Съдържание скрий се
1 ADVANTECH Router App Net Flow Pfix
2 Информация за продукта
3 Инструкции за употреба
4 Използвани символи
5 Дневник на промените
6 Описание на модула
7 Конфигурация
8 Информация
9 Инструкции за употреба
10 Оперативна съвместимост на ID на двигателя
11 Свързани документи
12 Документи / Ресурси
12.1 Референции
13 Свързани публикации

АДВАНТЕХ-ЛОГО

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Информация за продукта

Спецификации

  • производител: Advantech Czech sro
  • адрес: Соколска 71, 562 04 Усти над Орлици, Чехия
  • Документ №: APP-0085-EN
  • Ревизия Дата: 19 октомври 2023 г

Описание на модула

  • Модулът NetFlow/IPFIX е приложение за рутер, разработено от Advantech Czech sro. Той не е включен в стандартния фърмуер на рутера и трябва да се качи отделно.
  • Модулът е предназначен за наблюдение на мрежовия трафик. Той работи, като събира информация за IP трафика, използвайки сонда, инсталирана на рутери с активиран NetFlow.
  • След това тази информация се изпраща на NetFlow колектор и анализатор за допълнителен анализ.

Web Интерфейс

След като модулът е инсталиран, можете да получите достъп до него web интерфейс, като щракнете върху името на модула на страницата с приложения на рутера на вашия рутер web интерфейс. Най- web интерфейсът се състои от меню с различни секции:

Конфигурация

Разделът за конфигурация ви позволява да конфигурирате различни настройки на приложението за рутер NetFlow/IPFIX. За достъп до настройките на конфигурацията щракнете върху елемента „Глобални“ в главното меню на модула web интерфейс. Конфигурируемите елементи включват:

  • Активиране на сондата: Тази опция започва да изпраща информацията за NetFlow към отдалечен колектор (ако е дефиниран) или към локалния колектор (ако е активиран).
  • протокол: Тази опция ви позволява да изберете протокола, който да се използва за подаване на информация за NetFlow. Можете да избирате от NetFlow v5, NetFlow v9 или IPFIX (NetFlow v10).
  • ID на двигателя: Тази опция ви позволява да зададете ID на домейна за наблюдение (за IPFIX), ID на източника (за NetFlow v9) или ID на двигателя (за NetFlow v5). Това помага на колекционера да прави разлика между множество износители. За повече информация вижте раздела за оперативна съвместимост на ID на двигателя.

Информация

Разделът Информация предоставя подробности за модула и неговите лицензи. Можете да получите достъп до този раздел, като щракнете върху елемента „Информация“ в главното меню на модула web интерфейс.

Инструкции за употреба

Събрана информация

  • Модулът NetFlow/IPFIX събира информация за IP трафика от сондата на рутера. Това включва подробности като IP адреси на източник и местоназначение, брой пакети, брой байтове и информация за протокола.

Извличане на съхранена информация

  • За да извлечете съхранената информация, трябва да получите достъп до колектора и анализатора NetFlow, към които модулът изпраща данните. Колекторът и анализаторът ще предоставят инструменти и отчети за анализиране и визуализиране на събраната информация.

Оперативна съвместимост на ID на двигателя

  • Настройката за ID на двигателя в конфигурацията ви позволява да посочите уникален идентификатор за вашия експортер. Това е полезно, когато имате множество износители, изпращащи данни към един и същ колектор.
  • Чрез задаване на различни идентификатори на двигателя, събирачът може да прави разлика между данните, получени от различни износители.

Изчакване на трафика

  • Модулът не предоставя конкретна информация за изчакване на трафика. Моля, вижте съответните документи или се свържете с Advantech Czech sro за повече подробности.

Свързани документи

  • За повече информация и подробни инструкции, моля, вижте следните документи:
  • Ръководство за конфигуриране
  • Друга свързана документация, предоставена от Advantech Czech sro

ЧЗВ

Въпрос: Кой е производителят на NetFlow/IPFIX?

  • A: Производителят на NetFlow/IPFIX е Advantech Czech sro

Въпрос: Каква е целта на NetFlow/IPFIX?

  • A: NetFlow/IPFIX е предназначен за наблюдение на мрежовия трафик чрез събиране на информация за IP трафика от поддържащи NetFlow рутери и изпращането й на NetFlow колектор и анализатор.

В: Как мога да получа достъп до конфигурационните настройки на модула?

  • A: За достъп до настройките на конфигурацията щракнете върху елемента „Глобални“ в главното меню на модула web интерфейс.

Въпрос: За какво се използва настройката за ID на двигателя?

  • A: Настройката на Engine ID ви позволява да посочите уникален идентификатор за вашия експортер, помагайки на колекционера да разграничи множество експортери.
  • © 2023 Advantech Czech sro Никаква част от тази публикация не може да бъде възпроизвеждана или предавана под каквато и да е форма или по какъвто и да е начин, електронен или механичен, включително фотография, запис или система за съхранение и извличане на информация без писмено съгласие.
  • Информацията в това ръководство подлежи на промяна без предизвестие и не представлява ангажимент от страна на Advantech.
  • Advantech Czech sro не носи отговорност за случайни или последващи щети в резултат на предоставянето, изпълнението или използването на това ръководство.
  • Всички търговски марки, използвани в това ръководство, са регистрирани търговски марки на съответните им собственици. Използването на търговски марки или други обозначения в тази публикация е само за справка и не представлява одобрение от притежателя на търговската марка.

Използвани символи

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1опасност – Информация относно безопасността на потребителя или потенциална повреда на рутера.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2внимание – Проблеми, които могат да възникнат в конкретни ситуации.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Информация – Полезни съвети или информация от специален интерес.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example – Прampфайл на функция, команда или скрипт.

Дневник на промените

Списък на промените на NetFlow/IPFIX

  • v1.0.0 (2020-04-15)
    • Първо издание.
  • v1.1.0 (2020-10-01)
    • Актуализиран CSS и HTML код, за да съответства на фърмуера 6.2.0+.

Описание на модула

  • Приложението за рутер NetFlow/IPFIX не се съдържа в стандартния фърмуер на рутера. Качването на това приложение за рутер е описано в ръководството за конфигуриране (вижте Глава Свързани документи).
  • Приложението за рутер NetFlow/IPFIX е определено за наблюдение на мрежовия трафик. Рутерите с активиран NetFlow имат сонда, която събира информация за IP трафика и я изпраща на колектор и анализатор на NetFlow.

Това приложение за рутер съдържа:

  • Сонда NetFlow, която може да изпраща информация към съвместим мрежов колектор и анализатор, напр http://www.paessler.com/prtg.
  • NetFlow колектор, който съхранява събраната информация в a file. Може също да получава и съхранява NetFlow трафик от други устройства.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Интерфейс

  • След като инсталацията на модула приключи, GUI на модула може да бъде извикан чрез щракване върху името на модула на страницата с приложения на рутера на рутера web интерфейс.
  • Лявата част на този графичен потребителски интерфейс съдържа меню със секция на менюто за конфигурация и секция на менюто с информация.
  • Разделът на менюто за персонализиране съдържа само елемента за връщане, който превключва обратно от този на модула web страница към рутера web конфигурационни страници. Главното меню на GUI на модула е показано на Фигура 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Конфигурация

Глобален

  • Всички настройки на приложението за рутер NetFlow/IPFIX могат да бъдат конфигурирани чрез щракване върху елемента Global в главното меню на модула web интерфейс. Крайview на конфигурируемите елементи е даден по-долу.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Артикул Описание
Активиране на сондата Започнете да свързвате информацията за NetFlow към отдалечен колектор (когато е дефиниран) или към локален колектор (когато е активиран).
протокол Използван протокол: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
ID на двигателя Стойност на ID на домейн за наблюдение (на IPFIX, идентификатор на източник на NetFlow v9 или идентификатор на машина на NetFlow v5). Това може да помогне на вашия колекционер да разграничи няколко износителя. Вижте също раздел за Оперативна съвместимост на ID на двигателя.
Артикул Описание
Sampлер (празно): подайте всеки наблюдаван поток; детерминистичен: предава всеки N-ти наблюдаван поток; случаен: изберете произволно един от N потока; хеш: изберете хеш-произволно един от N потока.
SampLeer Rate Стойността на N.
Време за изчакване на неактивен трафик Изпратете поток, след като е неактивен за 15 секунди. Стойността по подразбиране е 15.
Време за изчакване на активен трафик Изпратете поток, след като е бил активен за 1800 секунди (30 минути). Стойността по подразбиране е 1800. Вижте също раздела за изчакване на трафика.
Дистанционен колектор IP адрес на колектор или анализатор на NetFlow, където да се изпрати събраната информация за трафика на NetFlow. Портът не е задължителен, по подразбиране 2055. Детинацията може да съдържа разделен със запетая списък с множество IP адреси (и портове), за да отразява NetFlow към два или повече колектори/анализатори.
Активирайте локалния колектор Започнете да получавате информация за NetFlow от локалната сонда (когато е активирана) или от отдалечена сонда.
Интервал на съхранение Указва интервала от време в секунди за завъртане fileс. Стойността по подразбиране е 300 s (5 min).
Срок на съхранение Задава максималния живот на files в директорията. Стойност 0 деактивира ограничението за максимален живот.
Съхраняване на интерфейсни SNMP номера Поставете отметка за съхраняване на SNMP индекс на входно/изходния интерфейс (%in, %out) в допълнение към стандартния набор от информация, вижте по-долу.
Съхраняване на IP адрес на следващия хоп Поставете отметка, за да запазите IP адреса на следващия хоп на изходящия трафик (%nh).
Магазин за експортиране на IP адрес Поставете отметка, за да запазите IP адреса на експортиращия рутер (%ra).
Идент. № на машината за експортиране на магазина Поставете отметка, за да запазите ID на двигателя на експортиращия рутер (%eng).
Време за приемане на потока на магазина Поставете отметка, за да запазите времетоamp когато е получена информацията за потока (%tr).

Таблица 1: Описание на конфигурационни елементи

Информация

лицензи Обобщава лицензите за софтуер с отворен код (OSS), използвани от този модулADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Инструкции за употреба

Данните NetFlow не трябва да се изпращат през WAN, освен ако не се използва VPN. Данните по своята същност не са криптирани или объркани, така че неоторизирано лице може да прихване и view информацията.

Събрана информация

Следният стандартен набор от информация винаги се изпраща от сондата и се съхранява от колектора:

  • Най-времеamp кога трафикът е видян за първи път (%ts) и последно (%te), използвайки часовника на сондата
  • Брой байтове (%byt) и пакети (%pkt)
  • Използван протокол (%pr)
  • TOS (%tos)
  • TCP флагове (%flg)
  • IP адрес на източник (%sa, %sap) и порт (%sp)
  • IP адрес на местоназначение (%da, %dap) и порт (%dp)
  • ICMP тип (%it)

Следното също се изпраща, но се съхранява само при поискване (вижте конфигурацията по-горе):

  • SNMP индекс на входно/изходния интерфейс (%in, %out)
  • IP адрес на следващия хоп на изходящия трафик (%nh)
  • IP адрес (%ra) и ID на двигателя (%eng) на експортиращия рутер (сонда)
  • Най-времеamp когато е получена информацията за потока (%tr), използвайки часовника на колектора
  • Стойността в скоби (%xx) показва форматиращия инструмент, който ще се използва с nfdump за показване на тази стойност (вижте следващата глава).

Извличане на съхранена информация

  • Данните се съхраняват в /tmp/netflow/nfcapd.yyyymmddHHMM, където yyyymmddHHMM е времето за създаване. Директорията също така включва .nfstat file, който се използва за следене на времето на изтичане.
  • Не променяйте това file. За да конфигурирате изтичането, използвайте администраторския GUI.
  • The files може да се чете с помощта на командата nfdump. nfdump [опции] [филтър]

Показване на UDP пакети, изпратени от 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp и src ip 192.168.88.100'
    • Показване на всички потоци между 16:25 и 17:25, агрегиране на двупосочни потоци (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Показване на тип/ИД на машината, адрес на източника+порт и адрес на местоназначение+por за всички потоци:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Оперативна съвместимост на ID на двигателя

  • Netflow v5 дефинира два 8-битови идентификатора: Engine Type и Engine ID. Сондата на рутерите на Advantech изпраща само ID на двигателя (0..255). Типът двигател винаги ще бъде нула (0). Следователно поток, изпратен с Engine ID = 513 (0x201), ще бъде получен като Engine Type/ID = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 дефинира един 32-битов идентификатор. Сондата на рутерите на Advantech може да изпрати произволно 32-битово число, но други производители (напр. Cisco) разделят идентификатора на два запазени байта, последвани от Тип на двигателя и ID на двигателя. Приемникът следва същия подход.
  • Следователно поток, изпратен с Engine ID = 513 (0x201), ще бъде получен като Engine Type/ID = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX дефинира един 32-битов идентификатор. Сондата на рутерите на Advantech може да изпрати всяко 32-битово число, но локалният колектор все още не съхранява тази стойност. Следователно всеки поток ще бъде получен като Тип/ИД на двигателя = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • препоръка: Ако искате да съхранявате ID на машината в локалния колектор, поставете отметка на Store Exporting Engine ID в конфигурацията, използвайте Engine ID < 256 и избягвайте използването на IPFIX протокола.
  • Изчакване на трафика
  • Сондата експортира цели потоци, т.е. всички пакети, които принадлежат един към друг. Ако не се наблюдават пакети за даден период (време за изчакване на неактивен трафик), потокът се счита за завършен и сондата изпраща информация за трафика към колектора.
  • Информация за a file трансфер ще се появи в колектора, след като трансферът приключи, което може да отнеме значително време. Ако предаването е активно за твърде дълго (Active Traffic Timeout), то ще се появи като множество по-къси потоци.
  • Напримерampнапример, с 30 минути таймаут за активен трафик, 45 минути комуникация ще се покаже като два потока: един 30 минути и един 15 минути.

Изчакване на трафика

  • Сондата експортира цели потоци, т.е. всички пакети, които принадлежат един към друг. Ако не се наблюдават пакети за даден период (време за изчакване на неактивен трафик), потокът се счита за завършен и сондата изпраща информация за трафика към колектора.
  • Информация за a file трансфер ще се появи в колектора, след като трансферът приключи, което може да отнеме значително време. Ако предаването е активно за твърде дълго (Active Traffic Timeout), то ще се появи като множество по-къси потоци. Напримерampнапример, с 30 минути таймаут за активен трафик, 45 минути комуникация ще се покаже като два потока: един 30 минути и един 15 минути.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Свързани документи

  • Можете да получите документи, свързани с продукта, на Инженерния портал на адрес icr.advantech.cz.
  • За да получите Ръководство за бърз старт, Ръководство за потребителя, Ръководство за конфигуриране или Фърмуер, отидете на страницата Модели на рутера, намерете желания модел и превключете съответно към раздела Ръководства или Фърмуер.
  • Инсталационните пакети и ръководства на Router Apps са налични на страницата Router Apps.
  • За документите за разработка отидете на страницата DevZone.

Документи / Ресурси

ADVANTECH Router App Net Flow Pfix [pdf] Ръководство за потребителя
Приложение за рутер Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Референции

Свързани публикации

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *