IPFIX
پروتکل IPFIX(Internet Protocol Flow Information Export) یک پروتکل IETF و نام گروه کاری IETF است که پروتکل را تعریف میکند. این بر اساس نیاز به یک استاندارد مشترک و جهانی تبدیل شده که اطلاعات فلوهای IP از روترها، پروبها و دیگر دستگاههایی که توسط سیستمهای واسط، سیستمهای حسابداری/صورتحسابی و سیستمهای مدیریت شبکه را برای تسهیل خدماتی مانند اندازهگیری، حسابداری و ارائه می دهد. استاندارد IPFIX نحوه فرمتبندی و انتقال اطلاعات جریان IP را از یک فرستنده به یک گیرنده تعریف میکند.
IPFIX flow exporter
یک صادرکننده جریان IPFIX یک مؤلفه است که اطلاعات جریان شبکه را از دستگاه به یک مجموعه دهنده یا تجزیه و تحلیل کننده برای تحلیل، تصویرسازی و گزارش دهی بیشتر جمعآوری و ارسال میکند.
اطلاعات جریان شامل اطلاعاتی درباره ترافیک شبکه نظیر آدرسهای IP مبدأ و مقصد، پورتها، انواع پروتکل، تعداد بسته و بایت، timestamp و دادههای فراداده مربوط دیگر میشود. صادرکنندگان جریان IPFIX میتوانند با استفاده از گزینههای فیلترکردن و نمونهبرداری مختلف تنظیم شوند تا مقدار دادههایی که صادر میشود را کاهش دهند و بهرهوری و مقیاسپذیری را افزایش دهند.
دستورات
flow exporter
دستور flow exporter برای تعیین پارامترهای است که برای ارسال به سمت گیرنده اطلاعات IPFIX لازم داریم .
destination A.B.C.D
مقصدی که اطلاعات به آن ارسال میشود
source A.B.C.D
مبدا بسته های IPFIX . بدیهی است این IP باید در روتر وجود داشته باشد
transport udp (1-65535)
شماره پورت UDP که بسته ها به آن پورت ارسال می شوند .
توجه
پورت پیش 4739 است .
IPFIX flow monitor
دستورات
flow monitor
به تنظیمات flow monitor وارد می شوید .
cache timeout active (1-604800)
حداکثر زمانی که یک flow ی فعال می تواند در حالت active cache باقی بماند و پس از آن ارسال شود را مشخص می کند
توجه
مقدار پیش فرض 120 است.
cache timeout inactive (1-604800)
حداکثر زمانی که یک flow ی غیر فعال می تواند در حالت inactive cache باقی بماند و پس از آن حذف شود را مشخص می کند
توجه
مقدار پیش فرض 20 است .
record netflow <ipv4|ipv6> prefix-port
شروع به ضبط flow ها طبق الگوی 5 تایی (source address, destination address, protocol, source port و destination port) می کند .
اعمال در اینترفیس
ip flow monitor {output|input}
flow moitor را در اینترفیس اعمال می کند .
input: اطلاعات flow های ورودی به اینترفیس را جمع آوری می کند
output: اطلاعات flow های خروجی از اینترفیس را جمع آوری می کند
در مثال زیر یک flow exporter تعریف کرده ایم که مبدا و مقصد بسته های IPFIX را در آن مشخص کرده ایم بین ترتیب که بسته های IPFIX که حاوی اطلاعات flow ها هستند از طریق اینترفیس ge3 با مبدا 192.168.1.10 و مقصد 192.168.1.20 و udp port مقصد 15200 ارسال می شوند .
در بخش flow monitor تایمر های مد نظر را تنظیم کرده ایم . flow های فعال تا 120 ثانیه cache می شوند و پس از آن ارسال می شوند و flow های غیر فعال پس از گذشت 45 ثانیه حذف می شوند .
و در نهایت flow monitor را در اینترفیس ge0 و برای مانیتور کردن بسته های خروجی از اینترفیس اعمال کرده ایم.
soodar(config)# interface ge3
soodar(config-if)# ip address 192.168.1.10/24
soodar(config-if)# flow exporter
soodar(config-flow-exporter)# destination 192.168.1.20
soodar(config-flow-exporter)# source 192.168.1.10
soodar(config-flow-exporter)# transport udp 15200
----------------------------------------------
soodar(config-flow-exporter)# flow monitor
soodar(config-flow-monitor)# cache timeout active 120
soodar(config-flow-monitor)# cache timeout inactive 45
soodar(config-flow-monitor)# record netflow ipv4 prefix-port
----------------------------------------------
soodar(config-flow-monitor)# interface ge0
soodar(config-if)# ip flow monitor output