Definition

Was ist IPFIX (Internet Protocol Flow Information Export)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - stock.adobe.com)

Internet Protocol Flow Information Export ist eine Weiterentwicklung des NetFlow-Protokolls und ermöglicht die Flow-basierte Analyse des Datenverkehrs in IP-Netzen. IPFIX ist in mehreren RFCs spezifiziert und definiert einen Protokollstandard zur Übermittlung der Flow-Statistiken an die Kollektoren in einem vorgegebenen Format.

Die Abkürzung für Internet Protocol Flow Information Export lautet IPFIX. Es handelt sich um ein Protokoll zum Austausch von Netzwerküberwachungsinformationen und zur Flow-basierten Analyse des Verkehrs in Netzwerken. Es wurde von der IETF (Internet Engineering Task Force) als eine Weiterentwicklung des ursprünglich von Cisco konzipierten NetFlow-Protokolls der Version 9 in den RFCs 3917, 5103, 7011 und 7015 spezifiziert. Der RFC 5153 enthält die IPFIX Implementation Guidelines.

Inhalt der Standards sind unter anderem das Protokoll und das Datenformat zur Übertragung der Informationen an einen oder mehrere IPFIX-Kollektoren. Ein wesentlicher Vorteil gegenüber NetFlow ist, dass das Format der Informationen und die Definition eines IP-Flows wesentlich flexibler sind. Die Flow-Informationen können von Netzwerkgeräten wie Routern, Firewalls, Probes oder Layer-3-Switches gesammelt, aggregiert und exportiert werden. Die übermittelten Informationen erlauben neben der Netzüberwachung und Verkehrsanalyse auch das Accounting und Billing von Netzwerkleistungen. Internet Protocol Flow Information Export ist herstellerübergreifend einsetzbar. So unterstützen beispielsweise Geräte der Hersteller Cisco, Juniper Networks, Citrix und vieler weiterer den Standard.

Was ist ein IP-Flow?

Basis für Netzwerkmonitoring, Verkehrsanalysen, Billing oder Accounting mit IPFIX bilden die IP-Flows. Ein IP-Flow ist eine Gruppe von IP-Datenpaketen, bei denen bestimmte Attribute gleich sind. So können beispielsweise alle Pakete mit gleicher IP-Quell- und IP-Ziel-Adresse als ein Flow betrachtet werden. Je nach Thematik und Erfassungsmethode kommen neben den IP-Adressen verschiedene weitere Attribute zur Bestimmung eines Flows zum Einsatz. Typische Attribute eines IP-Flows sind:

  • die empfangende Schnittstelle eines Layer-3-Geräts
  • die Absender-IP-Adresse
  • die Ziel-IP-Adresse
  • der UDP- oder TCP-Quellport
  • der UDP- oder TCP-Zielport
  • die IP-Protokoll-ID
  • der Servicetyp des IP-Pakets (DiffServ-Wert)

Ein Flow kann auch so definiert sein, dass all diese sieben Merkmale der betrachteten IP-Pakete identisch sein müssen.

Funktionsweise und Architektur von IPFIX

Erhoben werden die Flow-Daten von einem Prozess auf dem jeweiligen Layer-3-Gerät wie einem Router oder einer Firewall. Der Prozess analysiert die empfangenen und weitergeleiteten IP-Pakete hinsichtlich der im vorigen Kapitel beschriebenen Attribute und sammelt für jeden erkannten Flow Informationen wie die Anzahl der übertragenen Pakete und Bytes oder die Zeitstempel.

Je nach Implementierung werden die Flow-Informationen zunächst für eine bestimmte Zeit in einem Cache zwischengespeichert und anschließend über einen Export-Prozess an einen Kollektor versandt. Ein oder mehrere Kollektoren sammeln die Daten aller im Netz vorhandenen IPFIX-Messstellen, aggregieren diese und stellen sie einer IPFIX-Analyseanwendung zur Verfügung.

Zur Übertragung der Flow-Informationen an die Kollektoren kommt das Stream Control Transmission Protocol (SCTP) als Transportprotokoll zum Einsatz. Aber auch das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) können verwendet werden. Die Nachrichten bestehen aus einem Header, einem nachfolgenden Template-Set und den eigentlichen Daten im Data-Set. Das Template-Set informiert den Kollektor über den Aufbau des Data-Sets. Es wird vom Kollektor zwischengespeichert und muss nicht in jeder Nachricht mitgesendet werden.

Unterscheidung von IPFIX und NetFlow

NetFlow wurde ursprünglich von Cisco entwickelt und ist in der Version 9 als offener Standard im RFC 3954 spezifiziert. Wie IPFIX handelt es sich um ein Protokoll zur Erfassung und Auswertung des Datenverkehrs von Routern oder Layer-3-Switches in Form von IP-Flows. Internet Protocol Flow Information Export ist eine Weiterentwicklung von NetFlow und als herstellerunabhängiger, universeller Standard nutzbar. Ein wesentlicher Unterschied zwischen den beiden Protokollen ist, dass IPFIX einen variablen Aufbau der übertragenen Flow-Informationen erlaubt. Über Templates kann der Sender den Kollektor informieren, wie die Nachricht aufgebaut ist und welche Datentypen enthalten sind. Dadurch ist das Protokoll flexibel, einfach erweiterbar und lässt sich leicht unterschiedlichen Anforderungen anpassen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

ERSPAN-Support als Sender und Empfänger

Allegro Network Multimeter 2.4.0

ERSPAN-Support als Sender und Empfänger

Allegro Packets hat seinen Network Multimeter um neue Analysemodule erweitert. Mit dem Firmware-Release 2.4.0 wird nun auch ERSPAN unterstützt. Das u.a. von Cisco- und VMware-vSphere-Switches verwendete Spiegelungsprotokoll baut auf IP und GRE auf kann damit über ein WAN geroutet werden. lesen

400G-Plattformen für die Transformation von Cloud-Netzwerken

Switches für alle Layer eines Netzwerks

400G-Plattformen für die Transformation von Cloud-Netzwerken

Die von Arista Networks neu entwickelte Switch-Serie Arista 7800R3 sowie die aktualisierten Serien 7500R3 und 7280R3 unterstützen 100G- und 400G-Ethernet und bieten laut Hersteller neueste Telemetrie. Das Betriebssystem EOS sorge für Verbesserungen bei Routing, Sicherheit und Automatisierung. lesen

ETA ersetzt im Datacenter DPI

Encrypted Traffic Analytics vs. Deep Packet Inspection

ETA ersetzt im Datacenter DPI

Die Ära der Netzwerküberwachung auf der Basis von Deep Packet Inspection neigt sich in Rechenzentren ihrem Ende zu. Encrypted Traffic Analytics, kurz ETA, füllt diese Lücke. Um die Gunst der IT-Entscheider buhlen neben dem Platzhirsch Cisco mit „Stealthwatch Enterprise“ auch zwei aufstrebende Spezialisten für das Maschinelle Lernen. lesen

OpManager Plus vereint fünf Module

All-in-One-Netzwerkmanagement

OpManager Plus vereint fünf Module

Im Software-Paket OpManager Plus vereint ManageEngine fünf Lösungen für das Netzwerkmanagement in einem Produkt: Nutzer überwachen damit NetFlow-Daten, Netzwerkgerätekonfigurationen, IP-Adressen sowie Switch-Ports und werten Log-Daten von Firewalls aus. lesen

Gigamon und VMware erweitern GigaSECURE

Automatisierte Visibility-Policies für SDDC

Gigamon und VMware erweitern GigaSECURE

Gigamon verkündet eine erweiterte Zusammenarbeit mit VMware. Kunden versprechen die Anbieter eine GigaSECURE Security Delivery Platform, die für NSX-basierte Rechenzentren optimiert ist. lesen

Hilfe! Ich habe ein Alptraum-System geerbt!

Krisenmanagement bei Alt-Systemen

Hilfe! Ich habe ein Alptraum-System geerbt!

IT-Profis kennen dieses Problem: Man fängt bei einem neuen Arbeitgeber an und erbt dementsprechend auch ein bereits vorhandenes System. Man verzweifeln allerdings an der bisherigen Konfiguration der Server, Anwendungen und Dienste, denn das System, das der Vorgänger hinterlassen hat, ist ein Alptraum. lesen

So verwenden und verwalten Sie virtuelle Switches in VMware

Distributed und Standard Switches verstehen

So verwenden und verwalten Sie virtuelle Switches in VMware

Geht es um die Einrichtung der Infrastruktur mit VMware vSphere, müssen Administratoren auch planen, wie sie die Netzwerkanbindung vornehmen. Für virtuelle Server und deren Virtualisierungs-Hosts gibt es in erster Linie Standard-Switches und Distributed-Switches. In diesem Beitrag zeigen wir, was es mit diesen beiden Varianten auf sich hat. lesen

BYOD – Schutzmaßnahmen für die Hintertür ins Firmennetz

Gefährdung trotz Intrusion Detection, Firewalls und Zugriffssteuerung?

BYOD – Schutzmaßnahmen für die Hintertür ins Firmennetz

Mit Bring Your Own Device halten private Mobilgeräte in Unternehmensnetze Einzug – und dies auch dann, wenn im Unternehmen keine offizielle BYOD-Firmenstrategie existiert. In jedem Fall entstehen mit BYOD aber enorme Sicherheitsprobleme, denen begegnet werden muss! Don Thomas Jacob, Head Geek bei SolarWinds, zeigt wie. lesen

Netzwerkbedrohungen 2014 – sind Sie Freiwild?

Neue IT-Technologien bedeuten neue Gefahren

Netzwerkbedrohungen 2014 – sind Sie Freiwild?

IT-Services, die Cloud, das Internet der Dinge oder auch die Telearbeit über VPNs, WLAN-Hotspots und mobile Geräte haben zu einer fast grenzenlosen Vernetzung geführt. Kaum ein Unternehmensnetzwerk operiert noch ausschließlich innerhalb der eigenen Firewall. Vor welchen Bedrohungen müssen sich Arbeitgeber heute besonders in Acht nehmen? lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46375100 / Definitionen)