Cisco выступает за принятие единого стандарта экспорта данных о потоках трафика

Стандарт IP Flow Information Export (IPFIX), разрабатываемый сегодня целевой группой IETF, позволит получать больше статистических данных о трафике от оборудования корпоративных сетей. По мнению его сторонников, он даст возможность создавать системы биллинга на основе реального потребления услуг и легче обнаруживать нарушения в системе обеспечения корпоративной безопасности.

Стандарт IPFIX (чья окончательная редакция должна появиться в первой половине 2004 года) определяет для маршрутизаторов и коммутаторов метод, согласно которому данные о потоках трафика будут экспортироваться в системы операционной поддержки (OSS). В случае его принятия стандарт будет внедрен в сетевое оборудование Cisco Systems, Nortel Networks, Riverstone и некоторых других производителей. Конечные продукты, соответствующие IPFIX, смогут собирать и анализировать данные о потоках трафика и сопоставлять их с другими параметрами функционирования сети и приложений в блоке управления.

Сторонники стандарта заверяют, что IPFIX-совместимое оборудование будет улавливать, накапливать и передавать все данные о потоках трафика, проходящего через корпоративные маршрутизаторы и коммутаторы. Существующие сегодня коммерческие продукты, поддерживающие протокол SNMP, могут извлекать только часть данных о трафике, накопленных на сетевом оборудовании. IPFIX станет автоматически пакетировать первоначальные сведения и пересылать их в «точку сбора» корпоративной системы для сопоставления и анализа. Сейчас информация о потоках трафика может теряться, поскольку сетевое оборудование не имеет памяти для хранения данных.

«IPFIX — это фундаментальная технология, посредством которой разрозненные данные о пакетах и соединениях транслируются от сетевого оборудования в общий коллектор для последующего анализа, — говорит Дейв Плонка, сопредседатель рабочей группы по IPFIX в IETF. — Потоковые измерения занимают промежуточное положение между простым обобщающим учетом трафика и детальным отслеживанием каждого пакета».

Для экспорта данных маршрутизаторы должны идентифицировать сетевые потоки по семи ключевым параметрам. Это IP-адреса адресанта и адресата, порты источника и назначения, тип используемого протокола третьего уровня, значение байта класса обслуживания, логический интерфейс ввода. Если все семь параметров в любых двух пакетах совпадают, такие пакеты принадлежат одному и тому же потоку.

Ожидается, что IPFIX обеспечит формат, по которому сведения об IP-потоках смогут передаваться от оборудования к аналитическому модулю. Реализация IPFIX подразумевает создание клиентами многочисленных шаблонов, по которым должна будет экспортироваться различная информация о трафике. Устройства с функциями IPFIX станут пакетировать исходные данные согласно описанным критериям и посылать их на соответствующие узлы сбора информации (блоки сетевого управления или серверы), на которые загружено ПО управления сетью.

Исследование потоков трафика и осмысление большего объема исходных данных могли бы раскрыть детали того, как конкретное приложение задействует сетевые устройства, как маршрутизаторы отвечают на запросы и какие пользователи делают больше всего запросов. Эти данные позволили бы сетевым администраторам осуществлять биллинг ИТ-услуг на основе их реального потребления.

«Сбор исходных данных о пакетах поможет сетевым администраторам прояснить, действительно ли маршруты и соединения используются в соответствии с их представлениями и есть ли лучшие пути маршрутизации трафика», — утверждает Пол Коулер, старший инженер отдела Internet-технологий корпорации Cisco. По его словам, IPFIX будет извещать сетевых администраторов и о потенциальных брешах в системах защиты обслуживаемых систем. Новый протокол может даже не просто отмечать неполадки в соединении, но определять потоки, являющиеся источником проблем.

По сути, IPFIX основывается на протоколе экспорта данных NetFlow Version 9, созданном инженерами Cisco. Однако сами клиенты Cisco обычно используют NetFlow Version 5. Протокол NetFlow включается в сетевое оборудование и может быть активирован или дезактивирован по желанию заказчика.

Клиенты способны активировать NetFlow для сбора специфических данных о потоках трафика и отследить «поведение» самых востребованных приложений. Впрочем, сетевые администраторы могут отключить NetFlow, если объем пересылаемых при его использовании данных грозит захлестнуть маршрутизатор или целиком занять доступную полосу пропускания. С другой стороны, часть сведений о трафике будет утеряна в случае превышения возможностей встроенной памяти. «NetFlow собирает много данных и позволяет «заглянуть в пакет», но вы не знаете, сколько времени пройдет, прежде чем ПО управления сетью запросит эту информацию»,— говорит Коулер.

Приложение NetFlow размещается на оборудовании Cisco, а целевая группа IETF намерена разработать подобный механизм для гетерогенных сетей. Как и в ситуациях с SNMP и Realtime Traffic Flow Measurement (RTFM), IETF хочет, чтобы рабочая группа по IPFIX обеспечила наиболее эффективный способ экспорта данных в системы управления.

Некоторые другие эксперты по сетевым технологиям отмечают, что благодаря определенной настройке протоколы SNMP и RTFM могут дать те же результаты, какие ожидаются при активации IPFIX. Например, SNMP способен опрашивать сетевые устройства и собирать управленческие данные, а RTFM — измерять потоки трафика. Работающие над IPFIX инженеры утверждают, что новый протокол сможет действовать вместо тех программ, которые «латаются» по частям администраторами корпоративных сетей. «Наша долгосрочная цель — перейти от нынешних пяти стандартов к одному-единственному», — заключает Невил Браунли, сопредседатель рабочей группы по IPFIX в IETF.


Сбор исходных данных о пакетах поможет сетевым администраторам прояснить, действительно ли маршруты и соединения используются в соответствии с их представлениями и есть ли лучшие пути маршрутизации трафика?