Зміст приховати
1 ADVANTECH Router App Net Flow Pfix
2 Інформація про продукт
3 Інструкція з використання
4 Використовувані символи
5 Журнал змін
6 Опис модуля
7 Конфігурація
8 Інформація
9 Інструкція з використання
10 Взаємодія ідентифікатора двигуна
11 Пов'язані документи
12 Документи / Ресурси
12.1 Список літератури
13 Пов’язані публікації

АДВАНТЕХ-ЛОГО

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Інформація про продукт

Технічні характеристики

  • Виробник: Advantech Czech sro
  • Адреса: Сокольська 71, 562 04 Усті-над-Орліці, Чехія
  • документ №: APP-0085-EN
  • Ревізія Дата: 19 жовтня 2023 року

Опис модуля

  • Модуль NetFlow/IPFIX — це програма для маршрутизатора, розроблена компанією Advantech Czech sro. Він не входить до стандартної мікропрограми маршрутизатора та потребує завантаження окремо.
  • Модуль призначений для моніторингу мережевого трафіку. Він працює, збираючи інформацію про IP-трафік за допомогою зонда, встановленого на маршрутизаторах із підтримкою NetFlow.
  • Потім ця інформація надсилається до збирача та аналізатора NetFlow для подальшого аналізу.

Web Інтерфейс

Після встановлення модуля ви можете отримати доступ до нього web інтерфейсу, клацнувши назву модуля на сторінці програм маршрутизатора маршрутизатора web інтерфейс. The web інтерфейс складається з меню з різними розділами:

Конфігурація

У розділі «Конфігурація» можна налаштувати різні параметри програми маршрутизатора NetFlow/IPFIX. Щоб отримати доступ до налаштувань конфігурації, клацніть на пункті «Глобальні» в головному меню модуля web інтерфейс. Конфігуровані елементи включають:

  • Увімкнути зонд: Ця опція починає надсилати інформацію NetFlow віддаленому колектору (якщо визначено) або локальному колектору (якщо ввімкнено).
  • Протокол: Ця опція дозволяє вибрати протокол, який буде використовуватися для подання інформації NetFlow. Ви можете вибрати NetFlow v5, NetFlow v9 або IPFIX (NetFlow v10).
  • ID двигуна: Цей параметр дозволяє встановити ідентифікатор домену спостереження (для IPFIX), ідентифікатор джерела (для NetFlow v9) або ідентифікатор механізму (для NetFlow v5). Це допомагає збирачеві розрізняти кількох експортерів. Для отримання додаткової інформації зверніться до розділу «Інтероперабельність ідентифікатора двигуна».

Інформація

У розділі «Інформація» наведено детальну інформацію про модуль та його ліцензії. Ви можете отримати доступ до цього розділу, натиснувши на пункт «Інформація» в головному меню модуля web інтерфейс.

Інструкція з використання

Зібрана інформація

  • Модуль NetFlow/IPFIX збирає інформацію про IP-трафік із зонда маршрутизатора. Це включає такі деталі, як IP-адреси джерела та призначення, кількість пакетів, кількість байтів та інформацію про протокол.

Отримання збереженої інформації

  • Щоб отримати збережену інформацію, вам потрібно отримати доступ до збирача та аналізатора NetFlow, до якого модуль передає дані. Колектор і аналізатор нададуть інструменти та звіти для аналізу та візуалізації зібраної інформації.

Взаємодія ідентифікатора двигуна

  • Параметр Engine ID у конфігурації дозволяє вказати унікальний ідентифікатор для вашого експортера. Це корисно, коли у вас є кілька експортерів, які надсилають дані до одного збирача.
  • Встановлюючи різні ідентифікатори двигуна, збирач може розрізняти дані, отримані від різних експортерів.

Тайм-аути трафіку

  • Модуль не надає конкретної інформації про тайм-аути трафіку. Будь ласка, зверніться до відповідних документів або зв’яжіться з Advantech Czech sro для отримання додаткової інформації.

Пов'язані документи

  • Щоб отримати додаткову інформацію та детальні інструкції, зверніться до таких документів:
  • Інструкція з налаштування
  • Інша відповідна документація, надана компанією Advantech Czech sro

FAQ

Q: Хто є виробником NetFlow/IPFIX?

  • A: Виробником NetFlow/IPFIX є Advantech Czech sro

З: Яке призначення NetFlow/IPFIX?

  • A: NetFlow/IPFIX призначений для моніторингу мережевого трафіку шляхом збору інформації про IP-трафік від маршрутизаторів із підтримкою NetFlow і передачі її до збирача та аналізатора NetFlow.

Q: Як я можу отримати доступ до налаштувань конфігурації модуля?

  • A: Щоб отримати доступ до налаштувань конфігурації, клацніть на пункті «Глобальні» в головному меню модуля web інтерфейс.

З: Для чого використовується налаштування Engine ID?

  • A: Параметр Engine ID дозволяє вказати унікальний ідентифікатор для вашого експортера, допомагаючи збирачеві розрізняти кілька експортерів.
  • © 2023 Advantech Czech sro Жодна частина цієї публікації не може бути відтворена чи передана в будь-якій формі чи будь-якими засобами, електронними чи механічними, включаючи фотографію, запис або будь-яку систему зберігання та пошуку інформації без письмової згоди.
  • Інформація в цьому посібнику може бути змінена без попередження, і вона не є зобов'язанням з боку Advantech.
  • Advantech Czech sro не несе відповідальності за випадкові чи непрямі збитки, спричинені розміщенням, виконанням або використанням цього посібника.
  • Усі торгові марки, що використовуються в цьому посібнику, є зареєстрованими торговими марками відповідних власників. Використання торгових марок або інших позначень у цій публікації лише для довідкових цілей і не означає схвалення власником торгової марки.

Використовувані символи

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Небезпека – Інформація щодо безпеки користувача або потенційного пошкодження маршрутизатора.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Увага – Проблеми, які можуть виникнути в конкретних ситуаціях.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Інформація – Корисні поради чи інформація, що представляє особливий інтерес.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example - Напрampфайл функції, команди або сценарію.

Журнал змін

Журнал змін NetFlow/IPFIX

  • v1.0.0 (2020-04-15)
    • Перший випуск.
  • v1.1.0 (2020-10-01)
    • Оновлено код CSS і HTML відповідно до мікропрограми 6.2.0+.

Опис модуля

  • Програма маршрутизатора NetFlow/IPFIX не міститься в стандартній мікропрограмі маршрутизатора. Завантаження цієї програми маршрутизатора описано в посібнику з конфігурації (див. Пов’язані документи у розділі).
  • Програма маршрутизатора NetFlow/IPFIX призначена для моніторингу мережевого трафіку. Маршрутизатори з підтримкою NetFlow мають зонд, який збирає інформацію про IP-трафік і надсилає її до збирача й аналізатора NetFlow.

Ця програма маршрутизатора містить:

  • Зонд NetFlow, який може надсилати інформацію до сумісного мережевого збирача та аналізатора, наприклад http://www.paessler.com/prtg.
  • Колектор NetFlow, який зберігає зібрану інформацію в a file. Він також може отримувати та зберігати трафік NetFlow з інших пристроїв.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Інтерфейс

  • Після завершення інсталяції модуля можна викликати графічний інтерфейс модуля, клацнувши назву модуля на сторінці програм маршрутизатора маршрутизатора. web інтерфейс.
  • Ліва частина цього графічного інтерфейсу містить меню з розділом меню конфігурації та розділом меню інформації.
  • Розділ меню налаштування містить лише пункт Повернути, який повертає назад з модуля web сторінку на маршрутизатор web сторінки конфігурації. Головне меню графічного інтерфейсу модуля показано на малюнку 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Конфігурація

Глобальний

  • Усі параметри програми маршрутизатора NetFlow/IPFIX можна налаштувати, натиснувши на пункт «Глобальні» в головному меню модуля web інтерфейс. Закінченоview елементів, які можна налаштувати, наведено нижче.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Пункт опис
Увімкнути зонд Почніть надсилати інформацію NetFlow до віддаленого колектора (якщо визначено) або до локального колектора (якщо ввімкнено).
Протокол Протокол для використання: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
ID двигуна Значення ідентифікатора домену спостереження (на IPFIX, ідентифікатора джерела на NetFlow v9 або ідентифікатора механізму на NetFlow v5). Це може допомогти вашому збирачеві розрізнити кількох експортерів. Дивіться також розділ про сумісність ідентифікатора двигуна.
Пункт опис
Sampлер (порожній): подати кожен спостережуваний потік; детермінований: представити кожен N-й спостережуваний потік; випадковий: вибрати випадковим чином один із N потоків; хеш: випадковим чином вибрати один із N потоків.
SampLeer Rate Значення N.
Час очікування неактивного трафіку Надіслати потік після його неактивності протягом 15 секунд. Значення за замовчуванням 15.
Час очікування активного трафіку Надішліть потік після того, як він буде активним протягом 1800 секунд (30 хвилин). Значення за замовчуванням 1800. Дивіться також розділ про тайм-аути трафіку.
Віддалений колектор IP-адреса збирача чи аналізатора NetFlow, куди надсилати зібрану інформацію про трафік NetFlow. Порт необов’язковий, за замовчуванням 2055. Detination може містити список кількох IP-адрес (і портів), розділених комами, для віддзеркалення NetFlow на два або більше збирачів/аналізаторів.
Увімкнути локальний колектор Почніть отримувати інформацію NetFlow від локального зонда (якщо ввімкнено) або від віддаленого зонда.
Інтервал зберігання Визначає часовий інтервал у секундах для обертання fileс. Стандартне значення становить 300 с (5 хв).
Термін зберігання Встановлює максимальний термін служби для files у каталозі. Значення 0 вимикає максимальний термін служби.
Зберігати номери SNMP інтерфейсу Поставте прапорець для збереження індексу SNMP інтерфейсу введення/виведення (%in, %out) на додаток до стандартного набору інформації, див. нижче.
Зберігайте IP-адресу наступного переходу Поставте прапорець, щоб зберегти IP-адресу наступного переходу вихідного трафіку (%nh).
Магазин експортує IP-адресу Поставте прапорець, щоб зберегти IP-адресу експортуючого маршрутизатора (%ra).
Store Exporting Engine ID Поставте прапорець, щоб зберегти ідентифікатор механізму експортуючого маршрутизатора (%eng).
Час прийому потоку магазину Перевірте, щоб зберегти часamp коли отримано інформацію про потік (%tr).

Таблиця 1: Опис елементів конфігурації

Інформація

licences Узагальнює ліцензії програмного забезпечення з відкритим вихідним кодом (OSS), які використовуються цим модулемADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Інструкція з використання

Дані NetFlow не слід надсилати через WAN, якщо не використовується VPN. Дані за своєю суттю не зашифровані чи обфусковані, тому неавторизована особа може перехопити та view інформація.

Зібрана інформація

Наступний стандартний набір інформації завжди надсилається зондом і зберігається збирачем:

  • Часamp коли трафік було виявлено вперше (%ts) і востаннє (%te), використовуючи годинник зонда
  • Кількість байтів (%byt) і пакетів (%pkt)
  • Використаний протокол (%pr)
  • TOS (%tos)
  • Прапори TCP (%flg)
  • IP-адреса джерела (%sa, %sap) і порт (%sp)
  • IP-адреса призначення (%da, %dap) і порт (%dp)
  • Тип ICMP (%it)

Наступне також надсилається, але зберігається лише за запитом (див. конфігурацію вище):

  • Індекс SNMP інтерфейсу введення/виведення (%in, %out)
  • IP-адреса наступного переходу вихідного трафіку (%nh)
  • IP-адреса (%ra) та ідентифікатор механізму (%eng) експортуючого маршрутизатора (зонд)
  • Часamp коли було отримано інформацію про потік (%tr), використовуючи годинник колектора
  • Значення в дужках (%xx) вказує на форматування, яке буде використано з nfdump для відображення цього значення (див. наступний розділ).

Отримання збереженої інформації

  • Дані зберігаються в /tmp/netflow/nfcapd.yyyymmddHHMM, де yyyymmddHHMM — це час створення. Каталог також містить .nfstat file, який використовується для контролю часу експірації.
  • Не змінюйте це file. Щоб налаштувати термін дії, використовуйте графічний інтерфейс адміністратора.
  • The files можна прочитати за допомогою команди nfdump. nfdump [параметри] [фільтр]

Показати UDP-пакети, надіслані 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp та src ip 192.168.88.100'
    • Відображати всі потоки між 16:25 і 17:25, агрегуючи двонаправлені потоки (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Тип/ідентифікатор механізму відображення, адреса джерела+порт і адреса призначення+por для всіх потоків:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o «fmt:%eng %sap %dap»

Взаємодія ідентифікатора двигуна

  • Netflow v5 визначає два 8-бітних ідентифікатори: тип двигуна та ідентифікатор механізму. Зонд на маршрутизаторах Advantech надсилає лише ідентифікатор двигуна (0..255). Тип двигуна завжди дорівнюватиме нулю (0). Отже, потік, надісланий з ідентифікатором двигуна = 513 (0x201), буде отримано як тип/ідентифікатор механізму = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 визначає один 32-бітний ідентифікатор. Зонд на маршрутизаторах Advantech може надсилати будь-яке 32-розрядне число, однак інші виробники (наприклад, Cisco) розділяють ідентифікатор на два зарезервованих байти, за якими слідують тип двигуна та ідентифікатор механізму. Приймач дотримується такого ж підходу.
  • Отже, потік, надісланий з ідентифікатором двигуна = 513 (0x201), буде отримано як тип/ідентифікатор механізму = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX визначає один 32-бітний ідентифікатор. Зонд на маршрутизаторах Advantech може надсилати будь-яке 32-бітове число, але локальний колектор ще не зберігає це значення. Отже, будь-який потік буде отримано як Тип/ідентифікатор двигуна = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Рекомендація: Якщо ви хочете зберігати ідентифікатор механізму в локальному колекторі, позначте «Зберігати ідентифікатор механізму експорту» в конфігурації, використовуйте ідентифікатор механізму < 256 і уникайте використання протоколу IPFIX.
  • Тайм-аути трафіку
  • Зонд експортує цілі потоки, тобто всі пакети, які належать разом. Якщо протягом заданого періоду (тайм-аут неактивного трафіку) пакети не спостерігаються, потік вважається завершеним, і зонд надсилає інформацію про трафік до збирача.
  • Інформація про а file таким чином передача з’явиться в колекторі після завершення передачі, що може зайняти значну кількість часу. Якщо передача активна занадто довго (Тайм-аут активного трафіку), вона відображатиметься як кілька коротших потоків.
  • наприкладampнаприклад, із 30-хвилинним тайм-аутом активного трафіку 45-хвилинний зв’язок відображатиметься як два потоки: один 30 хвилин, а інший 15 хвилин.

Тайм-аути трафіку

  • Зонд експортує цілі потоки, тобто всі пакети, які належать разом. Якщо протягом заданого періоду (тайм-аут неактивного трафіку) пакети не спостерігаються, потік вважається завершеним, і зонд надсилає інформацію про трафік до збирача.
  • Інформація про а file таким чином передача з’явиться в колекторі після завершення передачі, що може зайняти значну кількість часу. Якщо передача активна занадто довго (Тайм-аут активного трафіку), вона відображатиметься як кілька коротших потоків. наприкладampнаприклад, із 30-хвилинним тайм-аутом активного трафіку 45-хвилинний зв’язок відображатиметься як два потоки: один 30 хвилин, а інший 15 хвилин.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Пов'язані документи

  • Ви можете отримати документи, пов’язані з продуктом, на Інженерному порталі за адресою icr.advantech.cz.
  • Щоб отримати короткий посібник із початку роботи, посібник користувача, посібник із конфігурації або мікропрограму, перейдіть на сторінку моделей маршрутизаторів, знайдіть потрібну модель і перейдіть на вкладку посібників або мікропрограми відповідно.
  • Інсталяційні пакети та посібники Router Apps доступні на сторінці Router Apps.
  • Щоб переглянути документи розробки, перейдіть на сторінку DevZone.

Документи / Ресурси

ADVANTECH Router App Net Flow Pfix [pdfПосібник користувача
Маршрутизатор App Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Список літератури

Пов’язані публікації

Залиште коментар

Ваша електронна адреса не буде опублікована. Обов'язкові поля позначені *