ADVANTECH Router App Net Flow Pfix

Produktaj Informoj

Specifoj

• Fabrikisto: Advantech Czech sro
• Adreso: Sokolska 71, 562 04 Usti nad Orlici, Ĉeĥio
• Dokumento N-ro: APP-0085-EN
• Revizio Dato: 19 oktobro 2023

Priskribo de la Modulo

• La modulo NetFlow/IPFIX estas enkursigilo-apo evoluigita de Advantech Czech sro Ĝi ne estas inkluzivita en la norma enkursigilo-firmvaro kaj devas esti alŝutita aparte.
• La modulo estas desegnita por monitori retan trafikon. Ĝi funkcias kolektante IP-trafikajn informojn per sondilo instalita sur NetFlow-ebligitaj enkursigiloj.
• Tiuj informoj tiam estas alsenditaj al NetFlow-kolektanto kaj analizilo por plia analizo.

Web Interfaco

Post kiam la modulo estas instalita, vi povas aliri ĝin web interfaco alklakante la nomon de la modulo sur la paĝo de Router apps de via enkursigilo web interfaco. La web interfaco konsistas el menuo kun malsamaj sekcioj:

Agordo

La sekcio Agordo permesas al vi agordi diversajn agordojn de la NetFlow/IPFIX-enkursigilo-aplikaĵo. Por aliri la agordajn agordojn, alklaku la eron "Tutmonda" en la ĉefa menuo de la modulo web interfaco. La agordeblaj eroj inkluzivas:

• Ebligu Sondilon: Ĉi tiu opcio komencas sendi la NetFlow-informojn al fora kolektanto (se difinite) aŭ al la loka kolektanto (se ebligita).
• Protokolo: Ĉi tiu opcio ebligas al vi elekti la protokolon por esti uzata por sendo de informoj de NetFlow. Vi povas elekti el NetFlow v5, NetFlow v9 aŭ IPFIX (NetFlow v10).
• ID de motoro: Ĉi tiu opcio ebligas al vi agordi la Observdomajnan ID (por IPFIX), Fontan ID (por NetFlow v9), aŭ Engine ID (por NetFlow v5). Ĉi tio helpas al la kolektanto distingi inter multoblaj eksportantoj. Por pliaj informoj, konsultu la sekcion pri Engine ID-Interoperableco.

Informoj

La sekcio Informoj provizas detalojn pri la modulo kaj ĝiaj permesiloj. Vi povas aliri ĉi tiun sekcion alklakante la eron "Informo" en la ĉefa menuo de la modulo web interfaco.

Instrukcioj pri Uzado

Kolektita Informo

• La modulo NetFlow/IPFIX kolektas informojn pri IP-trafiko de la sondilo de la enkursigilo. Ĉi tio inkluzivas detalojn kiel fonto kaj celloko IP-adresoj, pakaĵetokalkuloj, bajtaj nombraj, kaj protokolinformoj.

Reakiro de Stokita Informo

• Por preni la konservitajn informojn, vi devas aliri la NetFlow-kolektilon kaj analizilon al kiu la modulo sendas la datumojn. La kolektanto kaj analizilo provizos ilojn kaj raportojn por analizi kaj bildigi la kolektitajn informojn.

Engine ID-Interfunkciebleco

• La agordo de Engine ID en la agordo permesas vin specifi unikan identigilon por via eksportisto. Ĉi tio estas utila kiam vi havas plurajn eksportantojn kiuj sendas datumojn al la sama kolektanto.
• Agordante malsamajn Engine-IDojn, la kolektanto povas diferencigi la datumojn ricevitajn de malsamaj eksportantoj.

Trafikaj Tempoj

• La modulo ne provizas specifajn informojn pri trafikaj tempoj. Bonvolu konsulti la rilatajn dokumentojn aŭ kontakti Advantech Czech sro por pliaj detaloj.

Rilataj Dokumentoj

• Por pliaj informoj kaj detalaj instrukcioj, bonvolu raporti la jenajn dokumentojn:
• Agorda Manlibro
• Alia rilata dokumentaro disponigita de Advantech Czech sro

Oftaj Demandoj

Q: Kiu estas la fabrikanto de NetFlow/IPFIX?

• A: La fabrikanto de NetFlow/IPFIX estas Advantech Czech sro

Q: Kio estas la celo de NetFlow/IPFIX?

• A: NetFlow/IPFIX estas desegnita por monitori retan trafikon kolektante IP-trafikinformojn de NetFlow-ebligitaj enkursigiloj kaj submetante ĝin al NetFlow-kolektanto kaj analizilo.

Q: Kiel mi povas aliri la agordajn agordojn de la modulo?

• A: Por aliri la agordajn agordojn, alklaku la eron "Tutmonda" en la ĉefa menuo de la modulo web interfaco.

Q: Por kio estas uzata la agordo de Engine ID?

• A: La agordo de Engine ID permesas al vi specifi unikan identigilon por via eksportisto, helpante la kolektanton distingi inter pluraj eksportantoj.
• © 2023 Advantech Czech sro Neniu parto de ĉi tiu eldonaĵo povas esti reproduktita aŭ transdonita en ajna formo aŭ per iu ajn rimedo, elektronika aŭ mekanika, inkluzive de fotado, registrado aŭ ajna informstokado kaj retrovosistemo sen skriba konsento.
• Informoj en ĉi tiu manlibro povas ŝanĝiĝi sen avizo, kaj ĝi ne reprezentas devontigon de Advantech.
• Advantech Czech sro ne respondecas pri hazardaj aŭ konsekvencaj damaĝoj rezultantaj de la liverado, agado aŭ uzo de ĉi tiu manlibro.
• Ĉiuj markonomoj uzataj en ĉi tiu manlibro estas la registritaj varmarkoj de siaj respektivaj posedantoj. La uzo de varmarkoj aŭ aliaj nomoj en ĉi tiu publikigado estas nur por referencaj celoj kaj ne konsistigas subtenon de la posedanto de la varmarko.

Uzitaj simboloj

• Danĝero - Informoj pri uzantsekureco aŭ ebla damaĝo al la enkursigilo.
• Atentu – Problemoj kiuj povas aperi en specifaj situacioj.
• Informoj – Utilaj konsiletoj aŭ informoj de speciala intereso.
• Example – Ekzample de funkcio, komando aŭ skripto.

Ŝanĝprotokolo

NetFlow/IPFIX Ŝanĝprotokolo

• v1.0.0 (2020-04-15)
  • Unua eldono.
• v1.1.0 (2020-10-01)
  • Ĝisdatigita CSS kaj HTML-kodo por kongrui kun firmvaro 6.2.0+.

Priskribo de la modulo

• Enkursigilo-programo NetFlow/IPFIX ne estas enhavita en la norma enkursigilo-firmvaro. Alŝuto de ĉi tiu enkursigilo estas priskribita en la Agorda manlibro (vidu Ĉapitro Rilatajn Dokumentojn).
• Enkursigilo NetFlow/IPFIX estas decidita por monitori retan trafikon. NetFlow-ebligitaj enkursigiloj havas sondilon kiu kolektas IP-trafikinformojn kaj sendas ilin al NetFlow-kolektanto kaj analizilo.

Ĉi tiu enkursigilo enhavas:

• NetFlow-sondilo kiu povas sendi informojn al kongrua Retokolektilo kaj analizilo, ekz httsp://www.paessler.com/prtg.
• NetFlow-kolektanto kiu stokas la kolektitajn informojn al a file. Ĝi ankaŭ povas ricevi kaj stoki NetFlow-trafikon de aliaj aparatoj.

Web Interfaco

• Post kiam la instalado de la modulo estas kompleta, la GUI de la modulo povas esti alvokita alklakante la nomon de la modulo sur la paĝo de la enkursigilo-programoj de la enkursigilo. web interfaco.
• Maldekstra parto de ĉi tiu GUI enhavas menuon kun Agorda menuo sekcio kaj Informo menuo sekcio.
• Personiga menusekcio enhavas nur la Reven-eron, kiu ŝanĝas reen de la modulo web paĝo al la enkursigilo web agordaj paĝoj. La ĉefa menuo de la GUI de modulo estas montrita sur Figuro 2.

Agordo

Tutmonda

• Ĉiuj agordoj de la enkursigilo de NetFlow/IPFIX povas esti agorditaj alklakante la Tutmondan eron en la ĉefa menuo de modulo. web interfaco. An superview de agordeblaj eroj estas donita sube.

Ero	Priskribo
Ebligu Sondilon	Komencu sendi la NetFlow-informojn al Fora Kolektanto (se difinite), aŭ al la Loka Kolektanto (kiam ĝi estas ebligita).
Protokolo	Protokolo uzota: NetFlow v5, Netflow v9, IPFIX (Reto-Fluo v10)
ID de motoro	Observado-Domajna ID (sur IPFIX, Fonto-Id sur NetFlow v9, aŭ Engine Id sur NetFlow v5) valoro. Ĉi tio povas helpi vian kolektanton distingi inter pluraj eksportantoj. Vidu ankaŭ sekcion pri Engine ID-Interoperableco.

Ero	Priskribo
Sampler	(malplena): submeti ĉiun observitan fluon; determinisma: submeti ĉiun N-an observitan fluon; hazarda: elektu hazarde unu el N fluoj; haŝiŝo: elektu hash-hazarde unu el N fluoj.
Sampleer Rate	La valoro de N.
Neaktiva Trafiktempo	Sendu fluon post kiam ĝi estas neaktiva dum 15 sekundoj. Defaŭlta valoro estas 15.
Aktiva Trafika Timeout	Sendu fluon post kiam ĝi estas aktiva dum 1800 sekundoj (30 minutoj). Defaŭlta valoro estas 1800. Vidu ankaŭ sekcion pri trafikaj tempoj.
Fora Kolektanto	IP-adreso de NetFlow-kolektanto aŭ analizilo, kie sendi la kolektitajn NetFlow-trafikinformojn. Haveno estas nedeviga, defaŭlte 2055. Destiniĝo povas enhavi liston de komo apartigita de multoblaj IP-adresoj (kaj havenoj) por speguli la NetFlow al du aŭ pli da kolektantoj/analiziloj.
Ebligu Lokan Kolektanton	Komencu ricevi NetFlow-informojn de la loka Sondilo (kiam ĝi estas ebligita) aŭ de fora sondilo.
Stokado Intervalo	Specifas la tempintervalon en sekundoj por turni files. La defaŭlta valoro estas 300s (5min).
Stokado Eksvalidiĝo	Agordas la maksimuman vivdaŭron por files en la dosierujo. Valoro de 0 malŝaltas la maksimuman vivlimon.
Stoku Interfaco SNMP-Nombroj	Kontrolu por stoki SNMP-indekson de la eniga/eliga interfaco (%in, %out) krom la norma aro de informoj, vidu sube.
Stoku Next Hop IP-adreson	Kontrolu por stoki IP-adreson de la sekva salto de elira trafiko (%nh).
Vendejo Eksportanta IP-adreson	Kontrolu por konservi IP-adreson de la eksportanta enkursigilo (%ra).
Store Exporting Engine ID	Kontrolu por stoki Engine ID de la eksportanta enkursigilo (%epo).
Vendeja Flua Ricevo Tempo	Kontrolu por konservi temponamp kiam la fluo-informo estis ricevita (%tr).

Tablo 1: priskribo de agordaj eroj

Informoj

licencoj Resumas Malferman Fontan Programaron (OSS) permesilojn uzatajn de ĉi tiu modulo

Instrukcioj pri Uzado

La NetFlow-datumoj ne estu senditaj per WAN, krom se VPN estas uzata. La datumoj ne estas esence ĉifritaj aŭ malklarigitaj, do neaŭtorizita persono povas kapti kaj view la informoj.

Kolektita Informo

La sekva norma aro de informoj ĉiam estas senditaj per la enketo kaj stokitaj fare de la kolektanto:

• Timestamp kiam la trafiko unue estis vidita (%ts) kaj laste vidita (%te), uzante horloĝon de la sondilo
• Nombro da bajtoj (%byt) kaj pakaĵoj (%pkt)
• Protokolo uzata (%pr)
• TOS (%tos)
• TCP-flagoj (%flg)
• Fonta IP-adreso (%sa, %sap) kaj haveno (%sp)
• Cela IP-adreso (%da, %dap) kaj haveno (%dp)
• ICMP-tipo (%it)

La sekvantaroj ankaŭ estas senditaj, sed konservitaj nur laŭ peto (vidu agordon supre):

• SNMP-indekso de la eniga/eliga interfaco (%en, %out)
• IP-adreso de la sekva salto de forira trafiko (%nh)
• IP-adreso (%ra) kaj Engine ID (%eng) de la eksportanta enkursigilo (sondilo)
• Timestamp kiam la fluo-informo estis ricevita (%tr), uzante horloĝon de la kolektanto
• La valoro inter krampoj (%xx) indikas la formatilon por esti uzata kun nfdump por montri ĉi tiun valoron (vidu sekvan ĉapitron).

Reakiro de Stokita Informo

• Datumoj estas konservitaj en /tmp/netflow/nfcapd.yyyymmddHHMM, kie jyyymmddHHMM estas la krea tempo. La dosierujo ankaŭ inkluzivas la .nfstat file, kiu estas uzata por kontroli la eksvalidan tempon.
• Ne ŝanĝu ĉi tion file. Por agordi eksvalidiĝon uzu la administran GUI.
• La files legeblas uzante la komandon nfdump. nfdump [opcioj] [filtrilo]

Montru UDP-pakaĵojn senditajn de 192.168.88.100:

• nfdump -r nfcapd.202006011625 'proto udp kaj src ip 192.168.88.100'
  • Montru ĉiujn fluojn inter 16:25 kaj 17:25, kunigante dudirektajn fluojn (-B):
• nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
  • Montru Tipon/ID de Motoro, fontan adreson+havenon kaj celan adreson+por por ĉiuj fluoj:
• nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%epo %sap %dap”

Engine ID-Interfunkciebleco

• Netflow v5 difinas du 8-bitajn identigilojn: Engine Type kaj Engine ID. Sondilo sur Advantech-enkursigiloj sendas nur Engine ID (0..255). La Motora Tipo ĉiam estos nul (0). Tial, fluo sendita kun Engine ID = 513 (0x201) estos ricevita kiel Engine Type/ID = 0/1.
• Netflow v9 difinas unu 32-bitan identigilon. Probe sur Advantech-enkursigiloj povas sendi ajnan 32-bitan nombron, tamen aliaj produktantoj (ekz. Cisco) dividi la identigilon en du rezervitajn bajtojn, sekvitajn de Engine Type kaj Engine ID. La ricevilo sekvas la saman aliron.
• Tial, fluo sendita kun Engine ID = 513 (0x201) estos ricevita kiel Engine Type/ID = 2/1.
• IPFIX difinas unu 32-bitan identigilon. Sondilo sur Advantech-enkursigiloj povas sendi ajnan 32-bitan nombron, sed la loka kolektanto ankoraŭ ne konservas ĉi tiun valoron. Tial ajna fluo estos ricevita kiel Motora Tipo/ID = 0/0.
• Rekomendo: Se vi volas konservi Engine ID en la loka kolektanto, kontrolu Store Exporting Engine ID en la agordo, uzu Engine ID < 256 kaj evitu uzi la IPFIX-protokolon.
• Trafikaj Tempoj
• La sondilo eksportas tutajn fluojn, do ĉiujn pakaĵetojn kiuj apartenas kune. Se neniuj pakaĵetoj estas observitaj por antaŭfiksita periodo (Neaktiva Trafika Timeout), la fluo estas konsiderita kiel kompleta kaj la enketo sendas trafikinformojn al la kolektanto.
• Informoj pri a file translokigo tiel aperos en la kolektanto post kiam la translokigo estas finita, kio povas preni signifan kvanton da tempo. Se la dissendo estas aktiva por tro longa (Active Traffic Timeout) ĝi aperos kiel multoblaj pli mallongaj fluoj.
• Por ekzample, kun 30-minuta aktiva trafikotempo, 45-minuta komunikado montros kiel du fluoj: unu 30 min kaj unu 15 min.

Trafikaj Tempoj

• La sondilo eksportas tutajn fluojn, do ĉiujn pakaĵetojn kiuj apartenas kune. Se neniuj pakaĵetoj estas observitaj por antaŭfiksita periodo (Neaktiva Trafika Timeout), la fluo estas konsiderita kiel kompleta kaj la enketo sendas trafikinformojn al la kolektanto.
• Informoj pri a file translokigo tiel aperos en la kolektanto post kiam la translokigo estas finita, kio povas preni signifan kvanton da tempo. Se la dissendo estas aktiva por tro longa (Active Traffic Timeout) ĝi aperos kiel multoblaj pli mallongaj fluoj. Por ekzample, kun 30-minuta aktiva trafikotempo, 45-minuta komunikado montros kiel du fluoj: unu 30 min kaj unu 15 min.

Rilataj Dokumentoj

• Vi povas akiri produkt-rilatajn dokumentojn en Engineering Portal ĉe la adreso icr.advantech.cz.
• Por akiri la Rapidan Komencan Gvidilon, Uzantan Manlibron, Agordan Manlibron aŭ Firmware de via enkursigilo, iru al la paĝo de Router Models, trovu la bezonatan modelon kaj ŝanĝu al la langeto Manlibroj aŭ Firmware respektive.
• La instalaĵpakaĵoj kaj manlibroj de Router Apps estas haveblaj sur la paĝo de Router Apps.
• Por la Disvolvaj Dokumentoj, iru al la paĝo DevZone.

Dokumentoj/Rimedoj

ADVANTECH Router App Net Flow Pfix [pdf] Uzantogvidilo Enkursigilo App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referencoj

• Uzanto Manlibro