App router ADVANTECH Net Flow Pfix

Informazioni sul prodotto

Specifiche

• Produttore: Advantech Czech sro
• Indirizzo: Sokolska 71, 562 04 Usti nad Orlici, Repubblica Ceca
• Documento N.: APP-0085-EN
• Revisione Data: 19th October, 2023

Descrizione del Modulo

• Il modulo NetFlow/IPFIX è un'app router sviluppata da Advantech Czech s.r.o. Non è incluso nel firmware standard del router e deve essere caricato separatamente.
• Il modulo è progettato per il monitoraggio del traffico di rete. Funziona raccogliendo informazioni sul traffico IP utilizzando una sonda installata sui router abilitati NetFlow.
• Queste informazioni vengono quindi inviate a un raccoglitore e analizzatore NetFlow per ulteriori analisi.

Web Interfaccia

Una volta installato il modulo, è possibile accedervi web facendo clic sul nome del modulo nella pagina delle app del router del router web interfaccia. Il web l'interfaccia è composta da un menu con diverse sezioni:

Configurazione

La sezione Configurazione consente di configurare varie impostazioni dell'app router NetFlow/IPFIX. Per accedere alle impostazioni di configurazione, fare clic sulla voce “Globale” nel menu principale del modulo web interfaccia. Gli elementi configurabili includono:

• Abilita sonda: Questa opzione avvia l'invio delle informazioni NetFlow a un raccoglitore remoto (se definito) o al raccoglitore locale (se abilitato).
• Protocollo: Questa opzione consente di scegliere il protocollo da utilizzare per l'invio delle informazioni NetFlow. È possibile scegliere tra NetFlow v5, NetFlow v9 o IPFIX (NetFlow v10).
• ID motore: Questa opzione consente di impostare l'ID dominio di osservazione (per IPFIX), l'ID origine (per NetFlow v9) o l'ID motore (per NetFlow v5). Ciò aiuta il collezionista a distinguere tra più esportatori. Per ulteriori informazioni, fare riferimento alla sezione sull'interoperabilità dell'ID motore.

Informazioni

La sezione Informazioni fornisce dettagli sul modulo e sulle sue licenze. Puoi accedere a questa sezione cliccando sulla voce “Informazioni” nel menù principale del modulo web interfaccia.

Istruzioni per l'uso

Informazioni raccolte

• Il modulo NetFlow/IPFIX raccoglie le informazioni sul traffico IP dalla sonda del router. Ciò include dettagli come indirizzi IP di origine e destinazione, conteggi di pacchetti, conteggi di byte e informazioni sul protocollo.

Recupero delle informazioni memorizzate

• Per recuperare le informazioni archiviate, è necessario accedere al raccoglitore e analizzatore NetFlow a cui il modulo invia i dati. Il raccoglitore e l'analizzatore forniranno strumenti e report per analizzare e visualizzare le informazioni raccolte.

Interoperabilità dell'ID motore

• L'impostazione ID motore nella configurazione ti consente di specificare un identificatore univoco per il tuo esportatore. Ciò è utile quando più esportatori inviano dati allo stesso raccoglitore.
• Impostando ID motore diversi, il raccoglitore può distinguere tra i dati ricevuti da diversi esportatori.

Timeout del traffico

• Il modulo non fornisce informazioni specifiche sui timeout del traffico. Si prega di fare riferimento ai documenti correlati o di contattare Advantech Czech s.r.o. per ulteriori dettagli.

Documenti correlati

• Per maggiori informazioni e istruzioni dettagliate fare riferimento ai seguenti documenti:
• Manuale di configurazione
• Altra documentazione correlata fornita da Advantech Czech s.r.o.

Domande frequenti

D: Chi è il produttore di NetFlow/IPFIX?

• A: Il produttore di NetFlow/IPFIX è Advantech Czech s.r.o.

D: Qual è lo scopo di NetFlow/IPFIX?

• A: NetFlow/IPFIX è progettato per monitorare il traffico di rete raccogliendo informazioni sul traffico IP dai router abilitati NetFlow e inviandole a un raccoglitore e analizzatore NetFlow.

D: Come posso accedere alle impostazioni di configurazione del modulo?

• A: Per accedere alle impostazioni di configurazione, fare clic sulla voce “Globale” nel menu principale del modulo web interfaccia.

D: A cosa serve l'impostazione dell'ID motore?

• A: L'impostazione ID motore ti consente di specificare un identificatore univoco per il tuo esportatore, aiutando il raccoglitore a distinguere tra più esportatori.
• © 2023 Advantech Czech sro Nessuna parte di questa pubblicazione può essere riprodotta o trasmessa in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusa la fotografia, la registrazione o qualsiasi sistema di archiviazione e recupero delle informazioni senza consenso scritto.
• Le informazioni contenute in questo manuale sono soggette a modifiche senza preavviso e non rappresentano un impegno da parte di Advantech.
• Advantech Czech sro non sarà ritenuta responsabile per eventuali danni incidentali o consequenziali derivanti dalla fornitura, dall'esecuzione o dall'uso del presente manuale.
• Tutti i nomi di marchi utilizzati in questo manuale sono marchi registrati dei rispettivi proprietari. L'uso di marchi o altre designazioni in questa pubblicazione è solo a scopo di riferimento e non costituisce un'approvazione da parte del titolare del marchio.

Simboli utilizzati

• Pericolo – Informazioni riguardanti la sicurezza dell'utente o potenziali danni al router.
• Attenzione – Problemi che possono sorgere in situazioni specifiche.
• Informazioni – Consigli utili o informazioni di particolare interesse.
• Example – Esample di funzione, comando o script.

Registro delle modifiche

Registro modifiche NetFlow/IPFIX

• v1.0.0 (2020-04-15)
  • Prima uscita.
• v1.1.0 (2020-10-01)
  • Codice CSS e HTML aggiornato per corrispondere al firmware 6.2.0+.

Descrizione del modulo

• L'app del router NetFlow/IPFIX non è contenuta nel firmware del router standard. Il caricamento di questa app del router è descritto nel manuale di configurazione (vedere capitolo Documenti correlati).
• L'app del router NetFlow/IPFIX è determinata per il monitoraggio del traffico di rete. I router abilitati NetFlow dispongono di una sonda che raccoglie informazioni sul traffico IP e le invia a un raccoglitore e analizzatore NetFlow.

Questa app del router contiene:

• Sonda NetFlow in grado di inviare informazioni al raccoglitore e analizzatore di rete compatibile, ad es. G. IL https://www.paessler.com/prtg.
• Raccoglitore NetFlow che memorizza le informazioni raccolte in a file. Può anche ricevere e archiviare il traffico NetFlow da altri dispositivi.

Web Interfaccia

• Una volta completata l'installazione del modulo, la GUI del modulo può essere richiamata facendo clic sul nome del modulo nella pagina delle app del router del router web interfaccia.
• La parte sinistra di questa GUI contiene il menu con la sezione del menu Configurazione e la sezione del menu Informazioni.
• La sezione del menu Personalizzazione contiene solo la voce Restituisci, che ritorna da quella del modulo web pagina al router web pagine di configurazione. Il menu principale della GUI del modulo è mostrato in Figura 2.

Configurazione

Globale

• Tutte le impostazioni dell'app router NetFlow/IPFIX possono essere configurate facendo clic sulla voce Globale nel menu principale del modulo web interfaccia. un overview degli elementi configurabili è riportato di seguito.

Articolo	Descrizione
Abilita sonda	Inizia a inviare le informazioni NetFlow a un servizio di raccolta remoto (se definito) o al servizio di raccolta locale (se abilitato).
Protocollo	Protocollo da utilizzare: Netflow v5, NetFlow v9, IPFIX (NetFlow v10)
ID motore	Valore ID dominio di osservazione (su IPFIX, ID origine su NetFlow v9 o ID motore su NetFlow v5). Ciò può aiutare il tuo collezionista a distinguere tra più esportatori. Vedere anche la sezione sull'interoperabilità dell'ID motore.

Articolo	Descrizione
Samppiù	(Vuoto): invia ogni flusso osservato; deterministico: presenta ogni N-esimo flusso osservato; casuale: seleziona casualmente uno tra N flussi; hash: seleziona l'hash in modo casuale uno tra N flussi.
Samptasso di lettura	Il valore di n.
Timeout traffico inattivo	Invia il flusso dopo che è rimasto inattivo per 15 secondi. Il valore predefinito è 15.
Timeout del traffico attivo	Invia il flusso dopo che è attivo per 1800 secondi (30 minuti). Il valore predefinito è 1800. Vedi anche la sezione sui timeout del traffico.
Collezionista remoto	Indirizzo IP di un raccoglitore o analizzatore NetFlow, a cui inviare le informazioni sul traffico NetFlow raccolte. La porta è facoltativa, predefinita 2055. La destinazione può contenere un elenco separato da virgole di più indirizzi IP (e porte) per eseguire il mirroring di NetFlow su due o più raccoglitori/analizzatori.
Abilita raccoglitore locale	Inizia a ricevere informazioni NetFlow dalla sonda locale (se abilitata) o da una sonda remota.
Intervallo di archiviazione	Specifica l'intervallo di tempo in secondi per la rotazione fileS. Il valore predefinito è 300 s (5 minuti).
Scadenza dello spazio di archiviazione	Imposta la durata massima per files nella directory. Un valore pari a 0 disabilita il limite di durata massima.
Memorizza i numeri SNMP dell'interfaccia	Selezionare per memorizzare l'indice SNMP dell'interfaccia di input/output (%in, %out) oltre al set standard di informazioni, vedere di seguito.
Memorizza l'indirizzo IP dell'hop successivo	Selezionare per memorizzare l'indirizzo IP dell'hop successivo del traffico in uscita (%nh).
Memorizza l'indirizzo IP di esportazione	Selezionare per memorizzare l'indirizzo IP del router di esportazione (%ra).
Memorizza l'ID del motore di esportazione	Selezionare per memorizzare l'ID motore del router di esportazione (%eng).
Memorizzare l'orario di ricezione del flusso	Selezionare per memorizzare l'orarioamp quando sono state ricevute le informazioni sul flusso (%tr).

Tabella 1: Descrizione degli elementi di configurazione

Informazioni

licenses Riepiloga le licenze del software Open Source (OSS) utilizzate da questo modulo

Istruzioni per l'uso

I dati NetFlow non devono essere inviati tramite WAN, a meno che non venga utilizzata la VPN. I dati non sono intrinsecamente crittografati o offuscati, quindi una persona non autorizzata potrebbe intercettarli e view le informazioni.

Informazioni raccolte

Il seguente set standard di informazioni viene sempre inviato dalla sonda e memorizzato dal raccoglitore:

• Orarioamp quando il traffico è stato visto per la prima volta (%ts) e l'ultimo visto (%te), utilizzando l'orologio della sonda
• Numero di byte (%byt) e pacchetti (%pkt)
• Protocollo utilizzato (%pr)
• TOS (%tos)
• Flag TCP (%flg)
• Indirizzo IP di origine (%sa, %sap) e porta (%sp)
• Indirizzo IP di destinazione (%da, %dap) e porta (%dp)
• Tipo ICMP (%it)

Vengono inviati anche i seguenti, ma archiviati solo su richiesta (vedere configurazione sopra):

• Indice SNMP dell'interfaccia di ingresso/uscita (%in, %out)
• Indirizzo IP dell'hop successivo del traffico in uscita (%nh)
• Indirizzo IP (%ra) e ID motore (%eng) del router di esportazione (sonda)
• Orarioamp quando sono state ricevute le informazioni sul flusso (%tr), utilizzando l'orologio del raccoglitore
• Il valore tra parentesi (%xx) indica il formattatore da utilizzare con nfdump per visualizzare questo valore (vedere il capitolo successivo).

Recupero delle informazioni memorizzate

• I dati vengono archiviati in /tmp/netflow/nfcapd.aaaammggHHMM, dove aaaammggHHMM è l'ora di creazione. La directory include anche il file .nfstat file, che viene utilizzato per monitorare il tempo di scadenza.
• Non alterarlo file. Per configurare la scadenza utilizzare la GUI di amministrazione.
• IL filepossono essere letti utilizzando il comando nfdump. nfdump [opzioni] [filtro]

Visualizza i pacchetti UDP inviati da 192.168.88.100:

• nfdump -r nfcapd.202006011625 ‘proto udp e src ip 192.168.88.100’
  • Visualizza tutti i flussi tra le 16:25 e le 17:25, aggregando i flussi bidirezionali (-B):
• nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
  • Visualizza tipo/ID motore, indirizzo di origine+porta e indirizzo di destinazione+por per tutti i flussi:
• nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%ita %sap %dap”

Interoperabilità dell'ID motore

• Netflow v5 definisce due identificatori a 8 bit: Tipo motore e ID motore. La sonda sui router Advantech invia solo l'ID motore (0..255). Il tipo di motore sarà sempre zero (0). Pertanto, un flusso inviato con ID motore = 513 (0x201) verrà ricevuto come Tipo/ID motore = 0/1.
• Netflow v9 definisce un identificatore a 32 bit. Probe sui router Advantech può inviare qualsiasi numero a 32 bit, tuttavia altri produttori (ad esempio Cisco) dividono l'identificatore in due byte riservati, seguiti da Tipo motore e ID motore. Il ricevitore segue lo stesso approccio.
• Pertanto, un flusso inviato con ID motore = 513 (0x201) verrà ricevuto come Tipo/ID motore = 2/1.
• IPFIX definisce un identificatore a 32 bit. La sonda sui router Advantech può inviare qualsiasi numero a 32 bit, ma il raccoglitore locale non memorizza ancora questo valore. Pertanto qualsiasi flusso verrà ricevuto come Tipo/ID motore = 0/0.
• Raccomandazione: Se desideri memorizzare l'ID motore nel raccoglitore locale, seleziona Memorizza ID motore di esportazione nella configurazione, utilizza ID motore < 256 ed evita di utilizzare il protocollo IPFIX.
• Timeout del traffico
• La sonda esporta interi flussi, cioè tutti i pacchetti che appartengono insieme. Se non vengono rilevati pacchetti per un dato periodo (Inactive Traffic Timeout), il flusso viene considerato completo e la sonda invia le informazioni sul traffico al collector.
• Informazioni su a file Il trasferimento apparirà quindi nel raccoglitore una volta completato il trasferimento, il che potrebbe richiedere molto tempo. Se la trasmissione è attiva per troppo tempo (Timeout traffico attivo) apparirà come flussi multipli più brevi.
• Per esempioample, con un timeout di traffico attivo di 30 minuti, una comunicazione di 45 minuti verrà visualizzata come due flussi: uno da 30 min e uno da 15 min.

Timeout del traffico

• La sonda esporta interi flussi, cioè tutti i pacchetti che appartengono insieme. Se non vengono rilevati pacchetti per un dato periodo (Inactive Traffic Timeout), il flusso viene considerato completo e la sonda invia le informazioni sul traffico al collector.
• Informazioni su a file Il trasferimento apparirà quindi nel raccoglitore una volta completato il trasferimento, il che potrebbe richiedere molto tempo. Se la trasmissione è attiva per troppo tempo (Timeout traffico attivo) apparirà come flussi multipli più brevi. Per esample, con un timeout di traffico attivo di 30 minuti, una comunicazione di 45 minuti verrà visualizzata come due flussi: uno da 30 min e uno da 15 min.

Documenti correlati

• È possibile ottenere i documenti relativi al prodotto sul portale Engineering all'indirizzo icr.advantech.cz.
• Per ottenere la guida rapida, il manuale utente, il manuale di configurazione o il firmware del router, vai alla pagina Modelli di router, trova il modello richiesto e passa rispettivamente alla scheda Manuali o Firmware.
• I pacchetti di installazione e i manuali delle app router sono disponibili nella pagina App router.
• Per i documenti di sviluppo, vai alla pagina DevZone.

Documenti / Risorse

App router ADVANTECH Net Flow Pfix [pdf] Guida utente Pfix flusso di rete app router, Pfix flusso di rete app, Pfix flusso di rete, Pfix flusso, Pfix

Riferimenti

• Manuale d'uso