ADVANTECH Router App Net Flow Pfix

Informació del producte

Especificacions

• Fabricant: Advantech Czech sro
• Adreça: Sokolska 71, 562 04 Usti nad Orlici, República Txeca
• Document Núm.: APP-0085-EN
• Revisió Data: 19 d’octubre de 2023

Descripció del mòdul

• El mòdul NetFlow/IPFIX és una aplicació d'encaminador desenvolupada per Advantech Czech s.r.o. No s'inclou al microprogramari estàndard de l'encaminador i s'ha de carregar per separat.
• El mòdul està dissenyat per controlar el trànsit de la xarxa. Funciona recopilant informació de trànsit IP mitjançant una sonda instal·lada en encaminadors habilitats per NetFlow.
• A continuació, aquesta informació s'envia a un col·lector i analitzador NetFlow per a una anàlisi posterior.

Web Interfície

Un cop instal·lat el mòdul, podeu accedir-hi web interfície fent clic al nom del mòdul a la pàgina d'aplicacions de l'encaminador del vostre encaminador web interfície. El web La interfície consta d'un menú amb diferents seccions:

Configuració

La secció Configuració us permet configurar diversos paràmetres de l'aplicació de l'encaminador NetFlow/IPFIX. Per accedir als paràmetres de configuració, feu clic a l'element "Global" del menú principal del mòdul web interfície. Els elements configurables inclouen:

• Activa la sonda: Aquesta opció comença a enviar la informació de NetFlow a un col·lector remot (si està definit) o ​​al col·lector local (si està activat).
• Protocol: Aquesta opció us permet triar el protocol que s'utilitzarà per a l'enviament d'informació de NetFlow. Podeu seleccionar entre NetFlow v5, NetFlow v9 o IPFIX (NetFlow v10).
• ID del motor: Aquesta opció us permet establir l'identificador de domini d'observació (per a IPFIX), l'identificador de font (per a NetFlow v9) o l'identificador de motor (per a NetFlow v5). Això ajuda al col·leccionista a distingir entre diversos exportadors. Per obtenir més informació, consulteu la secció sobre Interoperabilitat de l'identificador del motor.

Informació

La secció Informació proporciona detalls sobre el mòdul i les seves llicències. Podeu accedir a aquesta secció fent clic a l'element "Informació" del menú principal del mòdul web interfície.

Instruccions d'ús

Informació recollida

• El mòdul NetFlow/IPFIX recopila informació de trànsit IP de la sonda de l'encaminador. Això inclou detalls com ara adreces IP d'origen i de destinació, recomptes de paquets, recomptes de bytes i informació del protocol.

Recuperació d'informació emmagatzemada

• Per recuperar la informació emmagatzemada, cal accedir al col·lector i analitzador NetFlow al qual el mòdul envia les dades. El col·lector i l'analitzador proporcionaran eines i informes per analitzar i visualitzar la informació recollida.

Interoperabilitat d'identificació del motor

• La configuració de l'identificador del motor a la configuració us permet especificar un identificador únic per al vostre exportador. Això és útil quan teniu diversos exportadors que envien dades al mateix col·lector.
• En establir diferents identificadors de motor, el col·lector pot diferenciar les dades rebudes de diferents exportadors.

Temps morts del trànsit

• El mòdul no proporciona informació específica sobre els temps d'espera del trànsit. Consulteu els documents relacionats o poseu-vos en contacte amb Advantech Czech s.r.o. per a més detalls.

Documents relacionats

• Per obtenir més informació i instruccions detallades, consulteu els documents següents:
• Manual de configuració
• Una altra documentació relacionada proporcionada per Advantech Czech s.r.o.

Preguntes freqüents

P: Qui és el fabricant de NetFlow/IPFIX?

• A: El fabricant de NetFlow/IPFIX és Advantech Czech s.r.o.

P: Quin és l'objectiu de NetFlow/IPFIX?

• A: NetFlow/IPFIX està dissenyat per supervisar el trànsit de xarxa mitjançant la recollida d'informació de trànsit IP d'encaminadors habilitats per NetFlow i enviant-la a un col·lector i analitzador NetFlow.

P: Com puc accedir als paràmetres de configuració del mòdul?

• A: Per accedir als paràmetres de configuració, feu clic a l'element "Global" del menú principal del mòdul web interfície.

P: Per a què s'utilitza la configuració d'ID del motor?

• A: La configuració d'ID del motor us permet especificar un identificador únic per al vostre exportador, ajudant el col·leccionista a distingir entre diversos exportadors.
• © 2023 Advantech Czech sro Cap part d'aquesta publicació no es pot reproduir ni transmetre de cap forma ni per cap mitjà, electrònic o mecànic, inclosa la fotografia, l'enregistrament o qualsevol sistema d'emmagatzematge i recuperació d'informació sense el consentiment per escrit.
• La informació d'aquest manual està subjecta a canvis sense previ avís i no representa cap compromís per part d'Advantech.
• Advantech Czech sro no serà responsable dels danys incidentals o conseqüents derivats del subministrament, el rendiment o l'ús d'aquest manual.
• Totes les marques utilitzades en aquest manual són marques registrades dels seus respectius propietaris. L'ús de marques comercials o altres designacions en aquesta publicació només té finalitats de referència i no constitueix un aval per part del titular de la marca comercial.

Símbols utilitzats

• Perill – Informació sobre la seguretat de l'usuari o possibles danys al router.
• Atenció – Problemes que poden sorgir en situacions concretes.
• Informació – Consells útils o informació d'especial interès.
• Example – Exampfitxer de funció, comanda o script.

Registre de canvis

Registre de canvis de NetFlow/IPFIX

• v1.0.0 (2020/04/15)
  • Primer llançament.
• v1.1.0 (2020/10/01)
  • Codi CSS i HTML actualitzat per coincidir amb el firmware 6.2.0+.

Descripció del mòdul

• L'aplicació d'encaminador NetFlow/IPFIX no es troba al microprogramari estàndard de l'encaminador. La càrrega d'aquesta aplicació d'encaminador es descriu al manual de configuració (vegeu el capítol Documents relacionats).
• L'aplicació d'encaminador NetFlow/IPFIX està determinada per supervisar el trànsit de la xarxa. Els encaminadors habilitats per NetFlow tenen una sonda que recopila informació del trànsit IP i l'envia a un col·lector i analitzador NetFlow.

Aquesta aplicació d'encaminador conté:

• Sonda NetFlow que pot enviar informació a un col·lector i analitzador de xarxa compatible, p. g. el http://www.paessler.com/prtg.
• Col·lector NetFlow que emmagatzema la informació recollida a a file. També pot rebre i emmagatzemar trànsit NetFlow d'altres dispositius.

Web Interfície

• Un cop finalitzada la instal·lació del mòdul, es pot invocar la GUI del mòdul fent clic al nom del mòdul a la pàgina d'aplicacions de l'encaminador del router. web interfície.
• La part esquerra d'aquesta GUI conté un menú amb la secció del menú Configuració i la secció del menú Informació.
• La secció del menú de personalització només conté l'element Retorn, que canvia de la del mòdul web pàgina a l'encaminador web pàgines de configuració. El menú principal de la GUI del mòdul es mostra a la figura 2.

Configuració

Global

• Tota la configuració de l'aplicació de l'encaminador NetFlow/IPFIX es pot configurar fent clic a l'element Global al menú principal del mòdul web interfície. Un acabatview d'elements configurables es mostra a continuació.

Item	Descripció
Activa la sonda	Comenceu a enviar la informació de NetFlow a un col·lector remot (quan estigui definit) o ​​al col·lector local (quan estigui habilitat).
Protocol	Protocol a utilitzar: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
ID del motor	Valor d'identificador de domini d'observació (a IPFIX, identificador de font a NetFlow v9 o identificador de motor a NetFlow v5). Això pot ajudar el vostre col·leccionista a distingir entre diversos exportadors. Vegeu també la secció d'Interoperabilitat de l'identificador del motor.

Item	Descripció
Sampler	(buit): envia tots els fluxos observats; determinista: envia cada N-èsimo flux observat; aleatòria: seleccionar aleatòriament un de N fluxos; haixix: seleccioneu hash aleatòriament un de N fluxos.
SampLeer Tarifa	El valor de N.
Temps d'espera del trànsit inactiu	Envia el flux després que estigui inactiu durant 15 segons. El valor per defecte és 15.
Temps d'espera del trànsit actiu	Envia el flux després que estigui actiu durant 1800 segons (30 minuts). El valor predeterminat és 1800. Vegeu també la secció sobre temps d'espera del trànsit.
Col·lector remot	Adreça IP d'un col·lector o analitzador NetFlow, on enviar la informació de trànsit NetFlow recollida. El port és opcional, per defecte 2055. La destinació pot contenir una llista separada per comes de múltiples adreces IP (i ports) per reflectir el NetFlow a dos o més col·leccionistes/analitzadors.
Activa el col·lector local	Comenceu a rebre informació de NetFlow de la sonda local (quan està activada) o d'una sonda remota.
Interval d'emmagatzematge	Especifica l'interval de temps en segons per girar files. El valor predeterminat és 300 s (5 min).
Caducitat de l'emmagatzematge	Estableix el temps de vida màxim per files al directori. Un valor de 0 desactiva el límit de vida útil màxim.
Emmagatzema els números SNMP de la interfície	Marqueu per emmagatzemar l'índex SNMP de la interfície d'entrada/sortida (%in, %out) a més del conjunt estàndard d'informació, vegeu a continuació.
Emmagatzema l'adreça IP de Next Hop	Marqueu per emmagatzemar l'adreça IP del següent salt de trànsit de sortida (%nh).
Adreça IP d'exportació de la botiga	Marqueu per emmagatzemar l'adreça IP de l'encaminador exportador (%ra).
Identificador del motor d'exportació de la botiga	Marqueu per emmagatzemar l'ID del motor de l'encaminador exportador (%eng).
Temps de recepció del flux de la botiga	Comproveu per emmagatzemar el tempsamp quan es va rebre la informació del flux (%tr).

Taula 1: Descripció dels elements de configuració

Informació

llicències Resumeix les llicències de programari de codi obert (OSS) utilitzades per aquest mòdul

Instruccions d'ús

Les dades de NetFlow no s'han d'enviar per WAN, tret que s'utilitzi VPN. Les dades no estan inherentment xifrades ni ofuscades, de manera que una persona no autoritzada pot interceptar i view la informació.

Informació recollida

El següent conjunt estàndard d'informació sempre és enviat per la sonda i emmagatzemat pel col·lector:

• Timestamp quan es va veure el trànsit per primera vegada (%ts) i es va veure per última vegada (%te), utilitzant el rellotge de la sonda
• Nombre de bytes (%byt) i paquets (%pkt)
• Protocol utilitzat (%pr)
• TOS (%tos)
• Senyals de TCP (%flg)
• Adreça IP d'origen (%sa, %sap) i port (%sp)
• Adreça IP de destinació (%da, %dap) i port (%dp)
• Tipus ICMP (%it)

També s'envien els següents, però només s'emmagatzemen a petició (vegeu la configuració anterior):

• Índex SNMP de la interfície d'entrada/sortida (%in, %out)
• Adreça IP del següent salt de trànsit de sortida (%nh)
• Adreça IP (%ra) i identificador del motor (%eng) de l'encaminador exportador (sonda)
• Timestamp quan es va rebre la informació del flux (%tr), utilitzant el rellotge del col·lector
• El valor entre parèntesis (%xx) indica el formatador que s'utilitzarà amb nfdump per mostrar aquest valor (vegeu el capítol següent).

Recuperació d'informació emmagatzemada

• Les dades s'emmagatzemen a /tmp/netflow/nfcapd.yyyymmddHHMM, on aaaammddHHMM és l'hora de creació. El directori també inclou el .nfstat file, que s'utilitza per controlar el temps de caducitat.
• No altereu això file. Per configurar la caducitat, utilitzeu la GUI d'administració.
• El files es pot llegir amb l'ordre nfdump. nfdump [opcions] [filtre]

Mostra els paquets UDP enviats per 192.168.88.100:

• nfdump -r nfcapd.202006011625 "proto udp i src ip 192.168.88.100"
  • Mostra tots els fluxos entre les 16:25 i les 17:25, agregant els fluxos bidireccionals (-B):
• nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
  • Mostra el tipus/identificador del motor, l'adreça d'origen+port i l'adreça de destinació+por per a tots els fluxos:
• nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Interoperabilitat d'identificació del motor

• Netflow v5 defineix dos identificadors de 8 bits: tipus de motor i identificador de motor. La sonda dels encaminadors Advantech només envia l'identificador del motor (0..255). El tipus de motor sempre serà zero (0). Per tant, un flux enviat amb l'ID del motor = 513 (0x201) es rebrà com a Tipus/ID de motor = 0/1.
• Netflow v9 defineix un identificador de 32 bits. Probe als encaminadors Advantech pot enviar qualsevol número de 32 bits, però altres fabricants (per exemple, Cisco) divideixen l'identificador en dos bytes reservats, seguits pel tipus de motor i l'identificador de motor. El receptor segueix el mateix enfocament.
• Per tant, un flux enviat amb l'ID del motor = 513 (0x201) es rebrà com a Tipus/ID de motor = 2/1.
• IPFIX defineix un identificador de 32 bits. La sonda dels encaminadors Advantech pot enviar qualsevol número de 32 bits, però el col·lector local encara no emmagatzema aquest valor. Per tant, qualsevol flux es rebrà com a Tipus/ID de motor = 0/0.
• Recomanació: Si voleu emmagatzemar l'ID del motor al col·lector local, marqueu Store Exporting Engine ID a la configuració, utilitzeu l'ID del motor < 256 i eviteu utilitzar el protocol IPFIX.
• Temps morts del trànsit
• La sonda exporta fluxos sencers, és a dir, tots els paquets que pertanyen junts. Si no s'observa cap paquet durant un període determinat (temps d'espera de trànsit inactiu), el flux es considera com a complet i la sonda envia informació de trànsit al col·lector.
• Informació sobre a file Així, la transferència apareixerà al col·lector un cop finalitzada la transferència, cosa que pot trigar un temps important. Si la transmissió està activa durant massa temps (Temps d'espera del trànsit actiu), apareixerà com a diversos fluxos més curts.
• Per exampi, amb un temps d'espera de trànsit actiu de 30 minuts, una comunicació de 45 minuts es mostrarà com a dos fluxos: un de 30 min i un de 15 min.

Temps morts del trànsit

• La sonda exporta fluxos sencers, és a dir, tots els paquets que pertanyen junts. Si no s'observa cap paquet durant un període determinat (temps d'espera de trànsit inactiu), el flux es considera com a complet i la sonda envia informació de trànsit al col·lector.
• Informació sobre a file Així, la transferència apareixerà al col·lector un cop finalitzada la transferència, cosa que pot trigar un temps important. Si la transmissió està activa durant massa temps (Temps d'espera del trànsit actiu), apareixerà com a diversos fluxos més curts. Per exampi, amb un temps d'espera de trànsit actiu de 30 minuts, una comunicació de 45 minuts es mostrarà com a dos fluxos: un de 30 min i un de 15 min.

Documents relacionats

• Podeu obtenir documents relacionats amb el producte al portal d'enginyeria a l'adreça icr.advantech.cz.
• Per obtenir la Guia d'inici ràpid, el manual d'usuari, el manual de configuració o el firmware del vostre encaminador, aneu a la pàgina Models d'encaminador, cerqueu el model necessari i canvieu a la pestanya Manuals o Firmware, respectivament.
• Els manuals i els paquets d'instal·lació d'aplicacions d'encaminador estan disponibles a la pàgina d'aplicacions d'encaminador.
• Per als documents de desenvolupament, aneu a la pàgina DevZone.

Documents/Recursos

ADVANTECH Router App Net Flow Pfix [pdfGuia de l'usuari Pfix de flux net de l'aplicació d'encaminador, Pfix de flux net de l'aplicació, Pfix de flux net, Pfix de flux, Pfix

Referències

• Manual d'usuari