Application de routeur ADVANTECH Net Flow Pfix

Informations sur le produit

Caractéristiques

• Fabricant: Advantech Czech sro
• Adresse: Sokolska 71, 562 04 Usti nad Orlici, République tchèque
• Document N° : APP-0085-FR
• Révision Date : 19 octobre 2023

Description du module

• Le module NetFlow/IPFIX est une application de routeur développée par Advantech Czech s.r.o. Il n'est pas inclus dans le micrologiciel standard du routeur et doit être téléchargé séparément.
• Le module est conçu pour surveiller le trafic réseau. Il fonctionne en collectant des informations sur le trafic IP à l'aide d'une sonde installée sur les routeurs compatibles NetFlow.
• Ces informations sont ensuite soumises à un collecteur et à un analyseur NetFlow pour une analyse plus approfondie.

Web Interface

Une fois le module installé, vous pouvez accéder à son web interface en cliquant sur le nom du module sur la page Applications du routeur de votre routeur. web interface. le web l'interface se compose d'un menu avec différentes sections :

Configuration

La section Configuration vous permet de configurer divers paramètres de l'application du routeur NetFlow/IPFIX. Pour accéder aux paramètres de configuration, cliquez sur l'élément « Global » dans le menu principal du module. web interface. Les éléments configurables incluent :

• Activer la sonde : Cette option commence à soumettre les informations NetFlow à un collecteur distant (si défini) ou au collecteur local (si activé).
• Protocole: Cette option vous permet de choisir le protocole à utiliser pour la soumission des informations NetFlow. Vous pouvez choisir entre NetFlow v5, NetFlow v9 ou IPFIX (NetFlow v10).
• ID moteur : Cette option vous permet de définir l'ID du domaine d'observation (pour IPFIX), l'ID source (pour NetFlow v9) ou l'ID du moteur (pour NetFlow v5). Cela aide le collecteur à faire la distinction entre plusieurs exportateurs. Pour plus d’informations, reportez-vous à la section sur l’interopérabilité des ID de moteur.

Information

La section Informations fournit des détails sur le module et ses licences. Vous pouvez accéder à cette section en cliquant sur la rubrique « Informations » dans le menu principal du module. web interface.

Instructions d'utilisation

Informations collectées

• Le module NetFlow/IPFIX collecte les informations de trafic IP à partir de la sonde du routeur. Cela inclut des détails tels que les adresses IP source et de destination, le nombre de paquets, le nombre d'octets et les informations de protocole.

Récupération des informations stockées

• Pour récupérer les informations stockées, vous devez accéder au collecteur et à l'analyseur NetFlow auxquels le module soumet les données. Le collecteur et l'analyseur fourniront des outils et des rapports pour analyser et visualiser les informations collectées.

Interopérabilité des identifiants de moteur

• Le paramètre Engine ID dans la configuration vous permet de spécifier un identifiant unique pour votre exportateur. Ceci est utile lorsque plusieurs exportateurs envoient des données au même collecteur.
• En définissant différents ID de moteur, le collecteur peut faire la différence entre les données reçues des différents exportateurs.

Délais d'attente du trafic

• Le module ne fournit pas d'informations spécifiques sur les délais d'attente du trafic. Veuillez vous référer aux documents associés ou contacter Advantech Czech s.r.o. pour plus de détails.

Documents connexes

• Pour plus d’informations et des instructions détaillées, veuillez vous référer aux documents suivants :
• Manuel de configuration
• Autre documentation connexe fournie par Advantech Czech s.r.o.

FAQ

Q : Qui est le fabricant de NetFlow/IPFIX ?

• A: Le fabricant de NetFlow/IPFIX est Advantech Czech s.r.o.

Q : Quel est le but de NetFlow/IPFIX ?

• A: NetFlow/IPFIX est conçu pour surveiller le trafic réseau en collectant des informations sur le trafic IP à partir de routeurs compatibles NetFlow et en les soumettant à un collecteur et analyseur NetFlow.

Q : Comment puis-je accéder aux paramètres de configuration du module ?

• A: Pour accéder aux paramètres de configuration, cliquez sur l'élément « Global » dans le menu principal du module. web interface.

Q : À quoi sert le paramètre Engine ID ?

• A: Le paramètre Engine ID vous permet de spécifier un identifiant unique pour votre exportateur, aidant ainsi le collecteur à faire la distinction entre plusieurs exportateurs.
• © 2023 Advantech Czech sro Aucune partie de cette publication ne peut être reproduite ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris la photographie, l'enregistrement ou tout système de stockage et de récupération d'informations sans consentement écrit.
• Les informations contenues dans ce manuel sont sujettes à modification sans préavis et ne représentent pas un engagement de la part d'Advantech.
• Advantech Czech sro ne sera pas responsable des dommages accessoires ou consécutifs résultant de la fourniture, de l'exécution ou de l'utilisation de ce manuel.
• Tous les noms de marques utilisés dans ce manuel sont des marques déposées de leurs propriétaires respectifs. L'utilisation de marques commerciales ou d'autres désignations dans cette publication est uniquement à des fins de référence et ne constitue pas une approbation par le détenteur de la marque.

Symboles utilisés

• Danger – Informations concernant la sécurité de l'utilisateur ou les dommages potentiels au routeur.
• Attention – Problèmes pouvant survenir dans des situations spécifiques.
• Information – Conseils utiles ou informations d'un intérêt particulier.
• Example - Exampfichier de fonction, de commande ou de script.

Journal des modifications

Journal des modifications NetFlow/IPFIX

• v1.0.0 (2020/04/15)
  • Première sortie.
• v1.1.0 (2020/10/01)
  • Code CSS et HTML mis à jour pour correspondre au firmware 6.2.0+.

Description du module

• L'application de routeur NetFlow/IPFIX n'est pas contenue dans le micrologiciel standard du routeur. Le téléchargement de cette application de routeur est décrit dans le manuel de configuration (voir le chapitre Documents associés).
• L'application de routeur NetFlow/IPFIX est déterminée pour surveiller le trafic réseau. Les routeurs compatibles NetFlow disposent d'une sonde qui collecte les informations sur le trafic IP et les soumet à un collecteur et analyseur NetFlow.

Cette application de routeur contient :

• Sonde NetFlow pouvant soumettre des informations à un collecteur et un analyseur de réseau compatibles, par ex. g. le https://www.paessler.com/prtg.
• Collecteur NetFlow qui stocke les informations collectées dans un file. Il peut également recevoir et stocker le trafic NetFlow provenant d'autres appareils.

Web Interface

• Une fois l'installation du module terminée, l'interface graphique du module peut être invoquée en cliquant sur le nom du module sur la page des applications du routeur du routeur. web interface.
• La partie gauche de cette interface graphique contient un menu avec une section de menu Configuration et une section de menu Informations.
• La section du menu de personnalisation contient uniquement l'élément Retour, qui revient du module web page du routeur web pages de configuration. Le menu principal de l'interface graphique du module est illustré à la figure 2.

Configuration

Mondial

• Tous les paramètres de l'application du routeur NetFlow/IPFIX peuvent être configurés en cliquant sur l'élément Global dans le menu principal du module. web interface. un surview des éléments configurables est indiqué ci-dessous.

Article	Description
Activer la sonde	Commencez à transmettre les informations NetFlow à un collecteur distant (lorsqu'il est défini) ou au collecteur local (lorsqu'il est activé).
Protocole	Protocole à utiliser : NetFlow v5, Flux net v9, IPFIX (Net-Flow v10)
ID du moteur	Valeur de l’ID de domaine d’observation (sur IPFIX, ID source sur NetFlow v9 ou ID moteur sur NetFlow v5). Cela peut aider votre collecteur à faire la distinction entre plusieurs exportateurs. Voir également la section sur l'interopérabilité des ID de moteur.

Article	Description
Sampler	(Vide): soumettre chaque flux observé ; déterministe: soumettre chaque N-ième flux observé ; aléatoire: sélectionner au hasard un flux parmi N ; hacher: sélectionnez un hachage aléatoire parmi N flux.
Samplire Tarif	La valeur de N.
Délai d'expiration du trafic inactif	Soumettez le flux après qu’il soit inactif pendant 15 secondes. La valeur par défaut est 15.
Délai d'expiration du trafic actif	Soumettez le flux après qu’il ait été actif pendant 1800 30 secondes (1800 minutes). La valeur par défaut est XNUMX. Voir également la section sur les délais d'attente du trafic.
Collecteur distant	Adresse IP d'un collecteur ou d'un analyseur NetFlow, où soumettre les informations de trafic NetFlow collectées. Le port est facultatif, 2055 par défaut. La destination peut contenir une liste séparée par des virgules de plusieurs adresses IP (et ports) pour refléter le NetFlow sur deux ou plusieurs collecteurs/analyseurs.
Activer le collecteur local	Commencez à recevoir des informations NetFlow depuis la sonde locale (si activée) ou depuis une sonde distante.
Intervalle de stockage	Spécifie l'intervalle de temps en secondes pour la rotation files. La valeur par défaut est 300 s (5 min).
Expiration du stockage	Définit la durée de vie maximale pour files dans le répertoire. Une valeur de 0 désactive la limite de durée de vie maximale.
Numéros SNMP de l'interface de stockage	Cochez pour stocker l'index SNMP de l'interface d'entrée/sortie (%in, %out) en plus de l'ensemble standard d'informations, voir ci-dessous.
Stocker l'adresse IP du tronçon suivant	Cochez pour stocker l'adresse IP du prochain tronçon de trafic sortant (%nh).
Stocker l'exportation de l'adresse IP	Cochez pour stocker l'adresse IP du routeur exportateur (%ra).
Store exportant l'ID du moteur	Cochez pour stocker l'ID du moteur du routeur exportateur (%eng).
Heure de réception du flux de magasin	Vérifiez pour stocker l'heureamp quand les informations de flux ont été reçues (%tr).

Tableau 1 : Description des éléments de configuration

Information

licences Résume les licences de logiciels Open Source (OSS) utilisées par ce module

Instructions d'utilisation

Les données NetFlow ne doivent pas être envoyées via WAN, sauf si un VPN est utilisé. Les données ne sont pas intrinsèquement cryptées ou obscurcies, de sorte qu'une personne non autorisée peut les intercepter et view les informations.

Informations collectées

L'ensemble standard d'informations suivant est toujours envoyé par la sonde et stocké par le collecteur :

• Heureamp quand le trafic a été vu pour la première fois (%ts) et pour la dernière fois (%te), en utilisant l'horloge de la sonde
• Nombre d'octets (% byt) et de paquets (% pkt)
• Protocole utilisé (%pr)
• TOS (%tos)
• Indicateurs TCP (%flg)
• Adresse IP source (%sa, %sap) et port (%sp)
• Adresse IP de destination (%da, %dap) et port (%dp)
• Type ICMP (%it)

Les éléments suivants sont également envoyés, mais stockés uniquement sur demande (voir configuration ci-dessus) :

• Index SNMP de l'interface d'entrée/sortie (%in, %out)
• Adresse IP du prochain tronçon de trafic sortant (%nh)
• Adresse IP (%ra) et ID moteur (%eng) du routeur exportateur (sonde)
• Heureamp quand les informations de flux ont été reçues (%tr), en utilisant l'horloge du collecteur
• La valeur entre parenthèses (%xx) indique le formateur à utiliser avec nfdump pour afficher cette valeur (voir chapitre suivant).

Récupération des informations stockées

• Les données sont stockées dans /tmp/netflow/nfcapd.aaaammjjHHMM, où aaaammjjHHMM est l'heure de création. Le répertoire comprend également le .nfstat file, qui est utilisé pour surveiller le délai d’expiration.
• Ne modifiez pas cela file. Pour configurer l’expiration, utilisez l’interface graphique d’administration.
• Le fileLes s peuvent être lus à l’aide de la commande nfdump. nfdump [options] [filtre]

Afficher les paquets UDP envoyés par 192.168.88.100 :

• nfdump -r nfcapd.202006011625 'proto udp et src ip 192.168.88.100'
  • Afficher tous les flux entre 16h25 et 17h25, en agrégeant les flux bidirectionnels (-B) :
• nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
  • Afficher le type/ID du moteur, l'adresse source+le port et l'adresse de destination+por pour tous les flux :
• nfdump -r /tmp/netflow/nfcapd.202006011625 -o « fmt : %eng %sap %dap »

Interopérabilité des identifiants de moteur

• Netflow v5 définit deux identifiants 8 bits : le type de moteur et l'ID du moteur. La sonde sur les routeurs Advantech envoie uniquement l'ID du moteur (0..255). Le type de moteur sera toujours zéro (0). Par conséquent, un flux envoyé avec Engine ID = 513 (0x201) sera reçu comme Engine Type/ID = 0/1.
• Netflow v9 définit un identifiant de 32 bits. La sonde sur les routeurs Advantech peut envoyer n'importe quel numéro 32 bits, mais d'autres fabricants (par exemple Cisco) divisent l'identifiant en deux octets réservés, suivis du type de moteur et de l'ID du moteur. Le récepteur suit la même approche.
• Par conséquent, un flux envoyé avec Engine ID = 513 (0x201) sera reçu comme Engine Type/ID = 2/1.
• IPFIX définit un identifiant de 32 bits. La sonde sur les routeurs Advantech peut envoyer n'importe quel nombre 32 bits, mais le collecteur local ne stocke pas encore cette valeur. Par conséquent, tout flux sera reçu sous la forme Engine Type/ID = 0/0.
• Recommandation: Si vous souhaitez stocker l'ID du moteur dans le collecteur local, cochez Store Exporting Engine ID dans la configuration, utilisez l'ID du moteur < 256 et évitez d'utiliser le protocole IPFIX.
• Délais d'attente du trafic
• La sonde exporte des flux entiers, c'est-à-dire tous les paquets qui vont ensemble. Si aucun paquet n'est observé pendant une période donnée (Inactive Traffic Timeout), le flux est considéré comme complet et la sonde envoie des informations de trafic au collecteur.
• Des informations sur un file Le transfert apparaîtra ainsi dans le collecteur une fois le transfert terminé, ce qui peut prendre un temps important. Si la transmission est active pendant trop longtemps (Active Traffic Timeout), elle apparaîtra sous forme de plusieurs flux plus courts.
• Par exempleample, avec un délai d'expiration du trafic actif de 30 minutes, une communication de 45 minutes s'affichera sous la forme de deux flux : un de 30 min et un de 15 min.

Délais d'attente du trafic

• La sonde exporte des flux entiers, c'est-à-dire tous les paquets qui vont ensemble. Si aucun paquet n'est observé pendant une période donnée (Inactive Traffic Timeout), le flux est considéré comme complet et la sonde envoie des informations de trafic au collecteur.
• Des informations sur un file Le transfert apparaîtra ainsi dans le collecteur une fois le transfert terminé, ce qui peut prendre un temps important. Si la transmission est active pendant trop longtemps (Active Traffic Timeout), elle apparaîtra sous forme de plusieurs flux plus courts. Par exempleample, avec un délai d'expiration du trafic actif de 30 minutes, une communication de 45 minutes s'affichera sous la forme de deux flux : un de 30 min et un de 15 min.

Documents connexes

• Vous pouvez obtenir des documents relatifs aux produits sur le portail d'ingénierie à l'adresse icr.advantech.cz.
• Pour obtenir le guide de démarrage rapide, le manuel d'utilisation, le manuel de configuration ou le micrologiciel de votre routeur, accédez à la page Modèles de routeur, recherchez le modèle requis et passez respectivement à l'onglet Manuels ou Micrologiciel.
• Les packages d'installation et les manuels des applications du routeur sont disponibles sur la page des applications du routeur.
• Pour les documents de développement, accédez à la page DevZone.

Documents / Ressources

Application de routeur ADVANTECH Net Flow Pfix [pdf] Guide de l'utilisateur Routeur App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Références

• Manuel d'utilisation