Guida alla configurazione di Netflow flessibile, Cisco IOS Release 15E

Riepilogo

L’articolo discute la guida alla configurazione per netflow flessibile in Cisco IOS Release 15e. Fornisce informazioni sui dispositivi supportati da Netflow Analyzer e sul tipo di flusso che esportano. Copre anche il supporto per Netflow nei router e nei switch Cisco, nonché altri dispositivi di fornitore. L’articolo esplora il supporto NetFlow versione 9 e fornisce dettagli sul formato di configurazione e esportazione. Si conclude con informazioni sulla ricerca di informazioni sulle funzionalità e sull’utilizzo di Cisco Feature Navigator.

Punti chiave

1. Netflow Analyzer sfrutta vari tipi di informazioni di flusso per fornire visibilità al traffico di rete.
2. I router Cisco supportati includono serie 7200 e 7500, serie RSP 7200 e altro ancora.
3. Netflow è anche supportato da switch Cisco, inclusi switch della serie Catalyst e Meraki.
4. I dispositivi che non supportano Netflow includono Cisco 2900, 3500, 3660 e 3750.
5. NetFlow Export è supportato su altri switch Cisco con NFFC o RSM/RSFC.
6. Netflow flessibile Il formato di esportazione IPFIX abilita l’utilizzo del protocollo di esportazione IPFIX.
7. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.
8. Trova le informazioni sulle funzionalità utilizzando lo strumento di ricerca di bug e le note di rilascio.
9. Utilizzare il navigatore Cisco Feature per il supporto per l’immagine della piattaforma e del software.

Domande e risposte

1. Quali tipi di informazioni sul flusso fanno leva dell’analizzatore Netflow?

NetFlow Analyzer sfruttati su NetFlow®, Sflow®, CFLowd®, J-Flow®, IPFIX®, Netstream® e Cisco NBAR® Informazioni.

2. Quali router Cisco sono supportati da NetFlow Analyzer?

Netflow Analyzer supporta serie Cisco 7200 e 7500, serie RSP 7200 e altro ancora.

3. Ci sono switch Cisco che supportano NetFlow Export?

Sì, Netflow è supportato da Switch della serie Cisco Catalyst e Meraki.

4. Quali dispositivi non supportano Netflow?

Cisco 2900, 3500, 3660 e 3750 non supportano Netflow.

5. Come può essere supportata l’esportazione di Netflow su altri switch Cisco?

NetFlow Export può essere supportato su altri switch Cisco utilizzando una scheda di funzionalità NetFlow (NFFC) o il modulo di interruttore di rotta (RSM) con la scheda di funzioni di route switch (RSFC).

6. Qual è il formato di esportazione ipfix netfliw flessibile utilizzato per?

Il formato di esportazione IPFIX Netfliw flessibile consente di inviare pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX.

7. Che tipo di esportazione è supportata per i campi estratti da NBAR?

L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

8. Come si possono trovare le informazioni sulla caratteristica?

Le informazioni sulle funzionalità sono disponibili utilizzando lo strumento di ricerca del bug e le note di rilascio per la recessione della piattaforma e del software.

9. Può essere utilizzato il navigatore di funzionalità cisco per trovare il supporto delle immagini della piattaforma e del software?

Sì, Cisco Feature Navigator può essere utilizzato per trovare informazioni sul supporto della piattaforma e sul supporto delle immagini del software Cisco.

10. È un linguaggio senza pregiudizi utilizzato nel set di documentazione?

Sì, il set di documentazione si impegna a utilizzare un linguaggio privo di pregiudizi e definisce senza distorsi.

11. Qual è lo scopo del libro “Flexible Netflow Configuration Guide, Cisco IOS Release 15E”?

Il libro funge da guida di configurazione per Netflow flessibile in Cisco IOS Release 15e.

12. Da cosa deriva il protocollo IPFIX?

Il protocollo IPFIX è stato derivato da NetFlow V9.

13. Quali sono alcuni dispositivi supportati da altri fornitori per Netflow?

Altri dispositivi di fornitore che supportano NetFlow includono reti Alaxala AX7800R, AX7800S, AX7700R, AX5400S, Barracuda NG Firewall, Serie Alpine 3800 e altro ancora.

14. Netflow è supportata la versione 9?

Sì, Netflow versione 9 è supportata.

15. Ciò che è incluso nel capitolo “Flexible Netflow IPFix Export Format”?

Il capitolo include informazioni sulla ricerca di informazioni sulle funzionalità, la panoramica del formato di esportazione, la configurazione dell’esportatore di flusso e le configurazioni di esempio.

Guida alla configurazione di Netflow flessibile, Cisco IOS Release 15E

Ipfix è derivato da Netflow V9. Le specifiche standard IPFIX (RFC 5101 e RFC 5102) sono state co-autore da Benoit Clais, che ha anche co-autore il Netflow V9 RFC (RFC 3954).

NetFlow Analyzer – Dispositivi supportati

NetFlow Analyzer sfruttati su NetFlow®, Sflow®, CFLowd®, J-Flow®, IPFix®, Netstream® e Cisco NBAR® Informazioni esportate dai dispositivi di routing e commutazione per fornirti una visibilità indeplo. La tabella seguente elenca l’insieme di dispositivi di vari fornitori e il tipo di flusso che esportano.

Router Cisco

Versione di rilascio del software Cisco IOS	Piattaforme hardware Cisco supportate
11.1CA, 11.1cc	Serie Cisco 7200 e 7500, serie RSP 7200
12.0	Cisco 1720, 2600, 3600, 4500, 4700, AS5800

Serie RSP 7000 e 7200

Serie UBR 7200 e 7500

Serie RSP 7000 e 7200

Serie UBR 7200 e 7500

Serie RSP 7000 e 7200

Serie UBR 7200 e 7500

4700, AS5300, AS5800

Serie RSP 7000 e 7200

Serie UBR 7200 e 7500

Netflow è anche supportato da questi dispositivi Cisco 800, 1700, 1800, 2800, 3800, 6500, 7300, 7600, 10000, CRS-1 e questi switch della serie Catalyst: 45xx, 55xx, 6xxx, 9300 e Cisco Meraki.

Questi dispositivi non supportano NetFlow: Cisco 2900, 3500, 3660, 3750.

Interruttori Cisco

NetFlow Export è anche supportato su altri switch Cisco quando si utilizza una scheda di funzionalità NetFlow (NFFC) o NFFC II e il modulo Switch Route (RSM) o la scheda di funzionalità dell’interruttore di rotta (RSFC). Tuttavia, controlla se la versione 5 è supportata, poiché la maggior parte degli switch esporta versione 7 per impostazione predefinita.

Supporto Netflow versione 9

Altri venditori

AX7800R, AX7800S, AX7700R, AX5400S RIFERIMENTO Sito Web di Alaxala Networks

Serie BigIron, serie FastIron, IronPoint Series, NetIron Series, SecureRiron Series, ServerIron Series

Barracuda Ng Firewall (firmware 5.2.3 e oltre)

!-Rex 16gi e 24gi e 24gi-combo

Serie Alpine 3800, Serie Blackdiamond 6800, serie Blackdiamond 8800, Blackdiamond 10808, Blackdiamond 12804C, Blackdiamond 12804R, Summit X450 Series, Summit I Series

Serie S3300, serie S3400, serie S3900

Per domande sul lavoro con altri dispositivi contatti

Guida alla configurazione di Netflow flessibile, Cisco IOS Release 15E

La documentazione impostata per questo prodotto si sforza di utilizzare un linguaggio senza pregiudizi. Ai fini del presente set di documentazione, senza pregiudizi è definito come un linguaggio che non implica una discriminazione in base all’età, alla disabilità, al genere, all’identità razziale, all’identità etnica, all’orientamento sessuale, allo stato socioeconomico e all’intersezionalità. Eccezioni possono essere presenti nella documentazione dovuta a un linguaggio che è codificato nelle interfacce utente del software del prodotto, del linguaggio utilizzato in base alla documentazione RFP o al linguaggio utilizzato da un prodotto di terze parti di riferimento. Ulteriori informazioni su come Cisco sta usando il linguaggio inclusivo.

Contenuto del libro

Contenuto del libro

• Formato di esportazione ipfix netflow flessibile
• Esportazione di netflow flessibile in un indirizzo IPv6

Trova le partite in questo libro

Accedi per salvare il contenuto

Lingue disponibili

Scarica le opzioni

Titolo del libro

Guida alla configurazione di Netflow flessibile, Cisco IOS Release 15E

Formato di esportazione ipfix netflow flessibile

• PDF – libro completo (2.01 MB) PDF – Questo capitolo (1.24 MB) Visualizza con Adobe Reader su una varietà di dispositivi

Risultati

Aggiornato: 14 gennaio 2018

Capitolo: formato di esportazione IPFIX di Netflow flessibile

Contenuto del capitolo

• Trovare informazioni sulle funzionalità
• Informazioni sul formato di esportazione Ipfix Netflow flessibile
  • Panoramica del formato di esportazione IPFIX Flexible Netflow
  • Configurazione dell’esportatore di flusso
  • Esempio: configurazione del formato di esportazione ipfix netflow flessibile

  Formato di esportazione ipfix netflow flessibile

  La funzione Flexible NetFow IPFIX Export Format consente di inviare pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  • Trovare informazioni sulle funzionalità
  • Informazioni sul formato di esportazione Ipfix Netflow flessibile
  • Come configurare il formato di esportazione Ipfix Netflow flessibile
  • Esempi di configurazione per il formato di esportazione ipfix netflow flessibile
  • Informazioni sulle funzionalità per netflow flessibile: formato di esportazione IPFIX

  Trovare informazioni sulle funzionalità

  La versione del software potrebbe non supportare tutte le funzionalità documentate in questo modulo. Per gli ultimi avvertimenti e informazioni sulle funzionalità, consultare lo strumento di ricerca di bug e le note di rilascio per la tua piattaforma e il rilascio del software. Per trovare informazioni sulle funzionalità documentate in questo modulo e per visualizzare un elenco delle versioni in cui è supportata ciascuna funzionalità, consultare la tabella delle informazioni sulle funzionalità alla fine di questo modulo.

  Utilizzare Cisco Feature Navigator per trovare informazioni sul supporto della piattaforma e sul supporto delle immagini del software Cisco. Per accedere a Cisco Feature Navigator, vai su WWW.Cisco.com/go/cfn. Un account su Cisco.com non è richiesto.

  Informazioni sul formato di esportazione Ipfix Netflow flessibile

  Panoramica del formato di esportazione IPFIX Flexible Netflow

  IPFIX è uno standard IETF basato su NetFlow V9.

  La funzione Flexible NetFow IPFIX Export Format consente di inviare pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  Come configurare il formato di esportazione Ipfix Netflow flessibile

  Configurazione dell’esportatore di flusso

  Eseguire questa attività richiesta per configurare l’esportatore di flusso.

  Ogni esportatore di flusso supporta solo una destinazione. Se si desidera esportare i dati in più destinazioni, è necessario configurare più esportatori di flusso e assegnarli al monitor di flusso.

  È possibile esportare in una destinazione utilizzando un indirizzo IPv4 o IPv6.

  2. configurare il terminale

  3. esportatore di esportatore di esportatore di flusso

  4. Descrizione Descrizione

  7. DSCP DSCP

  8. Numero di interfaccia di tipo interfaccia sorgente

  10. Feature di output

  11. Template Data Timeout Seconds

  12. trasporto UDP UDP-Port

  13. TTL secondi

  15. mostrare esportatore esportatore di esportatore di flusso

  16. Mostra esportatore esportatore di esportatore di flusso di flusso in esecuzione

  Dispositivo> abilitazione

  Abilita la modalità Exec privilegiata.

  Dispositivo# configurare il terminale

  Entra nella modalità di configurazione globale.

  Dispositivo (config)# esportatore di esportatore di flusso-1

  Crea esportatore di flusso ed entra in modalità di configurazione di flusso di flusso di netflow flessibile.

  Dispositivo (config-flow-exporter)# Descrizione esporta nel datacenter

  (Opzionale) Configura una descrizione all’esportatore che apparirà nella configurazione e nella visualizzazione del comando show flow esportatore.

  Dispositivo (config-flow-exporter)# destinazione 172.16.10.2

  Specifica l’indirizzo IP o il nome host del sistema di destinazione per l’esportatore.

  È possibile esportare in una destinazione utilizzando un indirizzo IPv4 o IPv6.

  Dispositivo (config-flow-exporter)# export-protocol netflow-v9

  Specifica la versione del protocollo di esportazione Netflow utilizzato dall’esportatore. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  Dispositivo (config-flow-exporter)# DSCP 63

  (Opzionale) Configura parametri di codice di codice dei servizi differenziati (DSCP) per i datagrammi inviati dall’esportatore.

  • L’intervallo per l’argomento DSCP è da 0 a 63. Predefinito: 0.

  Dispositivo (config-flow-exporter)# sorgente Ethernet 0/0

  (Facoltativo) Specifica l’interfaccia locale da cui l’esportatore utilizzerà l’indirizzo IP come indirizzo IP di origine per i datagrammi esportati.

  Dispositivo (config-flow-exporter)# opzione esportatore-stat timeout 120

  (Opzionale) Configura i parametri dei dati delle opzioni per l’esportatore.

  • È possibile configurare tutte e tre le opzioni contemporaneamente.
  • L’intervallo per l’argomento Seconds è da 1 a 86.400. Predefinito: 600.

  Dispositivo (config-flow-exporter)# output

  (Opzionale) Abilita l’invio di pacchetti di esportazione utilizzando la qualità del servizio (QoS) e la crittografia.

  Dispositivo (config-flow-exporter)# Template Data Timeout 120

  (Facoltativo) Configura il refending dei modelli in base a un timeout.

  • L’intervallo per l’argomento Seconds è da 1 a 86400 (86400 secondi = 24 ore).

  Dispositivo (config-flow-exporter)# trasporto UDP 650

  Specifica la porta UDP su cui il sistema di destinazione sta ascoltando i datagrammi esportati.

  Dispositivo (config-flow-exporter)# TTL 15

  (Opzionale) Configura il valore time-to-live (TTL) per i datagrammi inviati dall’esportatore.

  Dispositivo (config-flow-exporter)# end

  ESCIRE la modalità di configurazione dell’esportatore di flusso e ritorna in modalità EXEC privilegiata.

  Dispositivo# Mostra esportatore di flusso Flow_exporter-1

  (Facoltativo) Visualizza lo stato corrente dell’esportatore di flusso specificato.

  Dispositivo# Mostra esportatore di flusso di flusso in esecuzione Flow_exporter-1

  (Opzionale) Visualizza la configurazione dell’esportatore di flusso specificato.

  Esempi di configurazione per il formato di esportazione ipfix netflow flessibile

  Esempio: configurazione del formato di esportazione ipfix netflow flessibile

  L’esempio seguente mostra come configurare il formato di esportazione IPFIX per netflow flessibile.

  Questo campione inizia in modalità di configurazione globale:

  ! Flusso esportatore di esportatore-1 destinazione 172.16.10.2 Export-Protocol Ipfix Transport UDP 90 Exit ! Monitoraggio del flusso Flow-Monitor-1 Registra Netflow IPv4 ESPATTERO DI INPUTER ORIGINALE-1 ! ip cef ! Interface Ethernet 0/0 Indirizzo IP 172.16.6.2 255.255.255.0 Ingresso flusso-monitor-1 monitor del flusso IP !

  Informazioni sulle funzionalità per netflow flessibile: formato di esportazione IPFIX

  La tabella seguente fornisce informazioni sul rilascio sulla funzione o sulle funzionalità descritte in questo modulo. Questa tabella elenca solo la versione del software che ha introdotto il supporto per una determinata funzione in un determinato treno di rilascio del software. Salvo diversamente indicato, anche le versioni successive di tale treno di rilascio del software supportano questa caratteristica.

  Utilizzare Cisco Feature Navigator per trovare informazioni sul supporto della piattaforma e sul supporto delle immagini del software Cisco. Per accedere a Cisco Feature Navigator, vai su WWW.Cisco.com/go/cfn. Un account su Cisco.com non è richiesto.

  Netflow flessibile: formato di esportazione ipfix

  Cisco IOS 15.2 (2) e

  Abilita l’invio di pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  È stato introdotto il seguente comando: Export-Protocol .

  Formato di esportazione ipfix netflow flessibile

  La funzione Flexible NetFow IPFIX Export Format consente di inviare pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  • Trovare informazioni sulle funzionalità
  • Informazioni sul formato di esportazione Ipfix Netflow flessibile
  • Come configurare il formato di esportazione Ipfix Netflow flessibile
  • Esempi di configurazione per il formato di esportazione ipfix netflow flessibile
  • Informazioni sulle funzionalità per netflow flessibile: formato di esportazione IPFIX

  Trovare informazioni sulle funzionalità

  La versione del software potrebbe non supportare tutte le funzionalità documentate in questo modulo. Per gli ultimi avvertimenti e informazioni sulle funzionalità, consultare lo strumento di ricerca di bug e le note di rilascio per la tua piattaforma e il rilascio del software. Per trovare informazioni sulle funzionalità documentate in questo modulo e per visualizzare un elenco delle versioni in cui è supportata ciascuna funzionalità, consultare la tabella delle informazioni sulle funzionalità alla fine di questo modulo.

  Utilizzare Cisco Feature Navigator per trovare informazioni sul supporto della piattaforma e sul supporto delle immagini del software Cisco. Per accedere a Cisco Feature Navigator, vai su WWW.Cisco.com/go/cfn. Un account su Cisco.com non è richiesto.

  Informazioni sul formato di esportazione Ipfix Netflow flessibile

  Panoramica del formato di esportazione IPFIX Flexible Netflow

  IPFIX è uno standard IETF basato su NetFlow V9.

  La funzione Flexible NetFow IPFIX Export Format consente di inviare pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  Come configurare il formato di esportazione Ipfix Netflow flessibile

  Configurazione dell’esportatore di flusso

  Eseguire questa attività richiesta per configurare l’esportatore di flusso.

  Ogni esportatore di flusso supporta solo una destinazione. Se si desidera esportare i dati in più destinazioni, è necessario configurare più esportatori di flusso e assegnarli al monitor di flusso.

  È possibile esportare in una destinazione utilizzando un indirizzo IPv4 o IPv6.

  Passaggi di riepilogo

  2. configurare il terminale

  3. esportatore di esportatore di esportatore di flusso

  4. Descrizione Descrizione

  7. DSCP DSCP

  8. Numero di interfaccia di tipo interfaccia sorgente

  10. Feature di output

  11. Template Data Timeout Seconds

  12. trasporto UDP UDP-Port

  13. TTL secondi

  15. mostrare esportatore esportatore di esportatore di flusso

  16. Mostra esportatore esportatore di esportatore di flusso di flusso in esecuzione

  Dispositivo> abilitazione

  Abilita la modalità Exec privilegiata.

  Dispositivo# configurare il terminale

  Entra nella modalità di configurazione globale.

  Dispositivo (config)# esportatore di esportatore di flusso-1

  Crea esportatore di flusso ed entra in modalità di configurazione di flusso di flusso di netflow flessibile.

  Dispositivo (config-flow-exporter)# Descrizione esporta nel datacenter

  (Opzionale) Configura una descrizione all’esportatore che apparirà nella configurazione e nella visualizzazione del comando show flow esportatore.

  Dispositivo (config-flow-exporter)# destinazione 172.16.10.2

  Specifica l’indirizzo IP o il nome host del sistema di destinazione per l’esportatore.

  È possibile esportare in una destinazione utilizzando un indirizzo IPv4 o IPv6.

  Dispositivo (config-flow-exporter)# export-protocol netflow-v9

  Specifica la versione del protocollo di esportazione Netflow utilizzato dall’esportatore. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  Dispositivo (config-flow-exporter)# DSCP 63

  (Opzionale) Configura parametri di codice di codice dei servizi differenziati (DSCP) per i datagrammi inviati dall’esportatore.

  • L’intervallo per l’argomento DSCP è da 0 a 63. Predefinito: 0.

  Dispositivo (config-flow-exporter)# sorgente Ethernet 0/0

  (Facoltativo) Specifica l’interfaccia locale da cui l’esportatore utilizzerà l’indirizzo IP come indirizzo IP di origine per i datagrammi esportati.

  Dispositivo (config-flow-exporter)# opzione esportatore-stat timeout 120

  (Opzionale) Configura i parametri dei dati delle opzioni per l’esportatore.

  • È possibile configurare tutte e tre le opzioni contemporaneamente.
  • L’intervallo per l’argomento Seconds è da 1 a 86.400. Predefinito: 600.

  Dispositivo (config-flow-exporter)# output

  (Opzionale) Abilita l’invio di pacchetti di esportazione utilizzando la qualità del servizio (QoS) e la crittografia.

  Dispositivo (config-flow-exporter)# Template Data Timeout 120

  (Facoltativo) Configura il refending dei modelli in base a un timeout.

  • L’intervallo per l’argomento Seconds è da 1 a 86400 (86400 secondi = 24 ore).

  Dispositivo (config-flow-exporter)# trasporto UDP 650

  Specifica la porta UDP su cui il sistema di destinazione sta ascoltando i datagrammi esportati.

  Dispositivo (config-flow-exporter)# TTL 15

  (Opzionale) Configura il valore time-to-live (TTL) per i datagrammi inviati dall’esportatore.

  Dispositivo (config-flow-exporter)# end

  ESCIRE la modalità di configurazione dell’esportatore di flusso e ritorna in modalità EXEC privilegiata.

  Dispositivo# Mostra esportatore di flusso Flow_exporter-1

  (Facoltativo) Visualizza lo stato corrente dell’esportatore di flusso specificato.

  Dispositivo# Mostra esportatore di flusso di flusso in esecuzione Flow_exporter-1

  (Opzionale) Visualizza la configurazione dell’esportatore di flusso specificato.

  Esempi di configurazione per il formato di esportazione ipfix netflow flessibile

  Esempio: configurazione del formato di esportazione ipfix netflow flessibile

  L’esempio seguente mostra come configurare il formato di esportazione IPFIX per netflow flessibile.

  Questo campione inizia in modalità di configurazione globale:

  ! Flusso esportatore di esportatore-1 destinazione 172.16.10.2 Export-Protocol Ipfix Transport UDP 90 Exit ! Monitoraggio del flusso Flow-Monitor-1 Registra Netflow IPv4 ESPATTERO DI INPUTER ORIGINALE-1 ! ip cef ! Interface Ethernet 0/0 Indirizzo IP 172.16.6.2 255.255.255.0 Ingresso flusso-monitor-1 monitor del flusso IP !

  Informazioni sulle funzionalità per netflow flessibile: formato di esportazione IPFIX

  La tabella seguente fornisce informazioni sul rilascio sulla funzione o sulle funzionalità descritte in questo modulo. Questa tabella elenca solo la versione del software che ha introdotto il supporto per una determinata funzione in un determinato treno di rilascio del software. Salvo diversamente indicato, anche le versioni successive di tale treno di rilascio del software supportano questa caratteristica.

  Utilizzare Cisco Feature Navigator per trovare informazioni sul supporto della piattaforma e sul supporto delle immagini del software Cisco. Per accedere a Cisco Feature Navigator, vai su WWW.Cisco.com/go/cfn. Un account su Cisco.com non è richiesto.

  Netflow flessibile: formato di esportazione ipfix

  Cisco IOS 15.2 (2) e

  Abilita l’invio di pacchetti di esportazione utilizzando il protocollo di esportazione IPFIX. L’esportazione di campi estratti da NBAR è supportata solo su IPFIX.

  È stato introdotto il seguente comando: Export-Protocol .

  Netflow per la sicurezza informatica

  In questo esempio di capitolo da CCNA Cyber ​​Ops SecOPS 210-255 Guida ufficiale del certificato, I lettori imparano come configurare Netflow di base in un dispositivo Cisco. Il contenuto copre anche lo standard del settore IPFIX e come Netflow viene utilizzato per la sicurezza informatica e la risposta agli incidenti.

  Dal libro

  Ipfix

  IPFIX (IPFIX) di informazioni sul flusso del protocollo Internet è uno standard di flusso di rete guidato dalla Task Force Internet Engineering (IETF). IPFIX è stato creato per sviluppare uno standard comune e universale di esportazione per informazioni di flusso da router, switch, firewall e altri dispositivi di infrastruttura. IPFIX definisce come le informazioni di flusso devono essere formattate e trasferite da un esportatore a un collettore. IPFIX è documentato in RFC 7011 tramite RFC 7015 e RFC 5103. Cisco Netflow versione 9 è la base e il punto principale di riferimento per ipfix. Ipfix cambia alcune delle terminologie di Netflow, ma in sostanza sono gli stessi principi di Netflow V9.

  Le diverse versioni di Netflow, così come ciascuno dei componenti, i tipi di pacchetti e altre informazioni dettagliate, sono trattate nel capitolo 2, “Forense.”

  IPFIX definisce diversi elementi che vengono inseriti in 12 gruppi in base alla loro applicabilità:

  1. Identificatori
  2. Configurazione del processo di misurazione ed esportazione
  3. Statistiche del processo di misurazione ed esportazione
  4. Campi di intestazione IP
  5. Campi di intestazione di trasporto
  6. Campi di intestazione sub-IP
  7. Proprietà dei pacchetti derivati
  8. Proprietà del flusso min/massimo
  9. TimeSamps di flusso
  10. Contatori per flusso
  11. Proprietà di flusso varie
  12. Imbottitura

  IPFIX è considerato un protocollo push. Ogni dispositivo abilitato IPFIX invia regolarmente messaggi IPFIX ai collezionisti (ricevitori) configurati senza alcuna interazione da parte del ricevitore. Il mittente controlla la maggior parte dell’orchestrazione dei messaggi di dati IPFIX. IPFIX introduce il concetto di modelli, che costituiscono questi messaggi di dati di flusso al ricevitore. IPFIX consente inoltre al mittente di utilizzare i tipi di dati definiti dall’utente nei suoi messaggi. IPFIX preferisce il protocollo di trasmissione del controllo del flusso (SCTP) come protocollo di livello di trasporto; Tuttavia, supporta anche l’uso dei messaggi UDP (User Datagram Protocol (User Datagram Protocol).

  I record tradizionali di Cisco Netflow vengono generalmente esportati tramite messaggi UDP. L’indirizzo IP del collettore Netflow e la porta UDP di destinazione devono essere configurati sul dispositivo di invio. Lo standard NetFlow (RFC 3954) non specifica una porta di ascolto Netflow specifica. La porta UDP standard o più comune utilizzata da Netflow è la porta UDP 2055, ma possono anche essere utilizzate altre porte, come 9555, 9995, 9025 e 9026. La porta UDP 4739 è la porta predefinita utilizzata da ipfix.

  Architettura ipfix

  IPFIX utilizza la seguente terminologia dell’architettura:

  • Processo di misurazione (MP): Genera record di flusso dai pacchetti in un punto di osservazione. TimeStamps, campioni e classifica i flussi. Il MP mantiene anche i flussi in una struttura di dati interni e trasmette informazioni complete di flusso a un processo di esportazione (EP).
  • Processo di esportazione (EP): Invia record di flusso tramite IPFIX da uno o più MPS a uno o più processi di raccolta (CPS).
  • Processo di raccolta (CP): Riceve record tramite IPFIX da uno o più EPS.

  Mediatori IPfix

  Ipfix introduce il concetto di mediatori. I mediatori raccolgono, trasformano ed esportano i flussi IPFIX in uno o più collezionisti. Il loro scopo principale è consentire la federazione dei messaggi IPFIX. I mediatori includono un processo intermedio (IMP) che consente quanto segue:

  • Per i dati di Netflow da mantenere in forma anonima
  • Per i dati di Netflow da aggregare
  • Filtro dei dati di Netflow
  • Proxy del traffico web
  • Traduzione IP

  Modelli ipfix

  Un modello IPFIX descrive la struttura dei record di dati di flusso all’interno di un set di dati. I modelli sono identificati da un ID modello, che corrisponde all’ID impostato nell’intestazione impostata del set di dati. I modelli sono composti da “Elemento informativo (cioè) e lunghezza” coppie. IES fornisce informazioni sul tipo di campo per ogni modello.

  Un modello di informazione standard copre quasi tutti i casi d’uso della raccolta del flusso comune, come i seguenti:

  • Il tradizionale 5-tupla (indirizzo IP di origine, indirizzo IP di destinazione, porta di origine, porta di destinazione e protocollo IP)
  • Trattamento dei pacchetti come indirizzi ipv4 successivi IP, BGP Destination ASN e altri
  • TimeStamps to Nanosecond Risoluzione
  • Campi di intestazione IPv4, IPv6, ICMP, UDP e TCP
  • Campi di intestazione Sub-IP come Indirizzo MAC di origine e Wireless Local Area Network (WLAN) Set Identifier (SSID)
  • Vari contatori (conteggi delta dei pacchetti, conteggi di connessione totale, migliori oratori e così via)
  • Informazioni sui metadati del flusso come Ingress e Interfaces in uscita, direzione del flusso e informazioni di routing e inoltro virtuale (VRF)

  Ce ne sono numerosi altri definiti su Internet Numeri Authority (IANA) Sito web: http: // www.IANA.Org/Assegnazioni/ipfix/ipfix.xhtml.

  Modelli di opzione

  I modelli di opzione sono un diverso tipo di modello IPFIX utilizzato per definire i record indicati come “opzioni” che sono associati a un ambito specifico. Un ambito può definire un’entità nell’architettura IPFIX, incluso il processo di esportazione, altri modelli o una proprietà di una raccolta di flussi. I record di flusso descrivono i flussi e i record di opzioni definiscono cose diverse dai flussi, come i seguenti:

  • Informazioni sull’infrastruttura di raccolta
  • Metadati sui flussi o una serie di flussi
  • Altre proprietà di una serie di flussi

  Introduzione al protocollo di trasmissione del controllo del flusso (SCTP)

  IPFIX utilizza SCTP, che fornisce un servizio di trasporto di pacchetti progettato per supportare diverse funzionalità oltre le funzionalità TCP o UDP. Queste caratteristiche includono quanto segue:

  • Flussi di pacchetti
  • Estensione di affidabilità parziale (PR)
  • Consegna non ordinata di pacchetti o record
  • Multihoming strato di trasporto

  Molti si riferiscono a SCTP come una macchina a stato più semplice (rispetto alle funzionalità fornite da TCP) con un “a la carte” Selezione di funzionalità. PR-SCTP fornisce un trasporto affidabile con un meccanismo per saltare le ritrasmissioni dei pacchetti. Consente di funzionare più applicazioni con requisiti di affidabilità diversi sulla stessa associazione di flusso. In altre parole, combina l’affidabilità migliore dell’UDP pur fornendo il controllo della congestione simile a TCP. SCTP garantisce che i modelli IPFIX vengano inviati in modo affidabile migliorando il ritardo end-to-end. RFC 6526 introduce funzionalità aggiuntive come il conteggio delle cadute per template con affidabilità parziale e riutilizzo del modello rapido.

  Confronto Netflow e IPFIX

  

  Ipfix è derivato da Netflow V9. Le specifiche standard IPFIX (RFC 5101 e RFC 5102) sono state co-autore da Benoit Clais, che ha anche co-autore il Netflow V9 RFC (RFC 3954).

  Ipfix introduce diverse estensioni, le più popolari delle quali sono le Identificatori degli elementi di informazione. Questi identificatori sono compatibili con il tipi di campo Utilizzato da Netflow V9 di cui hai appreso nelle sezioni precedenti di questo capitolo.

  Esistono diversi concetti simili tra netflow v9 e ipfix. Il primo identificatore in Netflow V9 è chiamato In_Bytes, e in ipfix si chiama OctetDeltaCount.

  Come hai appreso in precedenza in questo capitolo, Netflow V9 ha 127 tipi di campo. IPFIX definisce 238, molti dei quali sono uguali a quelli definiti in Netflow V9. IPFIX consente di specificare un ID fornitore, per cui il fornitore può infilare le informazioni proprietarie in Netflow.

  La funzione di formato esporta IPFIX Netfliw Cisco Flexible consente a un dispositivo abilitato a NetFlow di esportare pacchetti utilizzando il protocollo di esportazione IPFIX.