ADVANTECH ルーター アプリ ネットフロー Pfix
製品情報
仕様
- メーカー: アドバンテック チェコ sro
- 住所: Sokolska 71, 562 04 ウースティ ナド オルリーチ, チェコ共和国
- 書類 品番: APP-0085-EN
- リビジョン 日付: 19年2023月XNUMX日
モジュールの説明
- NetFlow/IPFIX モジュールは、Advantech Czech sro によって開発されたルーター アプリです。標準のルーター ファームウェアには含まれていないため、別途アップロードする必要があります。
- このモジュールは、ネットワーク トラフィックを監視するために設計されています。NetFlow 対応ルーターにインストールされたプローブを使用して IP トラフィック情報を収集することで機能します。
- この情報は、さらに分析するために NetFlow コレクターとアナライザーに送信されます。
Web インタフェース
モジュールがインストールされると、 web ルーターのルーターアプリページでモジュール名をクリックしてインターフェースを開きます。 web インターフェース。 の web インターフェースはさまざまなセクションを持つメニューで構成されています。
構成
設定セクションでは、NetFlow/IPFIXルーターアプリのさまざまな設定を行うことができます。設定にアクセスするには、モジュールのメインメニューの「グローバル」項目をクリックします。 web インターフェース。設定可能な項目は次のとおりです。
- プローブを有効にする: このオプションは、NetFlow 情報をリモート コレクター (定義されている場合) またはローカル コレクター (有効な場合) に送信し始めます。
- プロトコル: このオプションでは、NetFlow 情報の送信に使用するプロトコルを選択できます。NetFlow v5、NetFlow v9、または IPFIX (NetFlow v10) から選択できます。
- エンジンID: このオプションを使用すると、観測ドメイン ID (IPFIX の場合)、ソース ID (NetFlow v9 の場合)、またはエンジン ID (NetFlow v5 の場合) を設定できます。これにより、コレクターは複数のエクスポータを区別できるようになります。詳細については、「エンジン ID の相互運用性」のセクションを参照してください。
情報
情報セクションでは、モジュールとそのライセンスに関する詳細が表示されます。このセクションにアクセスするには、モジュールのメインメニューの「情報」項目をクリックします。 web インタフェース。
使用方法
収集された情報
- NetFlow/IPFIX モジュールは、ルーターのプローブから IP トラフィック情報を収集します。これには、送信元と宛先の IP アドレス、パケット数、バイト数、プロトコル情報などの詳細が含まれます。
保存された情報の取得
- 保存された情報を取得するには、モジュールがデータを送信する NetFlow コレクターとアナライザーにアクセスする必要があります。コレクターとアナライザーは、収集された情報を分析および視覚化するためのツールとレポートを提供します。
エンジンIDの相互運用性
- 構成のエンジン ID 設定を使用すると、エクスポータの一意の識別子を指定できます。これは、複数のエクスポータが同じコレクターにデータを送信する場合に便利です。
- 異なるエンジン ID を設定することにより、コレクターは異なるエクスポータから受信したデータを区別できます。
トラフィックタイムアウト
- このモジュールはトラフィック タイムアウトに関する具体的な情報を提供しません。詳細については、関連ドキュメントを参照するか、Advantech Czech sro にお問い合わせください。
関連文書
- 詳細情報と詳細な手順については、次のドキュメントを参照してください。
- 構成マニュアル
- Advantech Czech sroが提供するその他の関連ドキュメント
よくある質問
Q: NetFlow/IPFIX のメーカーはどこですか?
- A: NetFlow/IPFIXの製造元はAdvantech Czech sroです。
Q: NetFlow/IPFIX の目的は何ですか?
- A: NetFlow/IPFIX は、NetFlow 対応ルータから IP トラフィック情報を収集し、それを NetFlow コレクターおよびアナライザーに送信することで、ネットワーク トラフィックを監視するように設計されています。
Q: モジュールの構成設定にアクセスするにはどうすればよいですか?
- A: 設定にアクセスするには、モジュールのメインメニューの「グローバル」項目をクリックします。 web インタフェース。
Q: エンジン ID 設定は何に使用されますか?
- A: エンジン ID 設定を使用すると、エクスポーターの一意の識別子を指定できるため、コレクターは複数のエクスポーターを区別しやすくなります。
- © 2023 Advantech Czech sro 本書のいかなる部分も、書面による同意がない限り、電子的または機械的を問わず、写真、録音、または情報保存および検索システムを含む、いかなる形式または手段によっても複製または送信することはできません。
- このマニュアルの情報は予告なく変更される場合があり、アドバンテック側の責任を示すものではありません。
- Advantech Czech sro は、このマニュアルの提供、実行、または使用から生じる付随的または結果的な損害について責任を負いません。
- このマニュアルで使用されているすべてのブランド名は、それぞれの所有者の登録商標です。この出版物での商標またはその他の名称の使用は参照目的のみであり、商標所有者による承認を意味するものではありません。
使用される記号
危険 –ユーザーの安全またはルーターへの潜在的な損傷に関する情報。
注意 – 特定の状況で発生する可能性のある問題。
情報 –特に関心のある役立つヒントや情報。
Example - 元amp関数、コマンド、またはスクリプトのファイル。
変更履歴
NetFlow/IPFIX 変更ログ
- v1.0.0 (2020-04-15)
- 最初のリリース。
- v1.1.0 (2020-10-01)
- ファームウェア 6.2.0 以降に一致するように CSS および HTML コードを更新しました。
モジュールの説明
- ルーター アプリ NetFlow/IPFIX は標準ルーター ファームウェアには含まれていません。このルーター アプリのアップロードについては、構成マニュアル (関連ドキュメントの章を参照) に記載されています。
- ルーター アプリ NetFlow/IPFIX は、ネットワーク トラフィックを監視するために決定されます。NetFlow 対応ルーターには、IP トラフィック情報を収集し、それを NetFlow コレクターおよびアナライザーに送信するプローブがあります。
このルーター アプリには以下が含まれます。
- 互換性のあるネットワークコレクターおよびアナライザーに情報を送信できるNetFlowプローブ(例: http://www.paessler.com/prtg.
- 収集した情報をNetFlowコレクターに保存する file他のデバイスからの NetFlow トラフィックを受信して保存することもできます。
Web インタフェース
- モジュールのインストールが完了したら、ルーターの [ルーター アプリ] ページでモジュール名をクリックすると、モジュールの GUI を呼び出すことができます。 web インタフェース。
- この GUI の左側には、構成メニュー セクションと情報メニュー セクションを含むメニューが含まれています。
- カスタマイズメニューセクションには、モジュールの web ルーターのページ web 構成ページ。 モジュールのGUIのメインメニューを図2に示します。
構成
グローバル
- NetFlow/IPFIXルーターアプリのすべての設定は、モジュールのメインメニューのグローバル項目をクリックして設定できます。 web インターフェース。 オーバーview 設定可能な項目は以下の通りです。
| アイテム | 説明 |
| プローブを有効にする | NetFlow 情報をリモート コレクター (定義されている場合) またはローカル コレクター (有効な場合) に送信し始めます。 |
| プロトコル | 使用するプロトコル: ネットフローv5, ネットフロー v9, IPFIX (ネットフローv10) |
| エンジン ID | 観測ドメイン ID (IPFIX の場合、NetFlow v9 の場合はソース ID、NetFlow v5 の場合はエンジン ID) の値。これは、コレクターが複数のエクスポータを区別するのに役立ちます。エンジン ID の相互運用性のセクションも参照してください。 |
| アイテム | 説明 |
| Sampラー | (空の): 観測されたすべてのフローを送信します。 決定論的: 観測されたフローの N 番目を送信します。 ランダム: N 個のフローの中からランダムに 1 つを選択します。 ハッシュ: N 個のフローの中からハッシュランダムに 1 つを選択します。 |
| Samp見る率 | N の値。 |
| 非アクティブトラフィックタイムアウト | 15 秒間非アクティブになった後にフローを送信します。デフォルト値は 15 です。 |
| アクティブトラフィックタイムアウト | フローが 1800 秒 (30 分) アクティブになった後にフローを送信します。デフォルト値は 1800 です。トラフィック タイムアウトのセクションも参照してください。 |
| リモートコレクター | 収集された NetFlow トラフィック情報を送信する NetFlow コレクターまたはアナライザーの IP アドレス。ポートはオプションで、デフォルトは 2055 です。宛先には、NetFlow を XNUMX つ以上のコレクター/アナライザーにミラーリングするための複数の IP アドレス (およびポート) のカンマ区切りリストを含めることができます。 |
| ローカルコレクターを有効にする | ローカル プローブ (有効な場合) またはリモート プローブから NetFlow 情報の受信を開始します。 |
| 保存間隔 | 回転する時間間隔を秒単位で指定します fileデフォルト値は 300 秒 (5 分) です。 |
| 保管期限 | 最大寿命を設定します fileディレクトリ内の s です。値 0 は最大有効期間の制限を無効にします。 |
| インターフェースSNMP番号を保存する | 標準の情報セットに加えて、入出力インターフェイス (%in、%out) の SNMP インデックスを保存するにはチェックします (以下を参照)。 |
| ネクストホップIPアドレスを保存 | チェックすると、送信トラフィックの次のホップの IP アドレス (%nh) を保存します。 |
| エクスポートIPアドレスを保存する | エクスポートルーターの IP アドレス (%ra) を保存する場合はチェックします。 |
| ストアエクスポートエンジンID | エクスポートルーターのエンジン ID (%eng) を保存する場合はチェックします。 |
| 店舗フロー受付時間 | 保存時間をチェックamp フロー情報が受信されたとき (%tr)。 |
表1: 構成項目の説明
情報
ライセンス このモジュールで使用されるオープンソースソフトウェア (OSS) ライセンスの概要を示します。
使用方法
NetFlowデータは、VPNを使用しない限り、WAN経由で送信しないでください。データは暗号化または難読化されていないため、権限のない人が傍受して view 情報。
収集された情報
次の標準情報セットは常にプローブによって送信され、コレクターによって保存されます。
- タイムストamp プローブのクロックを使用して、トラフィックが最初に確認されたとき (%ts) と最後に確認されたとき (%te)
- バイト数 (%byt) とパケット数 (%pkt)
- 使用されるプロトコル (%pr)
- 利用規約 (%tos)
- TCP フラグ (%flg)
- 送信元 IP アドレス (%sa、%sap) とポート (%sp)
- 宛先 IP アドレス (%da、%dap) とポート (%dp)
- ICMP タイプ (%it)
以下の情報も送信されますが、リクエストがあった場合にのみ保存されます (上記の構成を参照)。
- 入出力インターフェースの SNMP インデックス (%in、%out)
- 送信トラフィックの次のホップの IP アドレス (%nh)
- エクスポートルータ(プローブ)の IP アドレス(%ra)とエンジン ID(%eng)
- タイムストamp フロー情報が受信されたとき(%tr)、コレクターのクロックを使用
- 括弧内の値 (%xx) は、この値を表示するために nfdump で使用されるフォーマッタを示します (次の章を参照)。
保存された情報の取得
- データは/tmp/netflow/nfcapd.yyyymmddHHMMに保存されます。yyyymmddHHMMは作成時刻です。このディレクトリには.nfstatも含まれます。 file有効期限を監視するために使用されます。
- 変更しないでください file有効期限を設定するには、管理 GUI を使用します。
- の files は nfdump コマンドを使用して読み取ることができます。nfdump [オプション] [フィルター]
192.168.88.100 から送信された UDP パケットを表示します。
- nfdump -r nfcapd.202006011625 'プロトコルudp、src ip 192.168.88.100'
- 16:25 から 17:25 までのすべてのフローを表示し、双方向フローを集約します (-B):
- nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
- すべてのフローのエンジン タイプ/ID、送信元アドレス + ポート、宛先アドレス + ポートを表示します。
- nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”
エンジンIDの相互運用性
- Netflow v5 は、エンジン タイプとエンジン ID という 8 つの 0 ビット識別子を定義します。Advantech ルーターのプローブは、エンジン ID (255..0) のみを送信します。エンジン タイプは常にゼロ (513) になります。したがって、エンジン ID = 0 (201x0) で送信されたフローは、エンジン タイプ/ID = 1/XNUMX として受信されます。
- Netflow v9 は 32 つの 32 ビット識別子を定義します。Advantech ルーターのプローブは任意の XNUMX ビット数値を送信できますが、他のメーカー (Cisco など) は識別子を XNUMX つの予約バイトに分割し、その後にエンジン タイプとエンジン ID が続きます。受信側も同じアプローチに従います。
- したがって、エンジン ID = 513 (0x201) で送信されたフローは、エンジン タイプ/ID = 2/1 として受信されます。
- IPFIX は 32 つの 32 ビット識別子を定義します。Advantech ルーターのプローブは任意の 0 ビット数値を送信できますが、ローカル コレクターはまだこの値を保存していません。したがって、すべてのフローはエンジン タイプ/ID = 0/XNUMX として受信されます。
- おすすめ: エンジン ID をローカル コレクターに保存する場合は、構成で [エクスポート エンジン ID を保存する] をオンにし、エンジン ID < 256 を使用し、IPFIX プロトコルの使用を避けます。
- トラフィックタイムアウト
- プローブはフロー全体、つまり一緒に属するすべてのパケットをエクスポートします。 指定された期間 (非アクティブ トラフィック タイムアウト) にパケットが観察されない場合、フローは完了したとみなされ、プローブはトラフィック情報をコレクターに送信します。
- に関する情報 file 転送が完了すると、転送はコレクターに表示されますが、これにはかなりの時間がかかる場合があります。送信が長時間アクティブになっている場合 (アクティブ トラフィック タイムアウト)、複数の短いフローとして表示されます。
- 例えばampたとえば、アクティブ トラフィックのタイムアウトが 30 分の場合、45 分間の通信は 30 分と 15 分の XNUMX つのフローとして表示されます。
トラフィックタイムアウト
- プローブはフロー全体、つまり一緒に属するすべてのパケットをエクスポートします。 指定された期間 (非アクティブ トラフィック タイムアウト) にパケットが観察されない場合、フローは完了したとみなされ、プローブはトラフィック情報をコレクターに送信します。
- に関する情報 file 転送が完了すると、転送はコレクターに表示されますが、これにはかなりの時間がかかる場合があります。送信が長時間アクティブになっている場合(アクティブトラフィックタイムアウト)、複数の短いフローとして表示されます。例:ampたとえば、アクティブ トラフィックのタイムアウトが 30 分の場合、45 分間の通信は 30 分と 15 分の XNUMX つのフローとして表示されます。
- 製品関連のドキュメントは、エンジニアリング ポータル (icr.advantech.cz アドレス) で入手できます。
- ルーターのクイック スタート ガイド、ユーザー マニュアル、構成マニュアル、またはファームウェアを入手するには、[ルーター モデル] ページに移動し、必要なモデルを見つけて、それぞれ [マニュアル] タブまたは [ファームウェア] タブに切り替えます。
- Router Apps のインストール パッケージとマニュアルは Router Apps ページで入手できます。
- 開発ドキュメントについては、DevZone ページにアクセスしてください。
ドキュメント / リソース
 |
ADVANTECH ルーター アプリ ネットフロー Pfix [pdf] ユーザーガイド ルーター アプリ ネット フロー Pfix、アプリ ネット フロー Pfix、ネット フロー Pfix、フロー Pfix、Pfix |
