Innhold gjemme
1 ADVANTECH Router App Net Flow Pfix
2 Produktinformasjon
3 Bruksanvisning
4 Brukte symboler
5 Endringslogg
6 Beskrivelse av modulen
7 Konfigurasjon
8 Informasjon
9 Bruksanvisning
10 Motor ID interoperabilitet
11 Relaterte dokumenter
12 Dokumenter / Ressurser
12.1 Referanser
13 Relaterte innlegg

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Produktinformasjon

Spesifikasjoner

  • Produsent: Advantech Czech sro
  • Adresse: Sokolska 71, 562 04 Usti nad Orlici, Tsjekkia
  • Dokument nr.: APP-0085-EN
  • Revisjon Dato: 19. oktober 2023

Beskrivelse av modulen

  • NetFlow/IPFIX-modulen er en ruter-app utviklet av Advantech Czech s.r.o. Den er ikke inkludert i standardruterens fastvare og må lastes opp separat.
  • Modulen er designet for å overvåke nettverkstrafikk. Det fungerer ved å samle inn IP-trafikkinformasjon ved hjelp av en sonde installert på NetFlow-aktiverte rutere.
  • Denne informasjonen sendes deretter til en NetFlow-samler og analysator for videre analyse.

Web Grensesnitt

Når modulen er installert, kan du få tilgang til den web grensesnittet ved å klikke på modulnavnet på ruterappsiden til ruteren din web grensesnitt. De web grensesnittet består av en meny med forskjellige seksjoner:

Konfigurasjon

Konfigurasjonsdelen lar deg konfigurere ulike innstillinger for NetFlow/IPFIX-ruterappen. For å få tilgang til konfigurasjonsinnstillingene, klikk på "Global"-elementet i hovedmenyen til modulen web grensesnitt. De konfigurerbare elementene inkluderer:

  • Aktiver sonde: Dette alternativet begynner å sende inn NetFlow-informasjonen til en ekstern innsamler (hvis definert) eller til den lokale innsamleren (hvis aktivert).
  • protokoll: Dette alternativet lar deg velge protokollen som skal brukes for innsending av NetFlow-informasjon. Du kan velge mellom NetFlow v5, NetFlow v9 eller IPFIX (NetFlow v10).
  • Motor ID: Dette alternativet lar deg angi Observation Domain ID (for IPFIX), Source ID (for NetFlow v9) eller Engine ID (for NetFlow v5). Dette hjelper samleren til å skille mellom flere eksportører. For mer informasjon, se delen om Engine ID Interoperability.

Informasjon

Informasjonsdelen gir detaljer om modulen og dens lisenser. Du får tilgang til denne delen ved å klikke på "Informasjon"-elementet i hovedmenyen til modulen web grensesnitt.

Bruksanvisning

Innsamlet informasjon

  • NetFlow/IPFIX-modulen samler inn IP-trafikkinformasjon fra ruterens sonde. Dette inkluderer detaljer som kilde- og destinasjons-IP-adresser, pakketellinger, bytetellinger og protokollinformasjon.

Henting av lagret informasjon

  • For å hente den lagrede informasjonen må du få tilgang til NetFlow-samleren og analysatoren som modulen sender dataene til. Samleren og analysatoren vil gi verktøy og rapporter for å analysere og visualisere den innsamlede informasjonen.

Motor ID interoperabilitet

  • Engine ID-innstillingen i konfigurasjonen lar deg spesifisere en unik identifikator for eksportøren. Dette er nyttig når du har flere eksportører som sender data til samme innsamler.
  • Ved å angi forskjellige motor-ID-er, kan innsamleren skille mellom dataene mottatt fra forskjellige eksportører.

Trafikktidsavbrudd

  • Modulen gir ikke spesifikk informasjon om trafikktidsavbrudd. Vennligst se de relaterte dokumentene eller kontakt Advantech Czech s.r.o. for flere detaljer.

Relaterte dokumenter

  • For mer informasjon og detaljerte instruksjoner, se følgende dokumenter:
  • Konfigurasjonshåndbok
  • Annen relatert dokumentasjon levert av Advantech Czech s.r.o.

FAQ

Spørsmål: Hvem er produsenten av NetFlow/IPFIX?

  • A: Produsenten av NetFlow/IPFIX er Advantech Czech s.r.o.

Spørsmål: Hva er formålet med NetFlow/IPFIX?

  • A: NetFlow/IPFIX er designet for å overvåke nettverkstrafikk ved å samle IP-trafikkinformasjon fra NetFlow-aktiverte rutere og sende den til en NetFlow-samler og -analysator.

Spørsmål: Hvordan får jeg tilgang til konfigurasjonsinnstillingene til modulen?

  • A: For å få tilgang til konfigurasjonsinnstillingene, klikk på "Global"-elementet i hovedmenyen til modulen web grensesnitt.

Spørsmål: Hva brukes Engine ID-innstillingen til?

  • A: Engine ID-innstillingen lar deg spesifisere en unik identifikator for eksportøren, og hjelper samleren med å skille mellom flere eksportører.
  • © 2023 Advantech Czech sro Ingen deler av denne publikasjonen kan reproduseres eller overføres i noen form eller på noen måte, elektronisk eller mekanisk, inkludert fotografering, opptak eller noe system for lagring og gjenfinning av informasjon uten skriftlig samtykke.
  • Informasjonen i denne håndboken kan endres uten varsel, og den representerer ingen forpliktelse fra Advantechs side.
  • Advantech Czech sro skal ikke holdes ansvarlig for tilfeldige skader eller følgeskader som følge av innredning, ytelse eller bruk av denne håndboken.
  • Alle merkenavn som brukes i denne håndboken er registrerte varemerker for deres respektive eiere. Bruken av varemerker eller andre betegnelser i denne publikasjonen er kun for referanseformål og utgjør ikke en godkjenning fra varemerkeinnehaveren.

Brukte symboler

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Fare – Informasjon om brukersikkerhet eller potensiell skade på ruteren.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Oppmerksomhet – Problemer som kan oppstå i bestemte situasjoner.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Informasjon – Nyttige tips eller informasjon av spesiell interesse.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example – Eksample av funksjon, kommando eller skript.

Endringslogg

NetFlow/IPFIX endringslogg

  • v1.0.0 (2020-04-15)
    • Første utgivelse.
  • v1.1.0 (2020-10-01)
    • Oppdatert CSS- og HTML-kode for å matche fastvare 6.2.0+.

Beskrivelse av modulen

  • Ruter-appen NetFlow/IPFIX er ikke inkludert i standard ruterfastvaren. Opplasting av denne ruterappen er beskrevet i konfigurasjonshåndboken (se kapittel relaterte dokumenter).
  • Ruter-appen NetFlow/IPFIX er bestemt for å overvåke nettverkstrafikk. NetFlow-aktiverte rutere har en sonde som samler inn IP-trafikkinformasjon og sender dem til en NetFlow-samler og -analysator.

Denne ruterappen inneholder:

  • NetFlow-sonde som kan sende informasjon til en kompatibel nettverkssamler og -analysator, f. g. de http://www.paessler.com/prtg.
  • NetFlow-samler som lagrer den innsamlede informasjonen til en file. Den kan også motta og lagre NetFlow-trafikk fra andre enheter.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Grensesnitt

  • Når installasjonen av modulen er fullført, kan modulens GUI påkalles ved å klikke på modulnavnet på ruterapps-siden til ruterens web grensesnitt.
  • Venstre del av denne GUI inneholder meny med konfigurasjonsmeny og informasjon meny.
  • Tilpasningsmenydelen inneholder bare returelementet, som bytter tilbake fra modulens web side til ruteren web konfigurasjonssider. Hovedmenyen til modulens GUI er vist på figur 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Konfigurasjon

Global

  • Alle NetFlow/IPFIX-ruterappinnstillinger kan konfigureres ved å klikke på Global-elementet i hovedmenyen til modulen web grensesnitt. En overview av konfigurerbare elementer er gitt nedenfor.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Punkt Beskrivelse
Aktiver sonde Begynn å sende NetFlow-informasjonen til en ekstern samler (når definert), eller til den lokale innsamleren (når aktivert).
Protokoll Protokoll som skal brukes: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
Motor-ID Observasjonsdomene-ID (på IPFIX, kilde-ID på NetFlow v9 eller motor-ID på NetFlow v5). Dette kan hjelpe samleren din til å skille mellom flere eksportører. Se også avsnittet om motor-ID-interoperabilitet.
Punkt Beskrivelse
Sampler (tømme): send inn hver observerte flyt; deterministisk: send inn hver N-te observerte strømning; tilfeldig: velg tilfeldig én av N strømmer; hasj: velg hash-tilfeldig én av N flyter.
Sampleer Rate Verdien av N.
Tidsavbrudd for inaktiv trafikk Send inn flyten etter at den har vært inaktiv i 15 sekunder. Standardverdien er 15.
Aktiv trafikktidsavbrudd Send inn flyten etter at den har vært aktiv i 1800 sekunder (30 minutter). Standardverdien er 1800. Se også avsnitt om trafikktidsavbrudd.
Ekstern samler IP-adressen til en NetFlow-samler eller -analysator, hvor den innsamlede NetFlow-trafikkinformasjonen skal sendes inn. Port er valgfritt, standard 2055. Detinering kan inneholde en kommaseparert liste over flere IP-adresser (og porter) for å speile NetFlow til to eller flere samlere/analysatorer.
Aktiver Local Collector Begynn å motta NetFlow-informasjon fra den lokale sonden (når den er aktivert) eller fra en ekstern sonde.
Lagringsintervall Angir tidsintervallet i sekunder for å rotere files. Standardverdien er 300s (5min).
Lagringsutløp Angir maksimal levetid for files i katalogen. En verdi på 0 deaktiverer maksimal levetidsgrense.
Lagre grensesnitt SNMP-numre Merk av for å lagre SNMP-indeksen til inngangs-/utdatagrensesnittet (%in, %out) i tillegg til standardsettet med informasjon, se nedenfor.
Lagre Next Hop IP-adresse Merk av for å lagre IP-adressen til neste hopp av utgående trafikk (%nh).
Store eksporterer IP-adresse Merk av for å lagre IP-adressen til den eksporterende ruteren (%ra).
Butikkeksporterende motor-ID Merk av for å lagre motor-ID-en til den eksporterende ruteren (%eng).
Lagre flyt-mottakstid Merk av for å lagre tidamp når flytinformasjonen ble mottatt (%tr).

Tabell 1: Beskrivelse av konfigurasjonselementer

Informasjon

lisenser Oppsummerer Open-Source Software (OSS) lisenser som brukes av denne modulenADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Bruksanvisning

NetFlow-dataene skal ikke sendes over WAN, med mindre VPN brukes. Dataene er ikke i seg selv kryptert eller tilsløret, så en uautorisert person kan avskjære og view informasjonen.

Innsamlet informasjon

Følgende standardsett med informasjon sendes alltid av sonden og lagres av innsamleren:

  • Tidligstamp når trafikken først ble sett (%ts) og sist sett (%te), ved å bruke sondens klokke
  • Antall byte (%byt) og pakker (%pkt)
  • Protokoll brukt (%pr)
  • TOS (%tos)
  • TCP-flagg (%flg)
  • Kilde-IP-adresse (%sa, %sap) og port (%sp)
  • Destinasjons-IP-adresse (%da, %dap) og port (%dp)
  • ICMP-type (%it)

Følgende sendes også, men lagres kun på forespørsel (se konfigurasjon ovenfor):

  • SNMP-indeks for inngangs-/utgangsgrensesnittet (%in, %out)
  • IP-adressen til neste hopp av utgående trafikk (%nh)
  • IP-adresse (%ra) og motor-ID (%eng) til den eksporterende ruteren (sonden)
  • Tidligstamp når flytinformasjonen ble mottatt (%tr), ved å bruke klokken til samleren
  • Verdien i parentes (%xx) indikerer formateringen som skal brukes med nfdump for å vise denne verdien (se neste kapittel).

Henting av lagret informasjon

  • Data lagres i /tmp/netflow/nfcapd.yyyymmddHHMM, der yyyymmddHHMM er opprettelsestidspunktet. Katalogen inneholder også .nfstat file, som brukes til å overvåke utløpstiden.
  • Ikke endre dette file. For å konfigurere utløp, bruk admin GUI.
  • De files kan leses ved å bruke nfdump-kommandoen. nfdump [alternativer] [filter]

Vis UDP-pakker sendt av 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp og src ip 192.168.88.100'
    • Vis alle strømmer mellom 16:25 og 17:25, aggregerte toveis strømmer (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Displaymotortype/ID, kildeadresse+port og destinasjonsadresse+por for alle flyter:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Motor ID interoperabilitet

  • Netflow v5 definerer to 8-bits identifikatorer: motortype og motor-ID. Probe på Advantech-rutere sender kun Engine ID (0..255). Motortypen vil alltid være null (0). Derfor vil en flyt sendt med motor-ID = 513 (0x201) mottas som motortype/ID = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 definerer én 32-bits identifikator. Probe på Advantech-rutere kan sende et hvilket som helst 32-bits nummer, men andre produsenter (f.eks. Cisco) deler identifikatoren i to reserverte byte, etterfulgt av motortype og motor-ID. Mottakeren følger samme tilnærming.
  • Derfor vil en flyt sendt med motor-ID = 513 (0x201) mottas som motortype/ID = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX definerer én 32-bits identifikator. Probe på Advantech-rutere kan sende hvilket som helst 32-bits nummer, men den lokale innsamleren lagrer ikke denne verdien ennå. Derfor vil enhver flyt mottas som motortype/ID = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Anbefaling: Hvis du vil lagre motor-ID i den lokale samleren, merk av for Store eksporterende motor-ID i konfigurasjonen, bruk motor-ID < 256 og unngå å bruke IPFIX-protokollen.
  • Trafikktidsavbrudd
  • Sonden eksporterer hele strømmer, altså alle pakker som hører sammen. Hvis ingen pakker observeres i en gitt periode (inaktiv trafikktidsavbrudd), anses flyten som komplett og sonden sender trafikkinformasjon til samleren.
  • Informasjon om a file overføring vil dermed vises i samleren når overføringen er gjennomført, noe som kan ta betydelig tid. Hvis overføringen er aktiv for lenge (aktiv trafikktidsavbrudd) vil den vises som flere kortere strømmer.
  • For eksample, med en 30 minutters aktiv trafikktidsavbrudd, vil en 45 minutters kommunikasjon vises som to flyter: en 30 min og en 15 min.

Trafikktidsavbrudd

  • Sonden eksporterer hele strømmer, altså alle pakker som hører sammen. Hvis ingen pakker observeres i en gitt periode (inaktiv trafikktidsavbrudd), anses flyten som komplett og sonden sender trafikkinformasjon til samleren.
  • Informasjon om a file overføring vil dermed vises i samleren når overføringen er gjennomført, noe som kan ta betydelig tid. Hvis overføringen er aktiv for lenge (aktiv trafikktidsavbrudd) vil den vises som flere kortere strømmer. For eksample, med en 30 minutters aktiv trafikktidsavbrudd, vil en 45 minutters kommunikasjon vises som to flyter: en 30 min og en 15 min.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Relaterte dokumenter

  • Du kan få produktrelaterte dokumenter på Engineering Portal på adressen icr.advantech.cz.
  • For å få ruterens hurtigstartveiledning, brukerhåndbok, konfigurasjonshåndbok eller fastvare, gå til siden Rutermodeller, finn ønsket modell og bytt til henholdsvis fanen Manuals eller Firmware.
  • Installasjonspakkene og manualene for ruterapper er tilgjengelige på siden for ruterapper.
  • For utviklingsdokumentene, gå til DevZone-siden.

Dokumenter / Ressurser

ADVANTECH Router App Net Flow Pfix [pdfBrukerhåndbok
Ruter App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referanser

Relaterte innlegg

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *