IPFIX学习笔记

1.1 IPFIX技术概况

     基于流的技术被越来越广泛地用于刻画网络传输流，它在设置QoS 策略、部署应用和进行容量规划上都有着巨大的价值。但是，网络管理员却缺少一种输出传输流的标准格式。
　　IPFIX 全称为IP Flow Information Export，即IP数据流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于：
　　l 统一 IP数据流的统计、输出标准，这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。
　　l 输出格式具有较强的可扩展性，因此如果流量监控的要求发生改变，网络管理员也可通过修改相应配置来实现，不必升级网络设备软件或管理工具。
　　IPFIX 定义的格式以Cisco Netflow Version 9数据输出格式作为基础，可使IP流量信息从一个输出器（Exporter）传送到收集器（Collector）。因为IPFIX 是一种针对数据流特征分析、基于模板的格式输出的协议，因此具有很强的可扩展性，对于不同的需求都可以定义不同的数据格式。
　　为了较完整的输出数据，IPFIX 缺省使用网络设备的七个关键域来表示每股网络流量：
　　l 源 IP 地址
　　l 目的IP 地址
　　l TCP/UDP 源端口
　　l TCP/UDP 目的端口
　　l 三层协议类型
　　l 服务类型（Type-of-service）字节
　　l 输入逻辑接口
　　如果不同的IP 报文中所有的七个关键域都匹配，那么这些IP 报文都将被视为属于同一股流量。通过记录网络中这些流量的特征，如流量持续时间、流量中报文平均长度等， 我们可以了解到当前网络的应用情况，并根据这些信息对网络进行优化，安全检测，流量计费。

1.2 IPFIX技术组网

　　IPFIX 是基于“流”的概念，一个流是指，来自相同的子接口，有相同的源和目的IP 地址，协议类型，相同的源和目的协议端口号，以及相同ToS 的报文，通常为5 元组。IPFIX 会记录这个流的统计信息，包括：时间戳，报文数，总的字节数。IPFIX 主要包括三个设备Export、Collector、Analyzer，三个设备之间的关系如下。
 　　l Export 对网络流进行分析处理，提取符合条件的流统计信息，并将统计信息输出Collector ；
　　 l Collector  负责解析Export的数据报文，把统计数据收集到数据库中，可供Analyser 进行解析；
 　　l Analyser 从Collector 中提取统计数据，进行后续处理，为各种业务提供依据,以图形界面的形式显示出来。

          

1.3 IPFIX的报文格式

     IPFIX的报文格式与NetFlow v9的基本相似。

     Exporter收集的网络流的统计信息封装在UDP报文中，发送给Collector。一个UDP报文可以携带多条流的统计信息。IPFIX数据按照NetFlow v9（RFC3954）格式进行组装。

• 

   

                    图 3‑1IPFIX报文构成

  IPFIX数据由报文头（Packet Header）以及流组（FlowSet）组成。
  
  1.3.1 Packet Header

  

               3‑2 IPFIX Packet Header格式