Chương 2 ĐỊNH HƯỚNG LUỒNG VÀ CÁC MƠ HÌNH LUỒNG PHỔ BIẾN
4.1. Công nghệ thu thập luồng lưu lượng
4.1.2.1. Kiến trúc IPFIX
IPFIX sử dụng thuật ngữ kiến trúc sau:
• Quá trình đo (MP): Tạo bản ghi luồng từ các gói tại một điểm quan sát. Nó đánh dấu thời gian, lấy mẫu và phân loại các luồng. MP cũng duy trì các luồng trong cấu trúc dữ liệu nội bộ và chuyển thông tin luồng hồn chỉnh đến quy trình xuất (EP).
• Quy trình xuất (EP): Gửi hồ sơ luồng qua IPFIX từ một hoặc nhiều MP tới một hoặc nhiều quy trình thu thập (CP).
• Quy trình thu thập (CP): Nhận bản ghi qua IPFIX từ một hoặc nhiều EP.
IPFIX Trung gian
IPFIX giới thiệu khái niệm về trung gian. Trung gian thu thập, chuyển đổi và xuất lại các luồng IPFIX cho một hoặc nhiều quy trình thu thập. Mục đích chính của chúng là cho phép liên kết các thông báo IPFIX. Trung gian bao gồm một quy trình trung gian (ImP) cho phép thực hiện những điều sau:
• Để dữ liệu NetFlow được giữ ẩn danh
• Để dữ liệu NetFlow được tổng hợp
• Lọc dữ liệu NetFlow
• Proxy của lưu lượng web
• Dịch IP
Mẫu IPFIX
Mẫu IPFIX mơ tả cấu trúc của bản ghi dữ liệu luồng trong tập dữ liệu. Mẫu được xác định bằng ID mẫu, tương ứng với ID tập hợp trong tiêu đề tập hợp của tập dữ liệu. Các mẫu bao gồm các cặp "phần tử thông tin (IE) và độ dài". IE cung cấp thông tin loại trường cho mỗi mẫu. Một mơ hình thơng tin tiêu chuẩn bao gồm gần như tất cả các trường hợp sử dụng thu thập luồng phổ biến, chẳng hạn như sau:
• Bộ 5 truyền thống (địa chỉ IP nguồn, địa chỉ IP đích, cổng nguồn, cổng đích và giao thức IP)
• Xử lý gói như địa chỉ IP next-hop IPv4, ASN đích BGP và các địa chỉ khác.
• Dấu thời gian đến độ phân giải nano-giây
• Các trường tiêu đề IPv4, IPv6, ICMP, UDP và TCP
• Các trường tiêu đề IP phụ như địa chỉ MAC nguồn và mạng cục bộ không dây (WLAN) mã định danh bộ dịch vụ (SSID)
• Nhiều bộ đếm khác nhau (số delta gói, tổng số kết nối, bộ đàm hàng đầu, v.v.)
• Thông tin siêu dữ liệu về luồng như giao diện đi vào và đi ra, hướng luồng cũng như thông tin chuyển tiếp và định tuyến ảo (VRF)