Suchen

Definition Was ist IPFIX (Internet Protocol Flow Information Export)?

Internet Protocol Flow Information Export ist eine Weiterentwicklung des NetFlow-Protokolls und ermöglicht die Flow-basierte Analyse des Datenverkehrs in IP-Netzen. IPFIX ist in mehreren RFCs spezifiziert und definiert einen Protokollstandard zur Übermittlung der Flow-Statistiken an die Kollektoren in einem vorgegebenen Format.

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Die Abkürzung für Internet Protocol Flow Information Export lautet IPFIX. Es handelt sich um ein Protokoll zum Austausch von Netzwerküberwachungsinformationen und zur Flow-basierten Analyse des Verkehrs in Netzwerken. Es wurde von der IETF (Internet Engineering Task Force) als eine Weiterentwicklung des ursprünglich von Cisco konzipierten NetFlow-Protokolls der Version 9 in den RFCs 3917, 5103, 7011 und 7015 spezifiziert. Der RFC 5153 enthält die IPFIX Implementation Guidelines.

Inhalt der Standards sind unter anderem das Protokoll und das Datenformat zur Übertragung der Informationen an einen oder mehrere IPFIX-Kollektoren. Ein wesentlicher Vorteil gegenüber NetFlow ist, dass das Format der Informationen und die Definition eines IP-Flows wesentlich flexibler sind. Die Flow-Informationen können von Netzwerkgeräten wie Routern, Firewalls, Probes oder Layer-3-Switches gesammelt, aggregiert und exportiert werden. Die übermittelten Informationen erlauben neben der Netzüberwachung und Verkehrsanalyse auch das Accounting und Billing von Netzwerkleistungen. Internet Protocol Flow Information Export ist herstellerübergreifend einsetzbar. So unterstützen beispielsweise Geräte der Hersteller Cisco, Juniper Networks, Citrix und vieler weiterer den Standard.

Was ist ein IP-Flow?

Basis für Netzwerkmonitoring, Verkehrsanalysen, Billing oder Accounting mit IPFIX bilden die IP-Flows. Ein IP-Flow ist eine Gruppe von IP-Datenpaketen, bei denen bestimmte Attribute gleich sind. So können beispielsweise alle Pakete mit gleicher IP-Quell- und IP-Ziel-Adresse als ein Flow betrachtet werden. Je nach Thematik und Erfassungsmethode kommen neben den IP-Adressen verschiedene weitere Attribute zur Bestimmung eines Flows zum Einsatz. Typische Attribute eines IP-Flows sind:

  • die empfangende Schnittstelle eines Layer-3-Geräts
  • die Absender-IP-Adresse
  • die Ziel-IP-Adresse
  • der UDP- oder TCP-Quellport
  • der UDP- oder TCP-Zielport
  • die IP-Protokoll-ID
  • der Servicetyp des IP-Pakets (DiffServ-Wert)

Ein Flow kann auch so definiert sein, dass all diese sieben Merkmale der betrachteten IP-Pakete identisch sein müssen.

Funktionsweise und Architektur von IPFIX

Erhoben werden die Flow-Daten von einem Prozess auf dem jeweiligen Layer-3-Gerät wie einem Router oder einer Firewall. Der Prozess analysiert die empfangenen und weitergeleiteten IP-Pakete hinsichtlich der im vorigen Kapitel beschriebenen Attribute und sammelt für jeden erkannten Flow Informationen wie die Anzahl der übertragenen Pakete und Bytes oder die Zeitstempel.

Je nach Implementierung werden die Flow-Informationen zunächst für eine bestimmte Zeit in einem Cache zwischengespeichert und anschließend über einen Export-Prozess an einen Kollektor versandt. Ein oder mehrere Kollektoren sammeln die Daten aller im Netz vorhandenen IPFIX-Messstellen, aggregieren diese und stellen sie einer IPFIX-Analyseanwendung zur Verfügung.

Zur Übertragung der Flow-Informationen an die Kollektoren kommt das Stream Control Transmission Protocol (SCTP) als Transportprotokoll zum Einsatz. Aber auch das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) können verwendet werden. Die Nachrichten bestehen aus einem Header, einem nachfolgenden Template-Set und den eigentlichen Daten im Data-Set. Das Template-Set informiert den Kollektor über den Aufbau des Data-Sets. Es wird vom Kollektor zwischengespeichert und muss nicht in jeder Nachricht mitgesendet werden.

Unterscheidung von IPFIX und NetFlow

NetFlow wurde ursprünglich von Cisco entwickelt und ist in der Version 9 als offener Standard im RFC 3954 spezifiziert. Wie IPFIX handelt es sich um ein Protokoll zur Erfassung und Auswertung des Datenverkehrs von Routern oder Layer-3-Switches in Form von IP-Flows. Internet Protocol Flow Information Export ist eine Weiterentwicklung von NetFlow und als herstellerunabhängiger, universeller Standard nutzbar. Ein wesentlicher Unterschied zwischen den beiden Protokollen ist, dass IPFIX einen variablen Aufbau der übertragenen Flow-Informationen erlaubt. Über Templates kann der Sender den Kollektor informieren, wie die Nachricht aufgebaut ist und welche Datentypen enthalten sind. Dadurch ist das Protokoll flexibel, einfach erweiterbar und lässt sich leicht unterschiedlichen Anforderungen anpassen.

(ID:46375100)

Über den Autor