Contenido
esconder
Aplicación de enrutador ADVANTECH Net Flow Pfix
Información del producto
Presupuesto
- Fabricante: Advantech Czech sro
- DIRECCIÓN: Sokolska 71, 562 04 Ústí nad Orlicí, República Checa
- Documento No.: APP-0085-ES
- Revisión Fecha: 19 de octubre, 2023
Descripción del Módulo
- El módulo NetFlow/IPFIX es una aplicación de enrutador desarrollada por Advantech Czech s.r.o. No está incluido en el firmware del enrutador estándar y debe cargarse por separado.
- El módulo está diseñado para monitorear el tráfico de la red. Funciona recopilando información del tráfico IP mediante una sonda instalada en enrutadores habilitados para NetFlow.
- Luego, esta información se envía a un recopilador y analizador de NetFlow para su posterior análisis.
Web Interfaz
Una vez instalado el módulo, podrá acceder a su web interfaz haciendo clic en el nombre del módulo en la página de aplicaciones del enrutador de su enrutador. web interfaz. los web La interfaz consta de un menú con diferentes secciones:
Configuración
La sección Configuración le permite configurar varias configuraciones de la aplicación del enrutador NetFlow/IPFIX. Para acceder a los ajustes de configuración, haga clic en el elemento "Global" en el menú principal del módulo web interfaz. Los elementos configurables incluyen:
- Habilitar sonda: Esta opción comienza a enviar la información de NetFlow a un recopilador remoto (si está definido) o al recopilador local (si está habilitado).
- Protocolo: Esta opción le permite elegir el protocolo que se utilizará para el envío de información de NetFlow. Puede seleccionar entre NetFlow v5, NetFlow v9 o IPFIX (NetFlow v10).
- Identificación del motor: Esta opción le permite configurar el ID del dominio de observación (para IPFIX), el ID de fuente (para NetFlow v9) o el ID del motor (para NetFlow v5). Esto ayuda al recopilador a distinguir entre múltiples exportadores. Para obtener más información, consulte la sección sobre Interoperabilidad de ID de motor.
Información
La sección Información proporciona detalles sobre el módulo y sus licencias. Puedes acceder a esta sección haciendo clic en el ítem “Información” del menú principal del módulo web interfaz.
Instrucciones de uso
Información recopilada
- El módulo NetFlow/IPFIX recopila información del tráfico IP de la sonda del enrutador. Esto incluye detalles como direcciones IP de origen y destino, recuentos de paquetes, recuentos de bytes e información de protocolo.
Recuperación de información almacenada
- Para recuperar la información almacenada, debe acceder al recopilador y analizador NetFlow al que el módulo envía los datos. El recopilador y analizador proporcionará herramientas e informes para analizar y visualizar la información recopilada.
Interoperabilidad de identificación del motor
- La configuración de ID del motor en la configuración le permite especificar un identificador único para su exportador. Esto es útil cuando varios exportadores envían datos al mismo recopilador.
- Al configurar diferentes ID de motor, el recopilador puede diferenciar entre los datos recibidos de diferentes exportadores.
Tiempos de espera de tráfico
- El módulo no proporciona información específica sobre los tiempos de espera del tráfico. Consulte los documentos relacionados o comuníquese con Advantech Czech s.r.o. para más detalles.
Documentos relacionados
- Para obtener más información e instrucciones detalladas, consulte los siguientes documentos:
- Manual de configuración
- Otra documentación relacionada proporcionada por Advantech Czech s.r.o.
Preguntas frecuentes
P: ¿Quién es el fabricante de NetFlow/IPFIX?
- A: El fabricante de NetFlow/IPFIX es Advantech Czech s.r.o.
P: ¿Cuál es el propósito de NetFlow/IPFIX?
- A: NetFlow/IPFIX está diseñado para monitorear el tráfico de red recopilando información del tráfico IP de enrutadores habilitados para NetFlow y enviándola a un recopilador y analizador de NetFlow.
P: ¿Cómo puedo acceder a los ajustes de configuración del módulo?
- A: Para acceder a los ajustes de configuración, haga clic en el elemento "Global" en el menú principal del módulo web interfaz.
P: ¿Para qué se utiliza la configuración de ID del motor?
- A: La configuración de ID del motor le permite especificar un identificador único para su exportador, lo que ayuda al recopilador a distinguir entre varios exportadores.
- © 2023 Advantech Czech sro Ninguna parte de esta publicación puede reproducirse ni transmitirse de ninguna forma ni por ningún medio, electrónico o mecánico, incluida la fotografía, la grabación o cualquier sistema de almacenamiento y recuperación de información, sin el consentimiento por escrito.
- La información contenida en este manual está sujeta a cambios sin previo aviso y no representa un compromiso por parte de Advantech.
- Advantech Czech sro no será responsable de daños incidentales o consecuentes que resulten del suministro, rendimiento o uso de este manual.
- Todas las marcas comerciales utilizadas en este manual son marcas comerciales registradas de sus respectivos propietarios. El uso de marcas comerciales u otras designaciones en esta publicación se hace únicamente con fines de referencia y no constituye un respaldo por parte del titular de la marca comercial.
Símbolos usados
Peligro - Información sobre la seguridad del usuario o posibles daños al enrutador.
Atención – Problemas que pueden surgir en situaciones concretas.
Información - Consejos útiles o información de especial interés.
Example - Example de función, comando o script.
Registro de cambios
Registro de cambios de NetFlow/IPFIX
- v1.0.0 (2020 de julio de 04)
- Primer lanzamiento.
- v1.1.0 (2020 de julio de 10)
- Código CSS y HTML actualizado para que coincida con el firmware 6.2.0+.
Descripción del módulo
- La aplicación de enrutador NetFlow/IPFIX no está incluida en el firmware estándar del enrutador. La carga de esta aplicación de enrutador se describe en el manual de configuración (consulte el capítulo Documentos relacionados).
- La aplicación de enrutador NetFlow/IPFIX está determinada para monitorear el tráfico de la red. Los enrutadores habilitados para NetFlow tienen una sonda que recopila información del tráfico IP y la envía a un recopilador y analizador de NetFlow.
Esta aplicación de enrutador contiene:
- Sonda NetFlow que puede enviar información a un recopilador y analizador de red compatible, e. gramo. el http://www.paessler.com/prtg.
- Recopilador NetFlow que almacena la información recopilada en un file. También puede recibir y almacenar tráfico NetFlow desde otros dispositivos.
Web Interfaz
- Una vez que se completa la instalación del módulo, se puede invocar la GUI del módulo haciendo clic en el nombre del módulo en la página de aplicaciones del enrutador del enrutador. web interfaz.
- La parte izquierda de esta GUI contiene un menú con la sección del menú Configuración y la sección del menú Información.
- La sección del menú de personalización contiene solo el elemento Devolución, que vuelve a la opción del módulo. web página al enrutador web páginas de configuración. El menú principal de la GUI del módulo se muestra en la Figura 2.
Configuración
Global
- Todas las configuraciones de la aplicación del enrutador NetFlow/IPFIX se pueden configurar haciendo clic en el elemento Global en el menú principal del módulo. web interfaz. Un excesoview La lista de elementos configurables se detalla a continuación.
| Artículo | Descripción |
| Habilitar sonda | Comience a enviar la información de NetFlow a un recopilador remoto (cuando esté definido) o al recopilador local (cuando esté habilitado). |
| Protocolo | Protocolo a utilizar: NetFlow v5, flujo de red v9, IPFIX (Net-Flow v10) |
| identificación del motor | Valor de ID de dominio de observación (en IPFIX, ID de fuente en NetFlow v9 o ID de motor en NetFlow v5). Esto puede ayudar a su recopilador a distinguir entre varios exportadores. Consulte también la sección sobre Interoperabilidad de ID de motor. |
| Artículo | Descripción |
| Sampmás | (Vacío): enviar cada flujo observado; determinista: enviar cada enésimo flujo observado; aleatorio: seleccione aleatoriamente uno de N flujos; picadillo: seleccione hash aleatoriamente uno de N flujos. |
| Sampleer Tarifa | El valor de N. |
| Tiempo de espera de tráfico inactivo | Envíe el flujo después de que esté inactivo durante 15 segundos. El valor predeterminado es 15. |
| Tiempo de espera de tráfico activo | Envíe el flujo después de que esté activo durante 1800 segundos (30 minutos). El valor predeterminado es 1800. Consulte también la sección sobre tiempos de espera de tráfico. |
| Colector remoto | Dirección IP de un recopilador o analizador de NetFlow, donde enviar la información de tráfico de NetFlow recopilada. El puerto es opcional, el valor predeterminado es 2055. El destino puede contener una lista separada por comas de múltiples direcciones IP (y puertos) para reflejar NetFlow en dos o más recopiladores/analizadores. |
| Habilitar recopilador local | Comience a recibir información de NetFlow desde la sonda local (cuando esté habilitada) o desde una sonda remota. |
| Intervalo de almacenamiento | Especifica el intervalo de tiempo en segundos para rotar. files. El valor predeterminado es 300 s (5 min). |
| Caducidad del almacenamiento | Establece el tiempo de vida máximo para files en el directorio. Un valor de 0 deshabilita el límite máximo de vida útil. |
| Almacenar números SNMP de interfaz | Marque para almacenar el índice SNMP de la interfaz de entrada/salida (%in, %out) además del conjunto estándar de información, consulte a continuación. |
| Almacenar la dirección IP del siguiente salto | Marque para almacenar la dirección IP del siguiente salto de tráfico saliente (%nh). |
| Almacenar la dirección IP de exportación | Marque para almacenar la dirección IP del enrutador exportador (%ra). |
| Almacenar ID del motor de exportación | Marque para almacenar el ID del motor del enrutador exportador (%eng). |
| Tiempo de recepción del flujo de tienda | Verifique el horario de la tiendaamp cuando se recibió la información del flujo (%tr). |
Tabla 1: Descripción de los elementos de configuración
Información
licenses Resume las licencias de software de código abierto (OSS) utilizadas por este módulo.
Instrucciones de uso
Los datos de NetFlow no deben enviarse a través de WAN, a menos que se utilice VPN. Los datos no están inherentemente cifrados ni ofuscados, por lo que una persona no autorizada puede interceptarlos y view La información.
Información recopilada
La sonda siempre envía el siguiente conjunto estándar de información y el recopilador lo almacena:
- Oportunoamp cuándo se vio el tráfico por primera vez (%ts) y por última vez (%te), utilizando el reloj de la sonda
- Número de bytes (%byt) y paquetes (%pkt)
- Protocolo utilizado (%pr)
- Términos de servicio (%tos)
- Banderas TCP (%flg)
- Dirección IP de origen (%sa, %sap) y puerto (%sp)
- Dirección IP de destino (%da, %dap) y puerto (%dp)
- Tipo ICMP (%it)
También se envía lo siguiente, pero se almacena solo cuando se solicita (ver configuración arriba):
- Índice SNMP de la interfaz de entrada/salida (%in, %out)
- Dirección IP del siguiente salto de tráfico saliente (%nh)
- Dirección IP (%ra) e ID del motor (%eng) del enrutador exportador (sonda)
- Oportunoamp cuando se recibió la información de flujo (%tr), usando el reloj del recopilador
- El valor entre paréntesis (%xx) indica el formateador que se utilizará con nfdump para mostrar este valor (consulte el siguiente capítulo).
Recuperación de información almacenada
- Los datos se almacenan en /tmp/netflow/nfcapd.yyyymmddHHMM, donde yyyymmddHHMM es la hora de creación. El directorio también incluye el .nfstat file, que se utiliza para controlar el tiempo de vencimiento.
- No alteres esto file. Para configurar la caducidad, utilice la GUI de administración.
- El files se pueden leer usando el comando nfdump. nfdump [opciones] [filtro]
Mostrar paquetes UDP enviados por 192.168.88.100:
- nfdump -r nfcapd.202006011625 'proto udp y src ip 192.168.88.100'
- Muestra todos los flujos entre las 16:25 y las 17:25, agregando flujos bidireccionales (-B):
- nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
- Muestra el tipo/ID del motor, dirección de origen+puerto y dirección de destino+por para todos los flujos:
- nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”
Interoperabilidad de identificación del motor
- Netflow v5 define dos identificadores de 8 bits: tipo de motor e ID del motor. La sonda en los enrutadores Advantech envía solo la ID del motor (0..255). El tipo de motor siempre será cero (0). Por lo tanto, un flujo enviado con ID de motor = 513 (0x201) se recibirá como Tipo/ID de motor = 0/1.
- Netflow v9 define un identificador de 32 bits. La sonda en los enrutadores Advantech puede enviar cualquier número de 32 bits; sin embargo, otros fabricantes (por ejemplo, Cisco) dividen el identificador en dos bytes reservados, seguidos del tipo de motor y la identificación del motor. El receptor sigue el mismo enfoque.
- Por lo tanto, un flujo enviado con ID de motor = 513 (0x201) se recibirá como Tipo/ID de motor = 2/1.
- IPFIX define un identificador de 32 bits. La sonda en los enrutadores Advantech puede enviar cualquier número de 32 bits, pero el recopilador local aún no almacena este valor. Por lo tanto, cualquier flujo se recibirá como Tipo/ID de motor = 0/0.
- Recomendación: Si desea almacenar el ID del motor en el recopilador local, marque Almacenar el ID del motor de exportación en la configuración, use el ID del motor <256 y evite usar el protocolo IPFIX.
- Tiempos de espera de tráfico
- La sonda exporta flujos completos, es decir, todos los paquetes que van juntos. Si no se observa ningún paquete durante un período determinado (tiempo de espera de tráfico inactivo), el flujo se considera completo y la sonda envía información de tráfico al recopilador.
- Información sobre un file Por lo tanto, la transferencia aparecerá en el recopilador una vez que se complete la transferencia, lo que puede llevar una cantidad de tiempo significativa. Si la transmisión está activa durante demasiado tiempo (Tiempo de espera de tráfico activo), aparecerá como múltiples flujos más cortos.
- Por ejemploampPor ejemplo, con un tiempo de espera de tráfico activo de 30 minutos, una comunicación de 45 minutos se mostrará en dos flujos: uno de 30 minutos y otro de 15 minutos.
Tiempos de espera de tráfico
- La sonda exporta flujos completos, es decir, todos los paquetes que van juntos. Si no se observa ningún paquete durante un período determinado (tiempo de espera de tráfico inactivo), el flujo se considera completo y la sonda envía información de tráfico al recopilador.
- Información sobre un file Por lo tanto, la transferencia aparecerá en el recopilador una vez que se complete la transferencia, lo que puede llevar una cantidad de tiempo significativa. Si la transmisión está activa durante demasiado tiempo (Tiempo de espera de tráfico activo), aparecerá como múltiples flujos más cortos. por ejemploampPor ejemplo, con un tiempo de espera de tráfico activo de 30 minutos, una comunicación de 45 minutos se mostrará en dos flujos: uno de 30 minutos y otro de 15 minutos.
- Puede obtener documentos relacionados con el producto en el portal de ingeniería en la dirección icr.advantech.cz.
- Para obtener la Guía de inicio rápido, el Manual de usuario, el Manual de configuración o el firmware de su enrutador, vaya a la página Modelos de enrutador, busque el modelo requerido y cambie a la pestaña Manuales o Firmware, respectivamente.
- Los paquetes y manuales de instalación de Router Apps están disponibles en la página de Router Apps.
- Para los documentos de desarrollo, vaya a la página DevZone.
Documentos / Recursos
 |
Aplicación de enrutador ADVANTECH Net Flow Pfix [pdf] Guía del usuario Aplicación de enrutador Net Flow Pfix, Aplicación Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix |
