Conteúdo esconder
1 ADVANTECH Router App Net Flow Pfix
2 Informações do produto
3 Instruções de uso
4 Símbolos usados
5 Registro de alterações
6 Descrição do módulo
7 Configuração
8 Informação
9 Instruções de uso
10 Interoperabilidade de ID do mecanismo
11 Documentos relacionados
12 Documentos / Recursos
12.1 Referências
13 Postagens relacionadas

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUTO

Informações do produto

Especificações

  • Fabricante: Advantech Czech sro
  • Endereço: Sokolska 71, 562 04 Usti nad Orlici, República Tcheca
  • Documento Nº: APP-0085-EN
  • Revisão Data: 19 de outubro, 2023

Descrição do Módulo

  • O módulo NetFlow/IPFIX é um aplicativo de roteador desenvolvido pela Advantech Czech s.r.o. Ele não está incluído no firmware padrão do roteador e precisa ser carregado separadamente.
  • O módulo foi projetado para monitorar o tráfego de rede. Ele funciona coletando informações de tráfego IP usando uma sonda instalada em roteadores habilitados para NetFlow.
  • Essas informações são então enviadas a um coletor e analisador NetFlow para análise posterior.

Web Interface

Depois que o módulo estiver instalado, você poderá acessar seu web interface clicando no nome do módulo na página de aplicativos do roteador do seu roteador web interface. o web interface consiste em um menu com diferentes seções:

Configuração

A seção Configuração permite definir várias configurações do aplicativo roteador NetFlow/IPFIX. Para acessar as definições de configuração, clique no item “Global” no menu principal do módulo web interface. Os itens configuráveis ​​incluem:

  • Ativar sonda: Esta opção inicia o envio das informações do NetFlow para um coletor remoto (se definido) ou para o coletor local (se habilitado).
  • Protocolo: Esta opção permite escolher o protocolo a ser utilizado para envio de informações do NetFlow. Você pode selecionar NetFlow v5, NetFlow v9 ou IPFIX (NetFlow v10).
  • ID do mecanismo: Esta opção permite definir o ID do domínio de observação (para IPFIX), ID de origem (para NetFlow v9) ou ID do mecanismo (para NetFlow v5). Isto ajuda o coletor a distinguir entre vários exportadores. Para obter mais informações, consulte a seção Interoperabilidade de ID do mecanismo.

Informação

A seção Informações fornece detalhes sobre o módulo e suas licenças. Você pode acessar esta seção clicando no item “Informações” no menu principal do módulo web interface.

Instruções de uso

Informações coletadas

  • O módulo NetFlow/IPFIX coleta informações de tráfego IP da sonda do roteador. Isso inclui detalhes como endereços IP de origem e destino, contagens de pacotes, contagens de bytes e informações de protocolo.

Recuperação de informações armazenadas

  • Para recuperar as informações armazenadas, é necessário acessar o coletor e analisador NetFlow para o qual o módulo envia os dados. O coletor e analisador fornecerão ferramentas e relatórios para análise e visualização das informações coletadas.

Interoperabilidade de ID do mecanismo

  • A configuração Engine ID na configuração permite que você especifique um identificador exclusivo para seu exportador. Isto é útil quando você tem vários exportadores enviando dados para o mesmo coletor.
  • Ao definir diferentes IDs de mecanismo, o coletor pode diferenciar os dados recebidos de diferentes exportadores.

Tempo limite de trânsito

  • O módulo não fornece informações específicas sobre tempos limite de tráfego. Consulte os documentos relacionados ou entre em contato com a Advantech Czech s.r.o. para mais detalhes.

Documentos relacionados

  • Para obter mais informações e instruções detalhadas, consulte os seguintes documentos:
  • Manual de configuração
  • Outra documentação relacionada fornecida pela Advantech Czech s.r.o.

Perguntas frequentes

P: Quem é o fabricante do NetFlow/IPFIX?

  • A: O fabricante do NetFlow/IPFIX é Advantech Czech s.r.o.

P: Qual é o propósito do NetFlow/IPFIX?

  • A: O NetFlow/IPFIX foi projetado para monitorar o tráfego de rede, coletando informações de tráfego IP de roteadores habilitados para NetFlow e enviando-as a um coletor e analisador NetFlow.

P: Como posso acessar as definições de configuração do módulo?

  • A: Para acessar as definições de configuração, clique no item “Global” no menu principal do módulo web interface.

P: Para que é usada a configuração do ID do mecanismo?

  • A: A configuração Engine ID permite especificar um identificador exclusivo para seu exportador, ajudando o coletor a distinguir entre vários exportadores.
  • © 2023 Advantech Czech sro Nenhuma parte desta publicação pode ser reproduzida ou transmitida de qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotografia, gravação ou qualquer sistema de armazenamento e recuperação de informações sem consentimento por escrito.
  • As informações contidas neste manual estão sujeitas a alterações sem aviso prévio e não representam um compromisso por parte da Advantech.
  • A Advantech Czech sro não será responsável por danos incidentais ou consequenciais resultantes do fornecimento, desempenho ou uso deste manual.
  • Todas as marcas usadas neste manual são marcas registradas de seus respectivos proprietários. O uso de marcas registradas ou outras designações nesta publicação é apenas para fins de referência e não constitui um endosso pelo detentor da marca registrada.

Símbolos usados

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Perigo - Informações sobre a segurança do usuário ou possíveis danos ao roteador.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Atenção – Problemas que podem surgir em situações específicas.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Informação - Dicas úteis ou informações de interesse especial.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example - Examparquivo de função, comando ou script.

Registro de alterações

Log de alterações do NetFlow/IPFIX

  • v1.0.0 (2020/04/15)
    • Primeiro lançamento.
  • v1.1.0 (2020/10/01)
    • Código CSS e HTML atualizado para corresponder ao firmware 6.2.0+.

Descrição do módulo

  • O aplicativo roteador NetFlow/IPFIX não está contido no firmware padrão do roteador. O upload deste aplicativo roteador está descrito no manual de configuração (consulte o capítulo Documentos relacionados).
  • O aplicativo roteador NetFlow/IPFIX é determinado para monitorar o tráfego de rede. Os roteadores habilitados para NetFlow possuem uma sonda que coleta informações de tráfego IP e as envia a um coletor e analisador NetFlow.

Este aplicativo roteador contém:

  • Sonda NetFlow que pode enviar informações para coletores e analisadores de rede compatíveis, por exemplo. g. o http://www.paessler.com/prtg.
  • Coletor NetFlow que armazena as informações coletadas em um file. Ele também pode receber e armazenar tráfego NetFlow de outros dispositivos.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Interface

  • Depois que a instalação do módulo estiver concluída, a GUI do módulo pode ser chamada clicando no nome do módulo na página Aplicativos do roteador do roteador. web interface.
  • A parte esquerda desta GUI contém um menu com a seção do menu Configuração e a seção do menu Informações.
  • A seção do menu de personalização contém apenas o item Return, que retorna do módulo web página para o roteador web páginas de configuração. O menu principal da GUI do módulo é mostrado na Figura 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Configuração

Global

  • Todas as configurações do aplicativo do roteador NetFlow/IPFIX podem ser definidas clicando no item Global no menu principal do módulo web interface. Um fimview de itens configuráveis ​​é fornecido abaixo.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Item Descrição
Habilitar sonda Comece a enviar as informações do NetFlow para um Coletor Remoto (quando definido) ou para o Coletor Local (quando habilitado).
Protocolo Protocolo a ser usado: NetFlow v5, Fluxo de rede v9, IPFIX (Net-Flow v10)
ID do motor Valor do ID do domínio de observação (em IPFIX, ID de origem no NetFlow v9 ou ID do mecanismo no NetFlow v5). Isto pode ajudar o seu coletor a distinguir entre vários exportadores. Consulte também a seção sobre interoperabilidade do ID do mecanismo.
Item Descrição
Sampler (vazio): envie todos os fluxos observados; determinístico: enviar cada N-ésimo fluxo observado; aleatório: selecione aleatoriamente um dos N fluxos; haxixe: selecione hash aleatoriamente um dos N fluxos.
SampTaxa de leitura O valor de N.
Tempo limite de tráfego inativo Envie o fluxo depois de ficar inativo por 15 segundos. O valor padrão é 15.
Tempo limite de tráfego ativo Envie o fluxo depois que ele estiver ativo por 1800 segundos (30 minutos). O valor padrão é 1800. Consulte também a seção sobre tempos limite de tráfego.
Coletor Remoto Endereço IP de um coletor ou analisador NetFlow, para onde enviar as informações de tráfego NetFlow coletadas. A porta é opcional, o padrão é 2055. A definição pode conter uma lista separada por vírgulas de vários endereços IP (e portas) para espelhar o NetFlow para dois ou mais coletores/analisadores.
Habilitar Coletor Local Comece a receber informações do NetFlow da sonda local (quando habilitada) ou de uma sonda remota.
Intervalo de armazenamento Especifica o intervalo de tempo em segundos para girar fileS. O valor padrão é 300s (5min).
Expiração de armazenamento Define o tempo de vida máximo para fileestá no diretório. Um valor 0 desativa o limite máximo de vida útil.
Armazenar números SNMP da interface Marque para armazenar o índice SNMP da interface de entrada/saída (%in,%out) além do conjunto padrão de informações, veja abaixo.
Armazenar endereço IP do próximo salto Marque para armazenar o endereço IP do próximo salto do tráfego de saída (%nh).
Armazenar endereço IP de exportação Marque para armazenar o endereço IP do roteador de exportação (%ra).
Armazenar ID do mecanismo de exportação Marque para armazenar o ID do mecanismo do roteador de exportação (%eng).
Tempo de recepção do fluxo de armazenamento Verifique para armazenar o horárioamp quando as informações de fluxo foram recebidas (%tr).

Tabela 1: Descrição dos itens de configuração

Informação

licenças Resume as licenças de software de código aberto (OSS) usadas por este móduloADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Instruções de uso

Os dados do NetFlow não devem ser enviados pela WAN, a menos que seja usada VPN. Os dados não são inerentemente criptografados ou ofuscados, portanto, uma pessoa não autorizada pode interceptar e view a informação.

Informações coletadas

O seguinte conjunto padrão de informações é sempre enviado pela sonda e armazenado pelo coletor:

  • Tempoamp quando o tráfego foi visto pela primeira vez (%ts) e visto pela última vez (%te), usando o relógio do probe
  • Número de bytes (%byt) e pacotes (%pkt)
  • Protocolo usado (%pr)
  • Termos de Serviço (%tos)
  • Sinalizadores TCP (%flg)
  • Endereço IP de origem (%sa, %sap) e porta (%sp)
  • Endereço IP de destino (%da,%dap) e porta (%dp)
  • Tipo ICMP (%it)

Os itens a seguir também são enviados, mas armazenados somente mediante solicitação (veja configuração acima):

  • Índice SNMP da interface de entrada/saída (%in,%out)
  • Endereço IP do próximo salto do tráfego de saída (%nh)
  • Endereço IP (%ra) e ID do mecanismo (%eng) do roteador exportador (sonda)
  • Tempoamp quando a informação de fluxo foi recebida (%tr), utilizando o relógio do coletor
  • O valor entre colchetes (%xx) indica o formatador a ser usado com o nfdump para exibir este valor (veja o próximo capítulo).

Recuperação de informações armazenadas

  • Os dados são armazenados em /tmp/netflow/nfcapd.yyyymmddHHMM, onde yyyymmddHHMM é o horário de criação. O diretório também inclui o .nfstat file, que é usado para monitorar o tempo de expiração.
  • Não altere isso file. Para configurar a expiração, use a GUI do administrador.
  • O files pode ser lido usando o comando nfdump. nfdump [opções] [filtro]

Exibir pacotes UDP enviados por 192.168.88.100:

  • nfdump -r nfcapd.202006011625 ‘proto udp e src ip 192.168.88.100’
    • Exibir todos os fluxos entre 16h25 e 17h25, agregando fluxos bidirecionais (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Exibir tipo/ID do mecanismo, endereço de origem+porta e endereço de destino+por para todos os fluxos:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng%sap%dap”

Interoperabilidade de ID do mecanismo

  • O Netflow v5 define dois identificadores de 8 bits: Tipo de mecanismo e ID do mecanismo. A sonda em roteadores Advantech envia apenas o ID do mecanismo (0..255). O Tipo de Motor será sempre zero (0). Portanto, um fluxo enviado com Engine ID = 513 (0x201) será recebido como Engine Type/ID = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 define um identificador de 32 bits. A sonda em roteadores Advantech pode enviar qualquer número de 32 bits, porém outros fabricantes (por exemplo, Cisco) dividem o identificador em dois bytes reservados, seguidos por Tipo de mecanismo e ID do mecanismo. O receptor segue a mesma abordagem.
  • Portanto, um fluxo enviado com Engine ID = 513 (0x201) será recebido como Engine Type/ID = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX define um identificador de 32 bits. A sonda em roteadores Advantech pode enviar qualquer número de 32 bits, mas o coletor local ainda não armazena esse valor. Portanto, qualquer fluxo será recebido como Tipo/ID do mecanismo = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Recomendação: Caso queira armazenar Engine ID no coletor local, marque Store Exporting Engine ID na configuração, utilize Engine ID < 256 e evite utilizar o protocolo IPFIX.
  • Tempo limite de trânsito
  • A investigação exporta fluxos inteiros, ou seja, todos os pacotes que pertencem um ao outro. Se nenhum pacote for observado durante um determinado período (Inactive Traffic Timeout), o fluxo é considerado completo e o probe envia informações de tráfego ao coletor.
  • Informações sobre um file a transferência aparecerá no coletor assim que a transferência for concluída, o que pode levar um tempo significativo. Se a transmissão estiver ativa por muito tempo (Active Traffic Timeout), ela aparecerá como vários fluxos mais curtos.
  • Por exemploampPor exemplo, com um tempo limite de tráfego ativo de 30 minutos, uma comunicação de 45 minutos será exibida como dois fluxos: um de 30 minutos e outro de 15 minutos.

Tempo limite de trânsito

  • A investigação exporta fluxos inteiros, ou seja, todos os pacotes que pertencem um ao outro. Se nenhum pacote for observado durante um determinado período (Inactive Traffic Timeout), o fluxo é considerado completo e o probe envia informações de tráfego ao coletor.
  • Informações sobre um file a transferência aparecerá no coletor assim que a transferência for concluída, o que pode levar um tempo significativo. Se a transmissão estiver ativa por muito tempo (Active Traffic Timeout), ela aparecerá como vários fluxos mais curtos. Para exampPor exemplo, com um tempo limite de tráfego ativo de 30 minutos, uma comunicação de 45 minutos será exibida como dois fluxos: um de 30 minutos e outro de 15 minutos.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Documentos relacionados

  • Você pode obter documentos relacionados ao produto no Portal de Engenharia no endereço icr.advantech.cz.
  • Para obter o Guia de início rápido, Manual do usuário, Manual de configuração ou Firmware do seu roteador, vá para a página Modelos de roteador, encontre o modelo necessário e mude para a guia Manuais ou Firmware, respectivamente.
  • Os pacotes e manuais de instalação dos aplicativos do roteador estão disponíveis na página Aplicativos do roteador.
  • Para os documentos de desenvolvimento, vá para a página DevZone.

Documentos / Recursos

ADVANTECH Router App Net Flow Pfix [pdf] Guia do Usuário
Aplicativo roteador Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referências

Postagens relacionadas

Deixe um comentário

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *