS Release 15E
Formato de exportação IPFIX do NetFlow flexível
- PDF – Livro completo (2.01 MB) PDF – Este capítulo (1.24 MB) Veja com o Adobe Reader em uma variedade de dispositivos
Resultados
Atualizado: 14 de janeiro de 2018
CAPÍTULO: Formato flexível de exportação do IPFIX do NetFlow
Conteúdo do capítulo
- Encontrar informações sobre recursos
- Informações sobre o formato de exportação Flexible NetFlow IPFIX
- Visão geral flexível do formato de exportação do NetFlow IPFIX
- Configurando o exportador de fluxo
- Exemplo: Configurando o Formato de Exportação IPFIX Flexível do NetFlow
Formato de exportação IPFIX do NetFlow flexível
O recurso de formato de exportação IPFIX flexível do NetFlow permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
- Encontrar informações sobre recursos
- Informações sobre o formato de exportação Flexible NetFlow IPFIX
- Como configurar o formato de exportação IPFIX flexível do NetFlow
- Exemplos de configuração para o formato de exportação Flexible NetFlow IPFIX
- Informações do recurso para FLOFFLOW FLEXIBLE: Formato de exportação IPFIX
Encontrar informações sobre recursos
Seu lançamento de software pode não suportar todos os recursos documentados neste módulo. Para obter as mais recentes advertências e informações sobre recursos, consulte a ferramenta de pesquisa de bugs e as notas de lançamento para sua plataforma e liberação de software. Para encontrar informações sobre os recursos documentados neste módulo e ver uma lista dos lançamentos nos quais cada recurso é suportado, consulte a tabela de informações do recurso no final deste módulo.
Use o Cisco Feature Navigator para encontrar informações sobre suporte da plataforma e suporte de imagem do software Cisco. Para acessar o Cisco Feature Navigator, vá para www.Cisco.com/go/cfn. Uma conta na Cisco.com não é necessário.
Informações sobre o formato de exportação Flexible NetFlow IPFIX
Visão geral flexível do formato de exportação do NetFlow IPFIX
IPFIX é um padrão IETF baseado no netflow v9.
O recurso de formato de exportação IPFIX flexível do NetFlow permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
Como configurar o formato de exportação IPFIX flexível do NetFlow
Configurando o exportador de fluxo
Execute esta tarefa necessária para configurar o exportador de fluxo.
Cada exportador de fluxo suporta apenas um destino. Se você deseja exportar os dados para vários destinos, você deve configurar vários exportadores de fluxo e atribuí -los ao monitor de fluxo.
Você pode exportar para um destino usando um endereço IPv4 ou IPv6.
2. Configurar terminal
3. Exportador de fluxo Nome do exportador
4. Descrição Descrição
7. DSCP DSCP
8. Número de interface do tipo interface de origem
10. Rometas de saída
11. Timeout de dados do modelo segundos
12. Transporte UDP UDP-PORT
13. TTL segundos
15. mostrar o nome do exportador de fluxo de fluxo
16. Mostre o nome do exportador de fluxo de consumo de execução-config
Dispositivo> ativar
Ativa o modo executivo privilegiado.
Dispositivo# Configurar Terminal
Entra no modo de configuração global.
Dispositivo (config)# Exportador de fluxo 1
Cria o exportador de fluxo e entra no modo de configuração flexível de fluxo de fluxo de netflow.
Dispositivo (Config-Flow-Exporter)# Descrição Exporta para o Datacenter
(Opcional) configura uma descrição para o exportador que aparecerá na configuração e na exibição do comando de exportador de fluxo do show.
Dispositivo (Config-Flow-Exporter)# Destino 172.16.10.2
Especifica o endereço IP ou o nome do host do sistema de destino para o exportador.
Você pode exportar para um destino usando um endereço IPv4 ou IPv6.
Dispositivo (Config-Flow-Exporter)# Export-Protocol NetFlow-V9
Especifica a versão do protocolo de exportação do NetFlow usado pelo exportador. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
Dispositivo (Config-Flow-Exporter)# DSCP 63
(Opcional) Configura parâmetros de Código de Código de Serviços Diferenciados (DSCP) para datagramas enviados pelo Exportador.
- O intervalo para o argumento do DSCP é de 0 a 63. Padrão: 0.
Dispositivo (Config-Flow-Exporter)# Fonte Ethernet 0/0
(Opcional) Especifica a interface local da qual o exportador usará o endereço IP como endereço IP de origem para datagramas exportados.
Dispositivo (Config-Flow-Exporter)# Opção Exportador Timeout 120
(Opcional) configura os parâmetros de dados das opções para o exportador.
- Você pode configurar as três opções simultaneamente.
- O intervalo para o argumento dos segundos é de 1 a 86.400. Padrão: 600.
Dispositivo (config-fl-flul-exporter)# fumadas de saída
(Opcional) permite o envio de pacotes de exportação usando a qualidade de serviço (QoS) e criptografia.
Dispositivo (Config-Flow-Exporter)# Modelo Data Timeout 120
(Opcional) configura a ressecamento de modelos com base em um tempo limite.
- O intervalo para o argumento dos segundos é de 1 a 86400 (86400 segundos = 24 horas).
Dispositivo (Config-Flow-Exporter)# Transporte UDP 650
Especifica a porta UDP na qual o sistema de destino está ouvindo datagramas exportados.
Dispositivo (Config-Flow-Exporter)# TTL 15
(Opcional) configura o valor de tempo de vida (TTL) para datagramas enviados pelo exportador.
Dispositivo (config-flul-exporter)# final
Exits Flow Exports Configuration Mode e retorna ao modo executivo privilegiado.
Dispositivo# Show Flow Export Flow_exporter-1
(Opcional) exibe o status atual do exportador de fluxo especificado.
Dispositivo# Mostrar exportador de fluxo de configuração de execução Flow_exporter-1
(Opcional) exibe a configuração do exportador de fluxo especificado.
Exemplos de configuração para o formato de exportação Flexible NetFlow IPFIX
Exemplo: Configurando o Formato de Exportação IPFIX Flexível do NetFlow
O exemplo a seguir mostra como configurar o formato de exportação do IPFIX para o FLOFFLOW FLEXIBLE.
Esta amostra começa no modo de configuração global:
! Exportador de Flow Exportador 1 Destino 172.16.10.2 Exportar-protocolo IPFIX Transporte UDP 90 Saída ! Monitor de fluxo Fluxo-monitor-1 Registro NetFlow IPv4 Exportador de entrada original da entrada 1 ! IP CEF ! Interface Ethernet 0/0 Endereço IP 172.16.6.2 255.255.255.0 Monitor de fluxo IP Entrada de fluxo-monitor-1 !
Informações do recurso para FLOFFLOW FLEXIBLE: Formato de exportação IPFIX
A tabela a seguir fornece informações de liberação sobre o recurso ou recursos descritos neste módulo. Esta tabela lista apenas o lançamento do software que introduziu o suporte para um determinado recurso em um determinado trem de liberação de software. A menos que seja observado o contrário, as liberações subsequentes desse trem de liberação de software também suportam que o recurso.
Use o Cisco Feature Navigator para encontrar informações sobre suporte da plataforma e suporte de imagem do software Cisco. Para acessar o Cisco Feature Navigator, vá para www.Cisco.com/go/cfn. Uma conta na Cisco.com não é necessário.
FLOWFFLOW FLEXIBLE: IPFIX Formato de exportação
Cisco iOS 15.2 (2) e
Permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
O seguinte comando foi introduzido: protocolo de exportação .
Formato de exportação IPFIX do NetFlow flexível
O recurso de formato de exportação IPFIX flexível do NetFlow permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
- Encontrar informações sobre recursos
- Informações sobre o formato de exportação Flexible NetFlow IPFIX
- Como configurar o formato de exportação IPFIX flexível do NetFlow
- Exemplos de configuração para o formato de exportação Flexible NetFlow IPFIX
- Informações do recurso para FLOFFLOW FLEXIBLE: Formato de exportação IPFIX
Encontrar informações sobre recursos
Seu lançamento de software pode não suportar todos os recursos documentados neste módulo. Para obter as mais recentes advertências e informações sobre recursos, consulte a ferramenta de pesquisa de bugs e as notas de lançamento para sua plataforma e liberação de software. Para encontrar informações sobre os recursos documentados neste módulo e ver uma lista dos lançamentos nos quais cada recurso é suportado, consulte a tabela de informações do recurso no final deste módulo.
Use o Cisco Feature Navigator para encontrar informações sobre suporte da plataforma e suporte de imagem do software Cisco. Para acessar o Cisco Feature Navigator, vá para www.Cisco.com/go/cfn. Uma conta na Cisco.com não é necessário.
Informações sobre o formato de exportação Flexible NetFlow IPFIX
Visão geral flexível do formato de exportação do NetFlow IPFIX
IPFIX é um padrão IETF baseado no netflow v9.
O recurso de formato de exportação IPFIX flexível do NetFlow permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
Como configurar o formato de exportação IPFIX flexível do NetFlow
Configurando o exportador de fluxo
Execute esta tarefa necessária para configurar o exportador de fluxo.
Cada exportador de fluxo suporta apenas um destino. Se você deseja exportar os dados para vários destinos, você deve configurar vários exportadores de fluxo e atribuí -los ao monitor de fluxo.
Você pode exportar para um destino usando um endereço IPv4 ou IPv6.
Etapas de resumo
2. Configurar terminal
3. Exportador de fluxo Nome do exportador
4. Descrição Descrição
7. DSCP DSCP
8. Número de interface do tipo interface de origem
10. Rometas de saída
11. Timeout de dados do modelo segundos
12. Transporte UDP UDP-PORT
13. TTL segundos
15. mostrar o nome do exportador de fluxo de fluxo
16. Mostre o nome do exportador de fluxo de consumo de execução-config
Dispositivo> ativar
Ativa o modo executivo privilegiado.
Dispositivo# Configurar Terminal
Entra no modo de configuração global.
Dispositivo (config)# Exportador de fluxo 1
Cria o exportador de fluxo e entra no modo de configuração flexível de fluxo de fluxo de netflow.
Dispositivo (Config-Flow-Exporter)# Descrição Exporta para o Datacenter
(Opcional) configura uma descrição para o exportador que aparecerá na configuração e na exibição do comando de exportador de fluxo do show.
Dispositivo (Config-Flow-Exporter)# Destino 172.16.10.2
Especifica o endereço IP ou o nome do host do sistema de destino para o exportador.
Você pode exportar para um destino usando um endereço IPv4 ou IPv6.
Dispositivo (Config-Flow-Exporter)# Export-Protocol NetFlow-V9
Especifica a versão do protocolo de exportação do NetFlow usado pelo exportador. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
Dispositivo (Config-Flow-Exporter)# DSCP 63
(Opcional) Configura parâmetros de Código de Código de Serviços Diferenciados (DSCP) para datagramas enviados pelo Exportador.
- O intervalo para o argumento do DSCP é de 0 a 63. Padrão: 0.
Dispositivo (Config-Flow-Exporter)# Fonte Ethernet 0/0
(Opcional) Especifica a interface local da qual o exportador usará o endereço IP como endereço IP de origem para datagramas exportados.
Dispositivo (Config-Flow-Exporter)# Opção Exportador Timeout 120
(Opcional) configura os parâmetros de dados das opções para o exportador.
- Você pode configurar as três opções simultaneamente.
- O intervalo para o argumento dos segundos é de 1 a 86.400. Padrão: 600.
Dispositivo (config-fl-flul-exporter)# fumadas de saída
(Opcional) permite o envio de pacotes de exportação usando a qualidade de serviço (QoS) e criptografia.
Dispositivo (Config-Flow-Exporter)# Modelo Data Timeout 120
(Opcional) configura a ressecamento de modelos com base em um tempo limite.
- O intervalo para o argumento dos segundos é de 1 a 86400 (86400 segundos = 24 horas).
Dispositivo (Config-Flow-Exporter)# Transporte UDP 650
Especifica a porta UDP na qual o sistema de destino está ouvindo datagramas exportados.
Dispositivo (Config-Flow-Exporter)# TTL 15
(Opcional) configura o valor de tempo de vida (TTL) para datagramas enviados pelo exportador.
Dispositivo (config-flul-exporter)# final
Exits Flow Exports Configuration Mode e retorna ao modo executivo privilegiado.
Dispositivo# Show Flow Export Flow_exporter-1
(Opcional) exibe o status atual do exportador de fluxo especificado.
Dispositivo# Mostrar exportador de fluxo de configuração de execução Flow_exporter-1
(Opcional) exibe a configuração do exportador de fluxo especificado.
Exemplos de configuração para o formato de exportação Flexible NetFlow IPFIX
Exemplo: Configurando o Formato de Exportação IPFIX Flexível do NetFlow
O exemplo a seguir mostra como configurar o formato de exportação do IPFIX para o FLOFFLOW FLEXIBLE.
Esta amostra começa no modo de configuração global:
! Exportador de Flow Exportador 1 Destino 172.16.10.2 Exportar-protocolo IPFIX Transporte UDP 90 Saída ! Monitor de fluxo Fluxo-monitor-1 Registro NetFlow IPv4 Exportador de entrada original da entrada 1 ! IP CEF ! Interface Ethernet 0/0 Endereço IP 172.16.6.2 255.255.255.0 Monitor de fluxo IP Entrada de fluxo-monitor-1 !
Informações do recurso para FLOFFLOW FLEXIBLE: Formato de exportação IPFIX
A tabela a seguir fornece informações de liberação sobre o recurso ou recursos descritos neste módulo. Esta tabela lista apenas o lançamento do software que introduziu o suporte para um determinado recurso em um determinado trem de liberação de software. A menos que seja observado o contrário, as liberações subsequentes desse trem de liberação de software também suportam que o recurso.
Use o Cisco Feature Navigator para encontrar informações sobre suporte da plataforma e suporte de imagem do software Cisco. Para acessar o Cisco Feature Navigator, vá para www.Cisco.com/go/cfn. Uma conta na Cisco.com não é necessário.
FLOWFFLOW FLEXIBLE: IPFIX Formato de exportação
Cisco iOS 15.2 (2) e
Permite o envio de pacotes de exportação usando o protocolo de exportação IPFIX. A exportação de campos extraídos da NBAR é suportada apenas por IPFIX.
O seguinte comando foi introduzido: protocolo de exportação .
NetFlow para segurança cibernética
Neste capítulo de amostra de CCNA Cyber Ops SecOps 210-255 Guia oficial de certificação, Os leitores aprendem a configurar o Basic NetFlow em um dispositivo Cisco. O conteúdo também abrange o IPFIX padrão da indústria, bem como como o NetFlow é usado para segurança cibernética e resposta a incidentes.
Do livro
Ipfix
A Exportação de Informações de Fluxo do Protocolo da Internet (IPFIX) é um padrão de fluxo de rede liderado pela Força -Tarefa de Engenharia da Internet (IETF). O IPFIX foi criado para desenvolver um padrão comum de exportação universal para informações de fluxo de roteadores, interruptores, firewalls e outros dispositivos de infraestrutura. IPFIX define como as informações de fluxo devem ser formatadas e transferidas de um exportador para um colecionador. IPFIX está documentado no RFC 7011 a RFC 7015, bem como RFC 5103. Cisco Netflow Versão 9 é a base e o ponto de referência principal para IPFIX. IPFIX altera algumas das terminologias do NetFlow, mas em essência elas são os mesmos princípios do NetFlow V9.
As diferentes versões do NetFlow, bem como cada um dos componentes, tipos de pacotes e outras informações detalhadas, são abordadas no capítulo 2, “forense.”
O IPFIX define elementos diferentes que são colocados em 12 grupos de acordo com sua aplicabilidade:
- Identificadores
- Configuração do processo de medição e exportação
- Estatísticas do processo de medição e exportação
- Campos de cabeçalho IP
- Campos de cabeçalho de transporte
- Campos de cabeçalho sub-IP
- Propriedades de pacotes derivados
- Propriedades de fluxo min/max
- Timestamps de fluxo
- Contadores por fluxo
- Propriedades de fluxo diversas
- Preenchimento
IPFIX é considerado um protocolo push. Cada dispositivo habilitado para IPFIX envia regularmente mensagens IPFIX para colecionadores configurados (receptores) sem qualquer interação pelo receptor. O remetente controla a maior parte da orquestração das mensagens de dados do IPFIX. IPFIX apresenta o conceito de modelos, que compõem essas mensagens de dados de fluxo para o receptor. O IPFIX também permite que o remetente use tipos de dados definidos pelo usuário em suas mensagens. O IPFIX prefere o protocolo de transmissão de controle de fluxo (SCTP) como seu protocolo de camada de transporte; No entanto, ele também suporta o uso do Protocolo de Controle de Transmissão (TCP) ou Mensagens de Protocolo de Datagrama do Usuário (UDP).
Os registros tradicionais da Cisco NetFlow geralmente são exportados por meio de mensagens UDP. O endereço IP do coletor do NetFlow e a porta UDP de destino devem ser configurados no dispositivo de envio. O NetFlow Standard (RFC 3954) não especifica uma porta de escuta do NetFlow específica. A porta UDP padrão ou mais comum usada pelo NetFlow é a porta UDP 2055, mas outras portas, como 9555, 9995, 9025 e 9026, também podem ser usadas. Porta UDP 4739 é a porta padrão usada pelo ipfix.
Arquitetura IPFIX
O IPFIX usa a seguinte terminologia de arquitetura:
- Processo de medição (MP): Gera registros de fluxo de pacotes em um ponto de observação. TIMESTAMPS, amostras e classifica os fluxos. O MP também mantém os fluxos em uma estrutura de dados internos e passa informações completas de fluxo para um processo de exportação (EP).
- Processo de Exportação (EP): Envia registros de fluxo via IPFIX de um ou mais MPS para um ou mais processos de coleta (CPS).
- Processo de coleta (CP): Recebe registros via IPFIX de um ou mais EPs.
Mediadores do IPFIX
IPFIX apresenta o conceito de mediadores. Os mediadores coletam, transformam e reexportam fluxos IPFIX para um ou mais colecionadores. Seu principal objetivo é permitir mensagens da federação de ipfix. Os mediadores incluem um processo intermediário (IMP) que permite o seguinte:
- Para que os dados do NetFlow sejam mantidos anonimamente
- Para que os dados do NetFlow sejam agregados
- Filtragem de dados do NetFlow
- Proxy de tráfego na web
- Tradução IP
Modelos IPFIX
Um modelo IPFIX descreve a estrutura dos registros de dados de fluxo em um conjunto de dados. Os modelos são identificados por um ID de modelo, que corresponde ao ID definido no cabeçalho definido do conjunto de dados. Modelos são compostos de “elemento de informação (ou seja) e comprimento” pares. Ies Forneça informações do tipo de campo para cada modelo.
Um modelo de informação padrão abrange quase todos os casos de uso de coleta de fluxo comum, como o seguinte:
- O tradicional 5-tuple (endereço IP de origem, endereço IP de destino, porta de origem, porta de destino e protocolo IP)
- Tratamento de pacotes, como endereços IP IP IP IP, BGP Destination ASN e outros
- Timestamps para resolução de nanossegundos
- Campos de cabeçalho IPv4, IPv6, ICMP, UDP e TCP
- Campos de cabeçalho sub-IP, como o endereço MAC de origem e o identificador de serviço da rede local sem fio (WLAN) (SSID)
- Vários contadores (contagem de delta de pacotes, contagens totais de conexão, melhores conversantes e assim por diante)
- Informações sobre metadados de fluxo, como interfaces de entrada e saída, direção de fluxo e informações de roteamento e encaminhamento virtual (VRF)
Existem inúmeros outros definidos no site da Autoridade de Números da Internet (IANA): http: // www.IANA.org/atribuições/ipfix/ipfix.xhtml.
Modelos de opção
Os modelos de opção são um tipo diferente de modelo IPFIX usado para definir registros referidos como “opções” que estão associados a um escopo especificado. Um escopo pode definir uma entidade na arquitetura IPFIX, incluindo o processo de exportação, outros modelos ou uma propriedade de uma coleção de fluxos. Os registros de fluxo descrevem os fluxos, e os registros de opções definem coisas diferentes dos fluxos, como os seguintes:
- Informações sobre a infraestrutura de coleta
- Metadados sobre fluxos ou um conjunto de fluxos
- Outras propriedades de um conjunto de fluxos
Introdução ao protocolo de transmissão de controle de fluxo (SCTP)
O IPFIX usa o SCTP, que fornece um serviço de transporte de pacotes projetado para suportar vários recursos além dos recursos TCP ou UDP. Esses recursos incluem o seguinte:
- Fluxos de pacotes
- Extensão de confiabilidade parcial (PR)
- Entrega não ordenada de pacotes ou registros
- Camada de transporte multihoming
Muitos se referem ao SCTP como uma máquina de estado mais simples (em comparação com os recursos fornecidos pelo TCP) com um “à la carte” Seleção de recursos. PR-SCTP fornece um transporte confiável com um mecanismo para pular retransmissões de pacotes. Permite vários aplicativos com diferentes requisitos de confiabilidade para executar na mesma associação de fluxo. Em outras palavras, combina a melhor confiabilidade do UDP, enquanto ainda fornece controle de congestionamento do tipo TCP. O SCTP garante que os modelos IPFIX sejam enviados de maneira confiável, melhorando o atraso de ponta a ponta. A RFC 6526 apresenta recursos adicionais, como contagem de queda por templos com confiabilidade parcial e reutilização de modelo rápido.
NetFlow e IPFix Comparish
IPFIX foi derivado do netflow v9. As especificações padrão do IPFIX (RFC 5101 e RFC 5102) foram co-autorizadas por Benoit Clais, que também é co-autor do NetFlow V9 RFC (RFC 3954).
O IPFIX apresenta várias extensões, as mais populares são as Identificadores de elemento de informação. Esses identificadores são compatíveis com o Tipos de campo Usado pelo netflow v9 sobre o qual você aprendeu nas seções anteriores deste capítulo.
Existem vários conceitos semelhantes entre o NetFlow V9 e o IPFIX. O primeiro identificador no netflow v9 é chamado In_bytes, e no ipfix é chamado OCTTDELTACOUNT.
Como você aprendeu anteriormente neste capítulo, o NetFlow V9 possui 127 tipos de campo. O IPFIX define 238, muitos dos quais são os mesmos dos definidos no NetFlow V9. O IPFIX permite que um ID do fornecedor seja especificado, pelo qual o fornecedor pode colar informações proprietárias no netflow.
O recurso Cisco Flexible NetFlow IPFIX Export Format.
