Indhold skjule
1 ADVANTECH Router App Net Flow Pfix
2 Produktinformation
3 Brugsvejledning
4 Brugte symboler
5 Ændringslog
6 Beskrivelse af modulet
7 Konfiguration
8 Information
9 Brugsvejledning
10 Engine ID interoperabilitet
11 Relaterede dokumenter
12 Dokumenter/ressourcer
12.1 Referencer
13 Relaterede indlæg

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Produktinformation

Specifikationer

  • Fabrikant: Advantech Czech sro
  • Adresse: Sokolska 71, 562 04 Usti nad Orlici, Tjekkiet
  • Dokument nr.: APP-0085-EN
  • Revision Dato: 19. oktober 2023

Beskrivelse af modulet

  • NetFlow/IPFIX-modulet er en router-app udviklet af Advantech Czech sro. Den er ikke inkluderet i standardrouterens firmware og skal uploades separat.
  • Modulet er designet til at overvåge netværkstrafik. Det fungerer ved at indsamle IP-trafikinformation ved hjælp af en sonde installeret på NetFlow-aktiverede routere.
  • Disse oplysninger sendes derefter til en NetFlow-opsamler og -analysator til yderligere analyse.

Web Interface

Når modulet er installeret, kan du få adgang til det web grænsefladen ved at klikke på modulnavnet på siden Router apps på din router web grænseflade. Det web grænsefladen består af en menu med forskellige sektioner:

Konfiguration

Konfigurationsafsnittet giver dig mulighed for at konfigurere forskellige indstillinger for NetFlow/IPFIX-router-appen. For at få adgang til konfigurationsindstillingerne, klik på punktet "Global" i hovedmenuen i modulet web interface. De konfigurerbare elementer omfatter:

  • Aktiver sonde: Denne mulighed begynder at sende NetFlow-oplysningerne til en fjernindsamler (hvis defineret) eller til den lokale indsamler (hvis aktiveret).
  • protokol: Denne mulighed giver dig mulighed for at vælge den protokol, der skal bruges til indsendelse af NetFlow-oplysninger. Du kan vælge mellem NetFlow v5, NetFlow v9 eller IPFIX (NetFlow v10).
  • Motor ID: Denne indstilling giver dig mulighed for at indstille Observation Domain ID (til IPFIX), Source ID (for NetFlow v9) eller Engine ID (for NetFlow v5). Dette hjælper samleren med at skelne mellem flere eksportører. For mere information henvises til afsnittet om Engine ID Interoperabilitet.

Information

Afsnittet Information indeholder detaljer om modulet og dets licenser. Du kan få adgang til denne sektion ved at klikke på punktet "Information" i hovedmenuen på modulet web interface.

Brugsvejledning

Indsamlede oplysninger

  • NetFlow/IPFIX-modulet indsamler IP-trafikinformation fra routerens probe. Dette inkluderer detaljer såsom kilde- og destinations-IP-adresser, pakkeantal, byte-antal og protokoloplysninger.

Hentning af lagrede oplysninger

  • For at hente de lagrede oplysninger skal du have adgang til NetFlow-indsamleren og analysatoren, som modulet sender dataene til. Indsamleren og analysatoren vil levere værktøjer og rapporter til at analysere og visualisere den indsamlede information.

Engine ID interoperabilitet

  • Engine ID-indstillingen i konfigurationen giver dig mulighed for at angive en unik identifikator for din eksportør. Dette er nyttigt, når du har flere eksportører, der sender data til den samme indsamler.
  • Ved at indstille forskellige motor-id'er kan indsamleren skelne mellem de data, der modtages fra forskellige eksportører.

Trafik timeouts

  • Modulet giver ikke specifik information om trafiktimeouts. Se venligst de relaterede dokumenter eller kontakt Advantech Czech sro for flere detaljer.

Relaterede dokumenter

  • For mere information og detaljerede instruktioner henvises til følgende dokumenter:
  • Konfigurationsmanual
  • Anden relateret dokumentation leveret af Advantech Czech sro

FAQ

Q: Hvem er producenten af ​​NetFlow/IPFIX?

  • A: Producenten af ​​NetFlow/IPFIX er Advantech Czech sro

Q: Hvad er formålet med NetFlow/IPFIX?

  • A: NetFlow/IPFIX er designet til at overvåge netværkstrafik ved at indsamle IP-trafikinformation fra NetFlow-aktiverede routere og sende dem til en NetFlow-opsamler og -analysator.

Q: Hvordan får jeg adgang til modulets konfigurationsindstillinger?

  • A: For at få adgang til konfigurationsindstillingerne, klik på punktet "Global" i hovedmenuen i modulet web interface.

Sp: Hvad bruges indstillingen Engine ID til?

  • A: Engine ID-indstillingen giver dig mulighed for at angive en unik identifikator for din eksportør, hvilket hjælper samleren med at skelne mellem flere eksportører.
  • © 2023 Advantech Czech sro Ingen del af denne publikation må gengives eller transmitteres i nogen form eller på nogen måde, elektronisk eller mekanisk, herunder fotografering, optagelse eller noget system til lagring og hentning af information uden skriftligt samtykke.
  • Oplysningerne i denne manual kan ændres uden varsel, og de repræsenterer ikke en forpligtelse fra Advantechs side.
  • Advantech Czech sro er ikke ansvarlig for hændelige skader eller følgeskader som følge af indretning, ydeevne eller brug af denne manual.
  • Alle mærkenavne, der bruges i denne vejledning, er registrerede varemærker tilhørende deres respektive ejere. Brugen af ​​varemærker eller andre betegnelser i denne publikation er kun til referenceformål og udgør ikke en godkendelse fra varemærkeindehaveren.

Brugte symboler

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Fare – Oplysninger om brugersikkerhed eller potentiel skade på routeren.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Opmærksomhed – Problemer, der kan opstå i konkrete situationer.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Information – Nyttige tips eller information af særlig interesse.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example – Eksample af funktion, kommando eller script.

Ændringslog

NetFlow/IPFIX Changelog

  • v1.0.0 (2020-04-15)
    • Første udgivelse.
  • v1.1.0 (2020-10-01)
    • Opdateret CSS- og HTML-kode til at matche firmware 6.2.0+.

Beskrivelse af modulet

  • Router-appen NetFlow/IPFIX er ikke indeholdt i standardrouter-firmwaren. Upload af denne router-app er beskrevet i konfigurationsmanualen (se kapitel relaterede dokumenter).
  • Router-appen NetFlow/IPFIX er bestemt til at overvåge netværkstrafik. NetFlow-aktiverede routere har en sonde, der indsamler IP-trafikinformation og sender dem til en NetFlow-opsamler og -analysator.

Denne router-app indeholder:

  • NetFlow-sonde, der kan sende information til en kompatibel netværksopsamler og -analysator, f.eks http://www.paessler.com/prtg.
  • NetFlow-samler, der gemmer de indsamlede oplysninger til en file. Den kan også modtage og gemme NetFlow-trafik fra andre enheder.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Interface

  • Når installationen af ​​modulet er fuldført, kan modulets GUI aktiveres ved at klikke på modulnavnet på siden Router apps på routerens web interface.
  • Venstre del af denne GUI indeholder menu med konfigurationsmenusektion og informationsmenusektion.
  • Tilpasningsmenusektionen indeholder kun punktet Retur, som skifter tilbage fra modulets web side til routerens web konfigurationssider. Hovedmenuen for modulets GUI er vist på figur 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Konfiguration

Global

  • Alle NetFlow/IPFIX router app indstillinger kan konfigureres ved at klikke på Global element i hovedmenuen i modulet web interface. En overview af konfigurerbare elementer er angivet nedenfor.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Punkt Beskrivelse
Aktiver sonde Begynd at sende NetFlow-oplysningerne til en fjernsamler (når den er defineret) eller til den lokale indsamler (når den er aktiveret).
Protokol Protokol der skal bruges: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
Motor ID Observationsdomæne-id (på IPFIX, kilde-id på NetFlow v9 eller motor-id på NetFlow v5) værdi. Dette kan hjælpe din samler med at skelne mellem flere eksportører. Se også afsnittet om Engine ID Interoperabilitet.
Punkt Beskrivelse
Sampler (tom): indsend hvert observeret flow; deterministisk: indsend hvert N-te observerede flow; tilfældig: vælg tilfældigt én ud af N strømme; hash: vælg hash-tilfældigt én ud af N flows.
Sampleer Rate Værdien af ​​N.
Inaktiv trafik timeout Send flow, når det har været inaktivt i 15 sekunder. Standardværdien er 15.
Aktiv Trafik Timeout Send flow, når det har været aktivt i 1800 sekunder (30 minutter). Standardværdien er 1800. Se også afsnittet om trafiktimeouts.
Fjernindsamler IP-adressen på en NetFlow-samler eller -analysator, hvor den indsamlede NetFlow-trafikinformation skal indsendes. Port er valgfri, standard 2055. Detination kan indeholde en kommasepareret liste over flere IP-adresser (og porte) for at spejle NetFlow til to eller flere samlere/analysatorer.
Aktiver Local Collector Begynd at modtage NetFlow-oplysninger fra den lokale sonde (når den er aktiveret) eller fra en fjernsonde.
Opbevaringsinterval Angiver det tidsinterval i sekunder, der skal roteres files. Standardværdien er 300s (5min).
Opbevaringsudløb Indstiller den maksimale levetid for files i mappen. En værdi på 0 deaktiverer den maksimale levetidsgrænse.
Gem grænseflade SNMP-numre Marker for at gemme SNMP-indekset for input/output-grænsefladen (%in, %out) ud over standardsættet af information, se nedenfor.
Gem Next Hop IP-adresse Marker for at gemme IP-adressen for det næste hop af udgående trafik (%nh).
Store eksporterer IP-adresse Marker for at gemme IP-adressen på den eksporterende router (%ra).
Butik, der eksporterer motor-id Marker for at gemme motor-id for den eksporterende router (%eng).
Store flow modtagelsestid Marker for at gemme tideramp når flowinformationen blev modtaget (%tr).

Tabel 1: Beskrivelse af konfigurationselementer

Information

licenser Opsummerer Open-Source Software (OSS) licenser, der bruges af dette modulADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Brugsvejledning

NetFlow-dataene bør ikke sendes over WAN, medmindre der bruges VPN. Dataene er ikke i sig selv krypteret eller sløret, så en uautoriseret person kan opsnappe og view oplysningerne.

Indsamlede oplysninger

Følgende standardsæt af oplysninger sendes altid af sonden og opbevares af indsamleren:

  • Tidligstamp når trafikken først blev set (%ts) og sidst set (%te), ved hjælp af sondens ur
  • Antal bytes (%byt) og pakker (%pkt)
  • Protokol brugt (%pr)
  • TOS (%tos)
  • TCP-flag (%flg)
  • Kilde-IP-adresse (%sa, %sap) og port (%sp)
  • Destinations-IP-adresse (%da, %dap) og port (%dp)
  • ICMP-type (%it)

Følgende sendes også, men gemmes kun efter anmodning (se konfigurationen ovenfor):

  • SNMP-indeks for input/output-grænsefladen (%in, %out)
  • IP-adressen for det næste hop af udgående trafik (%nh)
  • IP-adresse (%ra) og motor-id (%eng) for den eksporterende router (sonde)
  • Tidligstamp når flowinformationen blev modtaget (%tr), ved hjælp af uret fra opsamleren
  • Værdien i parentes (%xx) angiver den formatering, der skal bruges sammen med nfdump for at vise denne værdi (se næste kapitel).

Hentning af lagrede oplysninger

  • Data gemmes i /tmp/netflow/nfcapd.yyyymmddHHMM, hvor yyyymmddHHMM er oprettelsestidspunktet. Mappen indeholder også .nfstat file, som bruges til at overvåge udløbstiden.
  • Ændre ikke dette file. Brug admin GUI for at konfigurere udløb.
  • De files kan læses ved hjælp af kommandoen nfdump. nfdump [indstillinger] [filter]

Vis UDP-pakker sendt af 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp og src ip 192.168.88.100'
    • Vis alle flows mellem 16:25 og 17:25, aggregerende tovejsstrømme (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Display Engine Type/ID, kildeadresse+port og destinationsadresse+por for alle flows:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Engine ID interoperabilitet

  • Netflow v5 definerer to 8-bit identifikatorer: Engine Type og Engine ID. Probe på Advantech routere sender kun Engine ID (0..255). Motortypen vil altid være nul (0). Derfor vil et flow sendt med Engine ID = 513 (0x201) blive modtaget som Engine Type/ID = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 definerer én 32-bit identifikator. Probe på Advantech-routere kan sende et hvilket som helst 32-bit nummer, men andre producenter (f.eks. Cisco) opdeler identifikatoren i to reserverede bytes, efterfulgt af Engine Type og Engine ID. Modtageren følger samme tilgang.
  • Derfor vil et flow sendt med Engine ID = 513 (0x201) blive modtaget som Engine Type/ID = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX definerer en 32-bit identifikator. Probe på Advantech-routere kan sende et hvilket som helst 32-bit nummer, men den lokale samler gemmer ikke denne værdi endnu. Derfor vil ethvert flow blive modtaget som motortype/ID = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Henstilling: Hvis du vil gemme Engine ID i den lokale samler, skal du markere Store Exporting Engine ID i konfigurationen, bruge Engine ID < 256 og undgå at bruge IPFIX-protokollen.
  • Trafik timeouts
  • Sonden eksporterer hele flows, altså alle pakker der hører sammen. Hvis der ikke observeres nogen pakker i en given periode (Inaktiv Traffic Timeout), betragtes flowet som komplet, og sonden sender trafikinformation til indsamleren.
  • Oplysninger om en file overdragelse vil således fremgå af samleren, når overdragelsen er gennemført, hvilket kan tage betydelig tid. Hvis transmissionen er aktiv for længe (Aktiv Traffic Timeout), vil den fremstå som flere kortere flows.
  • F.eksample, med en 30 minutters aktiv trafik timeout, vil en 45 minutters kommunikation blive vist som to flows: en 30 min og en 15 min.

Trafik timeouts

  • Sonden eksporterer hele flows, altså alle pakker der hører sammen. Hvis der ikke observeres nogen pakker i en given periode (Inaktiv Traffic Timeout), betragtes flowet som komplet, og sonden sender trafikinformation til indsamleren.
  • Oplysninger om en file overdragelse vil således fremgå af samleren, når overdragelsen er gennemført, hvilket kan tage betydelig tid. Hvis transmissionen er aktiv for længe (Aktiv Traffic Timeout), vil den fremstå som flere kortere flows. F.eksample, med en 30 minutters aktiv trafik timeout, vil en 45 minutters kommunikation blive vist som to flows: en 30 min og en 15 min.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Relaterede dokumenter

  • Du kan få produktrelaterede dokumenter på Engineering Portal på adressen icr.advantech.cz.
  • For at få din routers hurtigstartvejledning, brugermanual, konfigurationsmanual eller firmware skal du gå til siden Routermodeller, finde den ønskede model og skifte til henholdsvis fanen Manualer eller Firmware.
  • Router Apps installationspakker og manualer er tilgængelige på siden Router Apps.
  • For udviklingsdokumenterne skal du gå til DevZone-siden.

Dokumenter/ressourcer

ADVANTECH Router App Net Flow Pfix [pdfBrugervejledning
Router App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referencer

Relaterede indlæg

Efterlad en kommentar

Din e-mailadresse vil ikke blive offentliggjort. Påkrævede felter er markeret *