Innehåll dölja
1 ADVANTECH Router App Net Flow Pfix
2 Produktinformation
3 Användningsinstruktioner
4 Använda symboler
5 Ändringslogg
6 Beskrivning av modulen
7 Konfiguration
8 Information
9 Användningsinstruktioner
10 Motor-ID Interoperabilitet
11 Relaterade dokument
12 Dokument/resurser
12.1 Referenser
13 Relaterade inlägg

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Produktinformation

Specifikationer

  • Tillverkare: Advantech Czech sro
  • Adress: Sokolska 71, 562 04 Usti nad Orlici, Tjeckien
  • Dokumentera Nr.: APP-0085-EN
  • Revision Datum: 19 oktober 2023

Beskrivning av modulen

  • NetFlow/IPFIX-modulen är en routerapp utvecklad av Advantech Czech sro. Den ingår inte i standardrouterns firmware och måste laddas upp separat.
  • Modulen är designad för att övervaka nätverkstrafik. Det fungerar genom att samla in IP-trafikinformation med en sond installerad på NetFlow-aktiverade routrar.
  • Denna information skickas sedan till en NetFlow-samlare och analysator för vidare analys.

Web Gränssnitt

När modulen är installerad kan du komma åt den web gränssnittet genom att klicka på modulnamnet på routerappssidan på din router web gränssnitt. De web gränssnittet består av en meny med olika sektioner:

Konfiguration

I avsnittet Konfiguration kan du konfigurera olika inställningar för NetFlow/IPFIX-routerappen. För att komma åt konfigurationsinställningarna, klicka på "Global" i huvudmenyn i modulen web gränssnitt. De konfigurerbara objekten inkluderar:

  • Aktivera sond: Det här alternativet börjar skicka NetFlow-informationen till en fjärrsamlare (om definierad) eller till den lokala samlaren (om aktiverad).
  • Protokoll: Det här alternativet låter dig välja vilket protokoll som ska användas för att skicka NetFlow-information. Du kan välja mellan NetFlow v5, NetFlow v9 eller IPFIX (NetFlow v10).
  • Motor-ID: Med det här alternativet kan du ställa in Observation Domain ID (för IPFIX), Source ID (för NetFlow v9) eller Engine ID (för NetFlow v5). Detta hjälper samlaren att skilja mellan flera exportörer. För mer information, se avsnittet om motor-ID-kompatibilitet.

Information

Informationssektionen ger information om modulen och dess licenser. Du kommer åt detta avsnitt genom att klicka på "Information" i huvudmenyn i modulen web gränssnitt.

Användningsinstruktioner

Samlad information

  • NetFlow/IPFIX-modulen samlar in IP-trafikinformation från routerns sond. Detta inkluderar detaljer som käll- och destinations-IP-adresser, paketantal, byteantal och protokollinformation.

Hämtning av lagrad information

  • För att hämta den lagrade informationen måste du komma åt NetFlow-samlaren och analysatorn som modulen skickar data till. Samlaren och analysatorn kommer att tillhandahålla verktyg och rapporter för att analysera och visualisera den insamlade informationen.

Motor-ID Interoperabilitet

  • Engine ID-inställningen i konfigurationen låter dig ange en unik identifierare för din exportör. Detta är användbart när du har flera exportörer som skickar data till samma samlare.
  • Genom att ställa in olika motor-ID:n kan insamlaren skilja på data som tas emot från olika exportörer.

Tidsgränser för trafik

  • Modulen ger ingen specifik information om trafiktidsgränser. Se relaterade dokument eller kontakta Advantech Czech sro för mer information.

Relaterade dokument

  • För mer information och detaljerade instruktioner, se följande dokument:
  • Konfigurationshandbok
  • Annan relaterad dokumentation tillhandahållen av Advantech Czech sro

FAQ

F: Vem är tillverkaren av NetFlow/IPFIX?

  • A: Tillverkaren av NetFlow/IPFIX är Advantech Czech sro

F: Vad är syftet med NetFlow/IPFIX?

  • A: NetFlow/IPFIX är designad för att övervaka nätverkstrafik genom att samla in IP-trafikinformation från NetFlow-aktiverade routrar och skicka den till en NetFlow-samlare och analysator.

F: Hur kan jag komma åt modulens konfigurationsinställningar?

  • A: För att komma åt konfigurationsinställningarna, klicka på "Global" i huvudmenyn i modulen web gränssnitt.

F: Vad används motor-ID-inställningen för?

  • A: Inställningen Engine ID låter dig ange en unik identifierare för din exportör, vilket hjälper samlaren att skilja mellan flera exportörer.
  • © 2023 Advantech Czech sro Ingen del av denna publikation får reproduceras eller överföras i någon form eller på något sätt, elektroniskt eller mekaniskt, inklusive fotografering, inspelning eller något system för lagring och hämtning av information utan skriftligt medgivande.
  • Informationen i denna manual kan ändras utan föregående meddelande och den representerar inget åtagande från Advantechs sida.
  • Advantech Czech sro ska inte hållas ansvarigt för oförutsedda skador eller följdskador som uppstår till följd av inredning, prestanda eller användning av denna handbok.
  • Alla varumärken som används i denna handbok är registrerade varumärken som tillhör respektive ägare. Användningen av varumärken eller andra beteckningar i denna publikation är endast för referensändamål och utgör inte ett stöd från varumärkesinnehavaren.

Använda symboler

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Fara – Information om användarsäkerhet eller potentiell skada på routern.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Uppmärksamhet – Problem som kan uppstå i specifika situationer.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Information – Användbara tips eller information av särskilt intresse.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example – Exampfunktion, kommando eller skript.

Ändringslogg

NetFlow/IPFIX ändringslogg

  • v1.0.0 (2020-04-15)
    • Första släppet.
  • v1.1.0 (2020-10-01)
    • Uppdaterad CSS och HTML-kod för att matcha firmware 6.2.0+.

Beskrivning av modulen

  • Routerappen NetFlow/IPFIX finns inte i standardrouterns firmware. Uppladdning av denna routerapp beskrivs i konfigurationsmanualen (se kapitel relaterade dokument).
  • Routerappen NetFlow/IPFIX bestäms för övervakning av nätverkstrafik. NetFlow-aktiverade routrar har en sond som samlar in IP-trafikinformation och skickar dem till en NetFlow-samlare och analysator.

Denna router-app innehåller:

  • NetFlow-sond som kan skicka information till en kompatibel nätverkssamlare och analysator, t.ex http://www.paessler.com/prtg.
  • NetFlow-samlare som lagrar den insamlade informationen till en file. Den kan också ta emot och lagra NetFlow-trafik från andra enheter.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Gränssnitt

  • När installationen av modulen är klar kan modulens GUI anropas genom att klicka på modulnamnet på routerappssidan på routerns web gränssnitt.
  • Vänster del av detta GUI innehåller meny med konfigurationsmenysektionen och informationsmenysektionen.
  • Anpassningsmenyavsnittet innehåller endast Return-objektet, som växlar tillbaka från modulens web sida till routerns web konfigurationssidor. Huvudmenyn för modulens GUI visas i figur 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Konfiguration

Global

  • Alla NetFlow/IPFIX-routerappinställningar kan konfigureras genom att klicka på objektet Global i huvudmenyn i modulen web gränssnitt. Ett överview konfigurerbara objekt ges nedan.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Punkt Beskrivning
Aktivera sond Börja skicka NetFlow-informationen till en fjärrsamlare (när den är definierad) eller till den lokala insamlaren (när den är aktiverad).
Protokoll Protokoll som ska användas: NetFlow v5, Netflow v9, IPFIX (Net- Flow v10)
Motor-ID Observationsdomän-ID (på IPFIX, käll-id på NetFlow v9 eller motor-ID på NetFlow v5). Detta kan hjälpa din samlare att skilja mellan flera exportörer. Se även avsnittet om motor-ID-kompatibilitet.
Punkt Beskrivning
Sampler (Tom): skicka in varje observerat flöde; deterministisk: skicka in varje N:te observerade flöde; slumpmässig: välj slumpmässigt ett av N flöden; hasch: välj hash-slumpmässigt ett av N flöden.
Sampleer Rate Värdet på N.
Inaktiv trafik timeout Skicka flödet efter att det har varit inaktivt i 15 sekunder. Standardvärdet är 15.
Aktiv Trafik Timeout Skicka flöde efter att det har varit aktivt i 1800 sekunder (30 minuter). Standardvärdet är 1800. Se även avsnittet om trafiktimeout.
Fjärrsamlare IP-adressen för en NetFlow-samlare eller analysator, där den insamlade NetFlow-trafikinformationen ska skickas. Port är valfri, standard 2055. Detination kan innehålla en kommaseparerad lista med flera IP-adresser (och portar) för att spegla NetFlow till två eller flera samlare/analysatorer.
Aktivera lokal samlare Börja ta emot NetFlow-information från den lokala sonden (när den är aktiverad) eller från en fjärrsond.
Lagringsintervall Anger tidsintervallet i sekunder för att rotera files. Standardvärdet är 300s (5min).
Lagringsutgång Ställer in den maximala livslängden för files i katalogen. Ett värde på 0 inaktiverar gränsen för maximal livslängd.
Lagra gränssnittets SNMP-nummer Markera för att lagra SNMP-index för input/output-gränssnittet (%in, %out) förutom standarduppsättningen av information, se nedan.
Lagra IP-adress för nästa hopp Markera för att lagra IP-adressen för nästa hopp av utgående trafik (%nh).
Store exporterar IP-adress Markera för att lagra IP-adressen för den exporterande routern (%ra).
Butiksexporterande motor-ID Markera för att lagra motor-ID för den exporterande routern (%eng).
Lagra flödesmottagningstid Markera för att spara tidamp när flödesinformationen togs emot (%tr).

Tabell 1: Beskrivning av konfigurationsobjekt

Information

licenser Sammanfattar Open-Source Software-licenser (OSS) som används av denna modulADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Användningsinstruktioner

NetFlow-data ska inte skickas över WAN, om inte VPN används. Uppgifterna är inte i sig krypterade eller fördunklade, så en obehörig person kan fånga upp och view informationen.

Samlad information

Följande standarduppsättning information skickas alltid av sonden och lagras av insamlaren:

  • Tidigastamp när trafiken först sågs (%ts) och senast sågs (%te), med hjälp av sondens klocka
  • Antal byte (%byt) och paket (%pkt)
  • Använt protokoll (%pr)
  • TOS (%tos)
  • TCP-flaggor (%flg)
  • Käll-IP-adress (%sa, %sap) och port (%sp)
  • Destinations-IP-adress (%da, %dap) och port (%dp)
  • ICMP-typ (%it)

Följande skickas också, men lagras endast på begäran (se konfiguration ovan):

  • SNMP-index för in-/utgångsgränssnittet (%in, %out)
  • IP-adress för nästa hopp av utgående trafik (%nh)
  • IP-adress (%ra) och motor-ID (%eng) för den exporterande routern (sond)
  • Tidigastamp när flödesinformationen togs emot (%tr), med hjälp av kollektorns klocka
  • Värdet inom parentes (%xx) indikerar formateraren som ska användas med nfdump för att visa detta värde (se nästa kapitel).

Hämtning av lagrad information

  • Data lagras i /tmp/netflow/nfcapd.yyyymmddHHMM, där yyyymmddHHMM är skapelsetiden. Katalogen innehåller även .nfstat file, som används för att övervaka utgångstiden.
  • Ändra inte detta file. För att konfigurera utgångsdatum, använd admin GUI.
  • De files kan läsas med kommandot nfdump. nfdump [alternativ] [filter]

Visa UDP-paket skickade av 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp och src ip 192.168.88.100'
    • Visa alla flöden mellan 16:25 och 17:25, aggregera dubbelriktade flöden (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Displaymotortyp/ID, källadress+port och destinationsadress+por för alla flöden:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”

Motor-ID Interoperabilitet

  • Netflow v5 definierar två 8-bitars identifierare: motortyp och motor-ID. Probe på Advantech-routrar skickar endast Engine ID (0..255). Motortypen kommer alltid att vara noll (0). Därför kommer ett flöde som skickas med motor-ID = 513 (0x201) att tas emot som motortyp/ID = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 definierar en 32-bitars identifierare. Probe på Advantech-routrar kan skicka vilket 32-bitars nummer som helst, men andra tillverkare (t.ex. Cisco) delar upp identifieraren i två reserverade bytes, följt av motortyp och motor-ID. Mottagaren följer samma tillvägagångssätt.
  • Därför kommer ett flöde som skickas med motor-ID = 513 (0x201) att tas emot som motortyp/ID = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX definierar en 32-bitars identifierare. Probe på Advantech-routrar kan skicka vilket 32-bitars nummer som helst, men den lokala insamlaren lagrar inte detta värde ännu. Därför kommer alla flöden att tas emot som motortyp/ID = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Rekommendation: Om du vill lagra motor-ID i den lokala samlaren, markera Store exporterande motor-ID i konfigurationen, använd motor-ID < 256 och undvik att använda IPFIX-protokollet.
  • Tidsgränser för trafik
  • Sonden exporterar hela flöden, dvs alla paket som hör ihop. Om inga paket observeras under en given period (inaktiv trafik-timeout) betraktas flödet som komplett och sonden skickar trafikinformation till insamlaren.
  • Information om a file överföring kommer alltså att dyka upp i samlaren när överföringen är genomförd, vilket kan ta en betydande tid. Om överföringen är aktiv för länge (Active Traffic Timeout) visas den som flera kortare flöden.
  • Till exempelample, med en 30 minuters aktiv trafik timeout, kommer en 45 minuters kommunikation att visas som två flöden: ett 30 min och ett 15 min.

Tidsgränser för trafik

  • Sonden exporterar hela flöden, dvs alla paket som hör ihop. Om inga paket observeras under en given period (inaktiv trafik-timeout) betraktas flödet som komplett och sonden skickar trafikinformation till insamlaren.
  • Information om a file överföring kommer alltså att dyka upp i samlaren när överföringen är genomförd, vilket kan ta en betydande tid. Om överföringen är aktiv för länge (Active Traffic Timeout) visas den som flera kortare flöden. Till exempelample, med en 30 minuters aktiv trafik timeout, kommer en 45 minuters kommunikation att visas som två flöden: ett 30 min och ett 15 min.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Relaterade dokument

  • Du kan få produktrelaterade dokument på Engineering Portal på adressen icr.advantech.cz.
  • För att få din routers snabbstartsguide, användarmanual, konfigurationsmanual eller firmware, gå till sidan Routermodeller, hitta önskad modell och växla till fliken Manuals eller Firmware.
  • Installationspaketen och manualerna för routerappar finns på sidan för routerappar.
  • För utvecklingsdokumenten, gå till sidan DevZone.

Dokument/resurser

ADVANTECH Router App Net Flow Pfix [pdf] Användarhandbok
Router App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Referenser

Relaterade inlägg

Lämna en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade *