IPFIX

基於流的技術被越來越廣泛地用於刻畫網路傳輸流，它在設定QoS 策略、部署套用和進行容量規劃上都有著巨大的價值。但是，網路管理員卻缺少一種輸出傳輸流的標準格式。

該協定主要在於：

l 統一 IP數據流的統計、輸出標準，這使得網路管理員很容易地提取和查看存儲在這些網路設備中的重要流量統計信息。

l 輸出格式具有較強的可擴展性，因此如果流量監控的要求發生改變，網路管理員也可通過修改相應配置來實現，不必升級網路設備軟體或管理工具。

IPFIX 定義的格式以Cisco Netflow Version 9數據輸出格式作為基礎，可使IP流量信息從一個輸出器（Exporter）傳送到收集器（Collector）。因為IPFIX 是一種針對數據流特徵分析、基於模板的格式輸出的協定，因此具有很強的可擴展性，對於不同的需求都可以定義不同的數據格式。

為了較完整的輸出數據，IPFIX 預設使用網路設備的七個關鍵域來表示每股網路流量：

l 源 IP 地址

l 目的IP 地址

l TCP/UDP 源連線埠

l TCP/UDP 目的連線埠

l 三層協定類型

l 服務類型（Type-of-service）位元組

l 輸入邏輯接口

如果不同的IP 報文中所有的七個關鍵域都匹配，那么這些IP 報文都將被視為屬於同一股流量。通過記錄網路中這些流量的特徵，如流量持續時間、流量中報文平均長度等， 我們可以了解到當前網路的套用情況，並根據這些信息對網路進行最佳化，安全檢測，流量計費。

IPFIX 是基於“流”的概念，一個流是指，來自相同的子接口，有相同的源和目的IP 地址，協定類型，相同的源和目的協定連線埠號，以及相同ToS 的報文，通常為5 元組。IPFIX 會記錄這個流的統計信息，包括：時間戳，報文數，總的位元組數。IPFIX 主要包括三個設備Export、Collector、Analyzer，三個設備之間的關係如下。

l Export對網路流進行分析處理，提取符合條件的流統計信息，並將統計信息輸出Collector

l Collector 負責解析Export的數據報文，把統計數據收集到資料庫中，可供Analyser 進行解析。

l Analyser 從Collector 中提取統計數據，進行後續處理，為各種業務提供依據,以圖形界面的形式顯示出來

1. IPFIX 統一了流量監控標準，通過使用單一的、一致的模型，簡化了流輸出架構。

隨著 IPFIX 標準更廣泛地為網路設備廠商採用，網路管理員不用再為支持多個流報告套用而

操心，每個套用都有自己的流輸出格式。IPFIX 讓他們可以使用一個符合這項標準的流報告應

用程式。此外，IPFIX 的可擴展性使得網路管理員不必在傳輸流監測或報告需求發生變化時修

改或升級設備配置。

2. IPFIX 標準關注網路升級時的流輸出可擴展性。隨著 MPLS、IPv6 和多播路由等網路技術的日益普及，管理員也需要更好地了解它們對網路環境的影響，這種可擴展性就變得越來越重要。為了確保這種可擴展性的輕鬆實現，IPFIX 兼容設備將輸出模板，這些模板詳細說明那些為輸出而配置的流“特徵”。流的採集和報告應用程式可以被用來讀取這些模板，以了解哪些“特徵”被輸出，因此網路管理員不需要調整應用程式配置。

3. IPFIX RFC定義了不同的流輸出套用，包括基於使用的統計、傳輸流分布、傳輸流工程、攻擊/入侵檢測和QoS監測。

例如，支持IPFIX 的流報告應用程式通過讀取服務類型位元組流“特徵”，可以顯示每一個等級的QoS 服務會消費多少網路傳輸流。此外，流量報告套用還可以顯示套用和用戶如何根據服務類型策略分類。支持IPFIX 攻擊/入侵檢測的套用將能夠提供基準協定（Baseline）和地址數據來確定網路異常現象。

4. IPFIX 描述對於流量輸出至關重要的眾多規則，包括時間戳、時間同步、流終止、數據包分段和多播流行為。例如，傳送多播套用流的IPFIX 兼容設備應當輸出反映每一個進入設備接口的流記錄。此外，這類設備應當輸出通過多播傳送給同一台設備上所有輸出接口每個數據包的流記錄。同使用多播輸出行為一樣，RFC 中列出的其他規則使網路設備廠商可以更好地了解IPFIX 標準的支持要求,以及它如何在已有的技術中實現集成。

Usage-based Accounting（基於使用流量的計費）

在網路運營商中的流量計費一般只是簡單的基於每用戶的上傳、下載流量。由於IPFIX可以精確到目的IP、協定連線埠等欄位，今後的流量計費就可以基於套用服務的特點來分段收費。當然，協定中也說明了，IPFIX 是報文統計是“採樣”的，在許多套用場合（如骨幹層），數據流統計並不是越精細越好，出於網路設備的性能考慮，採樣率不能過小，因此並不需要提供完全精確可靠的流量計費。但在網路運營商級別，計費單位一般都是百兆以上，IPFIX 的採樣精度能滿足相關需求。

Traffic Profiling、Traffic Engineering：流量概圖、流量工程

IPFIX Exporter 的記錄輸出，IPFIX Collector 可以以各種圖表形式輸出非常豐富的流量記錄信息，這就是Traffic Profiling的概念。然而，只是信息的記錄，還無法利用IPFIX 的強大功能，IETF同時推出了Traffic Engineering的概念：在實際運營網路中，經常規劃了負載均衡和冗餘備份，但各種協定一般都是按網路規劃時預定的路線、或協定原理進行調整。而如果採用IPFIX 監控網路中的流量，發現某段時間某些數據流較大，可以匯報給網路管理員進行流量調整，以分配、調整更多的網路頻寬供給相關套用服務使用，減少負載不均的情況發生。甚至於，可以更智慧型把路由調整、頻寬分配、安全策略等設定規則直接綁定到IPFIXCollector 上的操作上，自動完成網路流量調整。

Attack/Intrusion Detection：攻擊/入侵檢測

述第二點的描述，我們也已經能推理出IPFIX 可以根據流量特點，進行網路攻擊的檢測（比如典型的IP掃描、連線埠掃描、DDOS攻擊）。而採樣標準的IPFIX 協定，還可以像一般主機端病毒防護一樣，採用“特徵庫”升級來阻止最新的網路攻擊。

QoS Monitoring：網路服務質量的監控

典型的QOS參數有：

l 丟包情況：loss [RFC2680],

l 單向延時：one-way delay[RFC2679]

l 往返延時：round-trip delay [RFC2681]

l 延時變化：delay variation [RFC3393]

以往的技術很難實時地監控上述信息，而通過IPFIX 的各種自定義欄位、監控時間間隔就可

以很容易的監控各種報文的上述數值。

這一點是IPFIX 比較深入的套用，目前看屬於未來技術。IETF還成立了IPPM（IP Performance

Metrics）工作組配合相關方向的標準推進。

IPFIX 作為目前標準化的一種網路流量監控標準，統一了流量監控標準，通過使用單一的、一

致的模型，簡化了流輸出架構，它為高速網路用戶帶來價值，目前此標準逐漸被多個廠家的

網路設備所支持。目前,部分乙太網設備上已經提供了IPFIX 功能，後續也會在

網路管理和監控方面提供更加豐富的功能，以滿足網路用戶在網路管理、網路規劃、網路監

控方面的需求。