RFC3917自编中文版.doc

网络工作小组·······················································J. Quittek RFC：3917······················································NEC欧洲有限公司 类别：报告··························································T. Zseby Fraunhofer FOKUS B. Claise Cisco Systems S. Zander Swinburne University 2004年10月 IP数据流信息输出（IPFIX）规定 本备忘录状态 此备忘录为互联网团体提供相关信息，但并不定义任何形式的互联网标准，另外本备忘录的发布不受任何限制。 版权提示 版权归互联网团体所有（2004） 摘要 本备忘录阐述了路由器对IP数据流信息进行有效输出、传输测量以及中间件相关的基本要素。 1引言 在一些基于IP数据流的分析和传输应用中，流的测量和分析可以在路由器上通过中间件或流量探测器在处于转发状态的线程和监测接口来实现。本备忘录作为IPFIX协议的标准化申明，定义了数据流信息在设备上进行本地应用之外的输出应用的基本要素。 在第三章中提到的应用场景所涉及的组件列表中提供了必要的设备。而IPFIX工作组在早期讨论数据流输出协议的同时也开发了这篇关于“要素”的文档。 数据流输出无论如何不可能通过一个协议的开发就能够完成实施部署的，它有赖于一个完整系统的协作和配合。而为了真正实现IP数据流信息的输出，IPFIX工作组明确定义了若干必要的条件，例如测量原理、输出原理等。实施者在实际部署IPFIX时应当必须而且充分满足这些要素说明。 工作组的目标是制定包含了IPFIX信息模型的标准化和输出协议的RFC文档。在满足本文档规定的信息模型和协议规范同时，参考[RFC2119]文档，能够让我们部署出一个完整的IPFIX系统。 2术语 2.1 IP Traffic Flow （IP传输数据流） 数据流（Flow）这个术语在网络范畴内有一些不同的定义，在这篇文档里我们使用如下定义： 数据流是指在一个确定的时间段内通过网络中指定的观察点的一组IP数据包集合，这些数据包作为一个特定的数据流具有一系列共有的属性，每一个属性都在应用中被赋予了一个指定的值，可能出现的属性如下： 一个或多个IP数据包头（如目的IP地址）、传输层报头（如目的端口号）、应用层报头（如RTP字段【参阅RFC3550]）。 一个或多个数据包本身的特征（如MPLS标签号等） 一个或多个与数据包转发相关的属性（如下一跳地址、出端口等）。 如果数据包完全符合上述属性的设定，那该数据包就可以被认为属于这个特定的数据流。 以上定义可以代表从一个网络接口监测到的所有数据包集合成的一个数据流，也可以是两个应用终端之间一个独立有序的数据包，请注意一个常见的应用层端到端的流（stream）并不一定就满足数据流（flow）的定义。然而，通过解析一个数据流（flow）信息，我们可以分析出一个应用层流（stream）属性，同时也请注意数据包属性虽然和应用层报头有关联，但是本文档中没有对应用层报头做任何的要素定义。 2.2 Observation Point（观察点） 观察点指的网络中是能够监测到IP数据包的位置。例如一个线卡、以太网上的一段共享介质、路由器的一个端口或者是路由器上一组接口（物理或逻辑上）。 注意，一个观察点下属可能具有多个子观察点。例如，路由器上的一个线卡可能属于同一个观察点，而线卡上的每一个接口又属于其他独立的观察点。 2.3Metering Process（监测进程） 通过监测进程我们可以生成数据流记录。通过观察点我们可以监测到数据包头的信息和该数据包在观察点被设备处理的动作，例如为数据包选择出端口。监测进程主要实现如下功能：数据包头的解析、记录时间戳、设定采样率、流分类以及维护数据流记录。 数据流记录的维护工作包括创建新的流记录、更新现有的流记录、对数据流记录进行统计分析、对数据流进行进一步汇总、执行数据流的老化功能、将数据流记录提交输出进程、删除数据流记录。 数据采样和分类功能根据不同的参数设定可以重复执行，下图中描述了功能应用的流程，但是采样率在图中没有阐述，它可以用用在其他任何功能之前。 2.4Flow Record （数据流记录） 数据流记录包含了一个观察点监测到的一条数据流的相关信息，包括数据流的监测信息（如指定数据流的字节总数和包含的数据包总数）以及数据流自身的特征信息（如源IP地址等）。 2.5Exporting Process（输出进程） 输出进程从一个或多个监测进程处获得