Contidos ocultar
1 ADVANTECH Router App Net Flow Pfix
2 Información do produto
3 Instrucións de uso
4 Símbolos usados
5 Rexistro de cambios
6 Descrición do módulo
7 Configuración
8 Información
9 Instrucións de uso
10 Interoperabilidade de ID do motor
11 Documentos relacionados
12 Documentos/Recursos
12.1 Referencias
13 Publicacións relacionadas

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Información do produto

Especificacións

  • Fabricante: Advantech Czech sro
  • Enderezo: Sokolska 71, 562 04 Usti nad Orlici, República Checa
  • Documento Número: APP-0085-EN
  • Revisión Data: 19 de outubro de 2023

Descrición do módulo

  • O módulo NetFlow/IPFIX é unha aplicación de enrutador desenvolvida por Advantech Czech s.r.o. Non está incluído no firmware estándar do enrutador e debe cargarse por separado.
  • O módulo está deseñado para supervisar o tráfico da rede. Funciona recollendo información de tráfico IP mediante unha sonda instalada en routers habilitados para NetFlow.
  • A continuación, esta información envíase a un colector e analizador NetFlow para a súa posterior análise.

Web Interface

Unha vez instalado o módulo, pode acceder ao seu web interface facendo clic no nome do módulo na páxina de aplicacións do enrutador do seu enrutador web interface. O web interface consta dun menú con diferentes seccións:

Configuración

A sección Configuración permítelle configurar varias opcións da aplicación do enrutador NetFlow/IPFIX. Para acceder aos axustes de configuración, fai clic no elemento "Global" no menú principal do módulo web interface. Os elementos configurables inclúen:

  • Activar a sonda: Esta opción comeza a enviar a información de NetFlow a un colector remoto (se está definido) ou ao colector local (se está habilitado).
  • Protocolo: Esta opción permítelle escoller o protocolo que se utilizará para o envío de información de NetFlow. Pode seleccionar entre NetFlow v5, NetFlow v9 ou IPFIX (NetFlow v10).
  • ID do motor: Esta opción permítelle configurar o ID de dominio de observación (para IPFIX), o ID de orixe (para NetFlow v9) ou o ID do motor (para NetFlow v5). Isto axuda ao coleccionista a distinguir entre varios exportadores. Para obter máis información, consulte a sección sobre Interoperabilidade da ID do motor.

Información

A sección Información ofrece detalles sobre o módulo e as súas licenzas. Podes acceder a esta sección facendo clic no elemento "Información" do menú principal do módulo web interface.

Instrucións de uso

Información recollida

  • O módulo NetFlow/IPFIX recolle información de tráfico IP da sonda do enrutador. Isto inclúe detalles como enderezos IP de orixe e destino, contas de paquetes, contas de bytes e información de protocolo.

Recuperación da información almacenada

  • Para recuperar a información almacenada, cómpre acceder ao colector e analizador NetFlow ao que o módulo envía os datos. O colector e analizador proporcionarán ferramentas e informes para analizar e visualizar a información recollida.

Interoperabilidade de ID do motor

  • A configuración de ID do motor na configuración permítelle especificar un identificador único para o exportador. Isto é útil cando tes varios exportadores que envían datos ao mesmo colector.
  • Ao establecer diferentes ID de motor, o recopilador pode diferenciar os datos recibidos de distintos exportadores.

Tempos de espera de tráfico

  • O módulo non ofrece información específica sobre os tempos de espera do tráfico. Consulte os documentos relacionados ou póñase en contacto con Advantech Czech s.r.o. para máis detalles.

Documentos relacionados

  • Para obter máis información e instrucións detalladas, consulte os seguintes documentos:
  • Manual de configuración
  • Outra documentación relacionada facilitada por Advantech Czech s.r.o.

FAQ

P: Quen é o fabricante de NetFlow/IPFIX?

  • A: O fabricante de NetFlow/IPFIX é Advantech Czech s.r.o.

P: Cal é o propósito de NetFlow/IPFIX?

  • A: NetFlow/IPFIX está deseñado para supervisar o tráfico de rede recollendo información de tráfico IP dos enrutadores habilitados para NetFlow e enviándoa a un colector e analizador NetFlow.

P: Como podo acceder aos axustes de configuración do módulo?

  • A: Para acceder aos axustes de configuración, fai clic no elemento "Global" no menú principal do módulo web interface.

P: Para que serve a configuración de ID do motor?

  • A: A configuración de ID do motor permítelle especificar un identificador único para o exportador, o que axuda ao coleccionista a distinguir entre varios exportadores.
  • © 2023 Advantech Czech sro Non se pode reproducir nin transmitir ningunha parte desta publicación de ningunha forma nin por ningún medio, electrónico ou mecánico, incluíndo fotografía, gravación ou calquera sistema de almacenamento e recuperación de información sen o consentimento por escrito.
  • A información deste manual está suxeita a cambios sen previo aviso e non representa un compromiso por parte de Advantech.
  • Advantech Czech sro non será responsable dos danos incidentais ou consecuentes derivados da subministración, execución ou uso deste manual.
  • Todas as marcas utilizadas neste manual son marcas rexistradas dos seus respectivos propietarios. O uso de marcas comerciais ou outras designacións nesta publicación é só para fins de referencia e non constitúe unha aprobación por parte do titular da marca comercial.

Símbolos usados

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Perigo – Información sobre a seguridade do usuario ou posibles danos no router.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Atención – Problemas que poidan xurdir en situacións concretas.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Información – Consellos útiles ou información de especial interese.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example – Example de función, comando ou script.

Rexistro de cambios

Rexistro de cambios de NetFlow/IPFIX

  • versión 1.0.0 (2020/04/15)
    • Primeiro lanzamento.
  • versión 1.1.0 (2020/10/01)
    • Código CSS e HTML actualizados para que coincidan con firmware 6.2.0+.

Descrición do módulo

  • A aplicación do enrutador NetFlow/IPFIX non está incluída no firmware estándar do enrutador. A carga desta aplicación de enrutador descríbese no manual de configuración (consulte o capítulo Documentos relacionados).
  • A aplicación de enrutador NetFlow/IPFIX está determinada para supervisar o tráfico da rede. Os enrutadores habilitados para NetFlow teñen unha sonda que recolle a información do tráfico IP e a envía a un colector e analizador NetFlow.

Esta aplicación de enrutador contén:

  • Sonda NetFlow que pode enviar información a un colector e analizador de rede compatible, p. g. o http://www.paessler.com/prtg.
  • Recolector NetFlow que almacena a información recollida en a file. Tamén pode recibir e almacenar tráfico de NetFlow doutros dispositivos.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Interface

  • Unha vez completada a instalación do módulo, pódese invocar a GUI do módulo facendo clic no nome do módulo na páxina de aplicacións do enrutador do enrutador. web interface.
  • A parte esquerda desta GUI contén un menú con sección de menú Configuración e sección de menú Información.
  • A sección do menú de personalización contén só o elemento Devolver, que cambia desde o módulo web páxina ao router web páxinas de configuración. O menú principal da GUI do módulo móstrase na Figura 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Configuración

Global

  • Pódense configurar todos os axustes da aplicación do enrutador NetFlow/IPFIX facendo clic no elemento Global no menú principal do módulo web interface. Un máisview de elementos configurables indícase a continuación.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Elemento Descrición
Activar a sonda Comeza a enviar a información de NetFlow a un Remote Collector (cando estea definido) ou ao Local Collector (cando está habilitado).
Protocolo Protocolo a utilizar: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
ID do motor Valor de ID de dominio de observación (en IPFIX, ID de fonte en NetFlow v9 ou ID de motor en NetFlow v5). Isto pode axudar ao teu coleccionista a distinguir entre varios exportadores. Consulte tamén a sección sobre Interoperabilidade da ID do motor.
Elemento Descrición
Sampler (baleiro): enviar cada fluxo observado; determinista: enviar cada N-ésimo fluxo observado; aleatoria: seleccione aleatoriamente un dos N fluxos; haxix: selecciona aleatoriamente un hash de entre N fluxos.
Sampleer Tarifa O valor de N.
Tempo de espera de tráfico inactivo Envía o fluxo despois de que estea inactivo durante 15 segundos. O valor predeterminado é 15.
Tempo de espera de tráfico activo Envía o fluxo despois de que estea activo durante 1800 segundos (30 minutos). O valor predeterminado é 1800. Consulte tamén a sección sobre os tempos de espera do tráfico.
Colector remoto Enderezo IP dun colector ou analizador de NetFlow, onde enviar a información de tráfico de NetFlow recollida. O porto é opcional, o predeterminado é 2055. O destino pode conter unha lista separada por comas de varios enderezos IP (e portos) para reflectir o NetFlow a dous ou máis colectores/analizadores.
Activar o colector local Comeza a recibir información de NetFlow da sonda local (cando está activada) ou dunha sonda remota.
Intervalo de almacenamento Especifica o intervalo de tempo en segundos para xirar files. O valor predeterminado é 300 s (5 min).
Caducidade de almacenamento Establece o tempo de vida máximo para files no directorio. Un valor de 0 desactiva o límite máximo de vida útil.
Almacenar números SNMP da interface Marque para almacenar o índice SNMP da interface de entrada/saída (%in, %out) ademais do conxunto estándar de información, consulte a continuación.
Garda o enderezo IP de Next Hop Marque para almacenar o enderezo IP do seguinte salto de tráfico de saída (%nh).
Tenda exportando o enderezo IP Marque para almacenar o enderezo IP do enrutador exportador (%ra).
ID do motor de exportación da tenda Marque para almacenar o ID do motor do enrutador exportador (%eng).
Tempo de recepción do fluxo da tenda Comproba para almacenar o tempoamp cando se recibiu a información do fluxo (%tr).

Táboa 1: Descrición dos elementos de configuración

Información

licenzas Resume as licenzas de software de código aberto (OSS) utilizadas por este móduloADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Instrucións de uso

Os datos de NetFlow non deben enviarse a través da WAN, a menos que se use VPN. Os datos non están inherentemente cifrados nin ofuscados, polo que unha persoa non autorizada pode interceptar e view a información.

Información recollida

O seguinte conxunto estándar de información é sempre enviado pola sonda e almacenado polo colector:

  • Timestamp cando o tráfico foi visto por primeira vez (%ts) e visto por última vez (%te), usando o reloxo da sonda
  • Número de bytes (%byt) e paquetes (%pkt)
  • Protocolo utilizado (%pr)
  • TOS (%tos)
  • Indicadores de TCP (%flg)
  • Enderezo IP de orixe (%sa, %sap) e porto (%sp)
  • Enderezo IP de destino (%da, %dap) e porto (%dp)
  • Tipo ICMP (%it)

Tamén se envían os seguintes, pero só se almacenan a petición (consulta a configuración anterior):

  • Índice SNMP da interface de entrada/saída (%in, %out)
  • Enderezo IP do seguinte salto de tráfico de saída (%nh)
  • Enderezo IP (%ra) e ID do motor (%eng) do enrutador exportador (sonda)
  • Timestamp cando se recibiu a información do fluxo (%tr), usando o reloxo do colector
  • O valor entre corchetes (%xx) indica o formateador que se utilizará con nfdump para mostrar este valor (consulte o capítulo seguinte).

Recuperación da información almacenada

  • Os datos gárdanse en /tmp/netflow/nfcapd.yyyymmddHHMM, onde aaaammddHHMM é a hora de creación. O directorio tamén inclúe o .nfstat file, que se usa para controlar o tempo de caducidade.
  • Non altere isto file. Para configurar a caducidade, use a GUI de administración.
  • O files pódese ler usando o comando nfdump. nfdump [opcións] [filtro]

Mostrar paquetes UDP enviados por 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp e src ip 192.168.88.100'
    • Mostra todos os fluxos entre as 16:25 e as 17:25, agregando fluxos bidireccionais (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Mostrar o tipo/ID de motor, enderezo de orixe + porto e enderezo de destino + por para todos os fluxos:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Interoperabilidade de ID do motor

  • Netflow v5 define dous identificadores de 8 bits: Tipo de motor e ID de motor. A sonda dos enrutadores Advantech só envía o ID do motor (0..255). O tipo de motor sempre será cero (0). Polo tanto, un fluxo enviado con ID de motor = 513 (0x201) recibirase como Tipo/ID de motor = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 define un identificador de 32 bits. Probe nos enrutadores Advantech pode enviar calquera número de 32 bits, pero outros fabricantes (por exemplo, Cisco) dividen o identificador en dous bytes reservados, seguidos do tipo de motor e do ID do motor. O receptor segue o mesmo enfoque.
  • Polo tanto, un fluxo enviado con ID de motor = 513 (0x201) recibirase como Tipo/ID de motor = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX define un identificador de 32 bits. Probe nos routers Advantech pode enviar calquera número de 32 bits, pero o colector local aínda non almacena este valor. Polo tanto, calquera fluxo recibirase como tipo de motor/ID = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Recomendación: Se queres almacenar o ID do motor no colector local, marca Store Exporting Engine ID na configuración, utiliza o ID do motor < 256 e evita usar o protocolo IPFIX.
  • Tempos de espera de tráfico
  • A sonda exporta fluxos enteiros, é dicir, todos os paquetes que pertencen xuntos. Se non se observan paquetes durante un período determinado (tempo de espera de tráfico inactivo), o fluxo considérase completo e a sonda envía información de tráfico ao colector.
  • Información sobre a file transferencia aparecerá así no colector unha vez que se complete o traslado, o que pode levar un tempo importante. Se a transmisión está activa durante demasiado tempo (tempo de espera de tráfico activo) aparecerá como varios fluxos máis curtos.
  • Por example, cun tempo de espera de tráfico activo de 30 minutos, unha comunicación de 45 minutos mostrarase como dous fluxos: un de 30 min e outro de 15 min.

Tempos de espera de tráfico

  • A sonda exporta fluxos enteiros, é dicir, todos os paquetes que pertencen xuntos. Se non se observan paquetes durante un período determinado (tempo de espera de tráfico inactivo), o fluxo considérase completo e a sonda envía información de tráfico ao colector.
  • Información sobre a file transferencia aparecerá así no colector unha vez que se complete o traslado, o que pode levar un tempo importante. Se a transmisión está activa durante demasiado tempo (tempo de espera de tráfico activo) aparecerá como varios fluxos máis curtos. Por example, cun tempo de espera de tráfico activo de 30 minutos, unha comunicación de 45 minutos mostrarase como dous fluxos: un de 30 min e outro de 15 min.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Documentos relacionados

  • Podes obter documentos relacionados co produto no Portal de Enxeñaría no enderezo icr.advantech.cz.
  • Para obter a guía de inicio rápido, o manual de usuario, o manual de configuración ou o firmware do seu enrutador, vaia á páxina Modelos de enrutador, busque o modelo necesario e cambie á pestana Manuais ou Firmware, respectivamente.
  • Os manuais e paquetes de instalación de aplicacións de enrutador están dispoñibles na páxina de aplicacións de enrutador.
  • Para os documentos de desenvolvemento, vai á páxina DevZone.

Documentos/Recursos

ADVANTECH Router App Net Flow Pfix [pdfGuía do usuario
Aplicación de enrutador Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referencias

Publicacións relacionadas

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *