研华路由器 App Net Flow Pfix
产品信息
规格
- 制造商: 研华捷克
- 地址: Sokolska 71, 562 04 奥尔利奇河畔乌斯季, 捷克共和国
- 文档 编号:APP-0085-EN
- 修订 日期:19th十月,2023
模块说明
- NetFlow/IPFIX 模块是由 Advantech Czech s.r.o 开发的路由器应用程序。它不包含在标准路由器固件中,需要单独上传。
- 该模块专为监控网络流量而设计。它的工作原理是使用安装在支持 NetFlow 的路由器上的探测器收集 IP 流量信息。
- 然后将该信息提交给 NetFlow 收集器和分析器进行进一步分析。
Web 界面
安装模块后,您可以访问其 web 通过单击路由器的路由器应用程序页面上的模块名称来访问界面 web 接口。 的 web 界面由具有不同部分的菜单组成:
配置
配置部分允许您配置 NetFlow/IPFIX 路由器应用程序的各种设置。要访问配置设置,请单击模块主菜单中的“全局”项 web 界面。 可配置的项目包括:
- 启用探针: 此选项开始将 NetFlow 信息提交到远程收集器(如果已定义)或本地收集器(如果启用)。
- 协议: 此选项允许您选择用于 NetFlow 信息提交的协议。您可以从 NetFlow v5、NetFlow v9 或 IPFIX (NetFlow v10) 中进行选择。
- 发动机编号: 此选项允许您设置观察域 ID(对于 IPFIX)、源 ID(对于 NetFlow v9)或引擎 ID(对于 NetFlow v5)。这有助于收集者区分多个出口商。有关更多信息,请参阅引擎 ID 互操作性部分。
信息
信息部分提供有关模块及其许可证的详细信息。您可以通过单击模块主菜单中的“信息”项来访问此部分 web 界面。
使用说明
收集的信息
- NetFlow/IPFIX 模块从路由器的探测器收集 IP 流量信息。这包括源和目标 IP 地址、数据包计数、字节计数和协议信息等详细信息。
检索存储的信息
- 要检索存储的信息,您需要访问模块向其提交数据的 NetFlow 收集器和分析器。收集器和分析器将提供用于分析和可视化收集到的信息的工具和报告。
引擎 ID 互操作性
- 配置中的引擎 ID 设置允许您为导出器指定唯一标识符。当您有多个导出器将数据发送到同一个收集器时,这非常有用。
- 通过设置不同的引擎ID,收集器可以区分从不同导出器接收到的数据。
流量超时
- 该模块不提供有关流量超时的具体信息。请参阅相关文件或联系 Advantech Czech s.r.o。更多细节。
相关文件
- 如需了解更多信息和详细说明,请参阅以下文档:
- Configuration Manual
- Advantech Czech s.r.o 提供的其他相关文档
常问问题
问:NetFlow/IPFIX 的制造商是谁?
- A: NetFlow/IPFIX 的制造商是 Advantech Czech s.r.o。
问:NetFlow/IPFIX 的用途是什么?
- A: NetFlow/IPFIX 旨在通过从支持 NetFlow 的路由器收集 IP 流量信息并将其提交给 NetFlow 收集器和分析器来监控网络流量。
问:如何访问模块的配置设置?
- A: 要访问配置设置,请单击模块主菜单中的“全局”项 web 界面。
问:引擎 ID 设置有何用途?
- A: 引擎 ID 设置允许您为导出器指定唯一标识符,帮助收集器区分多个导出器。
- © 2023 Advantech Czech sro 未经书面同意,不得以任何形式或任何方式(电子或机械)复制或传播本出版物的任何部分,包括摄影、录音或任何信息存储和检索系统。
- 本手册中的信息如有更改,恕不另行通知,并且并不代表研华的承诺。
- Advantech Czech sro 对因提供、执行或使用本手册而造成的偶然或间接损失不负任何责任。
- 本手册中使用的所有品牌名称均为其各自所有者的注册商标。本出版物中使用的商标或其他名称仅供参考,并不构成商标持有者的认可。
使用符号
危险 – 有关用户安全或路由器潜在损坏的信息。
注意力 – 在特定情况下可能出现的问题。
信息 – 有用的提示或特别感兴趣的信息。
Example - 前任amp函数、命令或脚本的文件。
更新日志
NetFlow/IPFIX 变更日志
- v1.0.0(2020-04-15)
- 首次发布。
- v1.1.0(2020-10-01)
- 更新了 CSS 和 HTML 代码以匹配固件 6.2.0+。
模块描述
- 路由器应用程序 NetFlow/IPFIX 不包含在标准路由器固件中。 配置手册中描述了此路由器应用程序的上传(请参阅相关文档一章)。
- 路由器应用程序 NetFlow/IPFIX 用于监控网络流量。 支持 NetFlow 的路由器有一个探针,用于收集 IP 流量信息并将其提交给 NetFlow 收集器和分析器。
该路由器应用程序包含:
- NetFlow 探针可以将信息提交给兼容的网络收集器和分析器,例如。 G。这 http://www.paessler.com/prtg.
- NetFlow收集器将收集到的信息存储到 file。 它还可以接收和存储来自其他设备的 NetFlow 流量。
Web 界面
- 模块安装完成后,可以通过在路由器的路由器应用程序页面上单击模块名称来调用模块的 GUI web 界面。
- 该 GUI 的左侧部分包含带有配置菜单部分和信息菜单部分的菜单。
- 自定义菜单部分仅包含返回项目,该项目从模块的 web 路由器的页面 web 配置页面。 模块 GUI 的主菜单如图 2 所示。
配置
全球的
- 所有 NetFlow/IPFIX 路由器应用程序设置都可以通过单击模块主菜单中的全局项进行配置 web 界面。 一个结束view 下面给出了可配置项目。
| 物品 | 描述 |
| 启用探针 | 开始将 NetFlow 信息提交到远程收集器(如果定义)或本地收集器(如果启用)。 |
| 协议 | 使用的协议: 网络流v5, 网络流 v9, IPFIX (网络流 v10) |
| 引擎 ID | 观察域 ID(在 IPFIX 上、NetFlow v9 上的源 Id 或 NetFlow v5 上的引擎 Id)值。这可能有助于您的收集者区分多个出口商。另请参阅有关引擎 ID 互操作性的部分。 |
| 物品 | 描述 |
| Samp勒尔 | (空):提交每个观察到的流程; 确定性的:提交每个第 N 个观察流; 随机的:从N个流中随机选择一个; 哈希:从 N 个流中随机选择一个哈希。 |
| Samp阅读率 | N 的值。 |
| 非活动流量超时 | 流处于非活动状态 15 秒后提交流。默认值为 15。 |
| 活动流量超时 | 在流活跃 1800 秒(30 分钟)后提交流。默认值为 1800。另请参阅流量超时部分。 |
| 远程采集器 | NetFlow 收集器或分析器的 IP 地址,向其中提交收集的 NetFlow 流量信息。端口是可选的,默认为 2055。目标可以包含多个 IP 地址(和端口)的逗号分隔列表,以将 NetFlow 镜像到两个或多个收集器/分析器。 |
| 启用本地收集器 | 开始从本地探测器(启用时)或远程探测器接收 NetFlow 信息。 |
| 存储间隔 | 指定旋转的时间间隔(以秒为单位) files。默认值为 300 秒(5 分钟)。 |
| 存储过期 | 设置最长使用寿命 file目录中。值为 0 将禁用最大生命周期限制。 |
| 存储接口 SNMP 编号 | 除了标准信息集之外,还检查存储输入/输出接口的 SNMP 索引(%in、%out),请参见下文。 |
| 存储下一跳 IP 地址 | 检查以存储出站流量的下一跃点的 IP 地址 (%nh)。 |
| 存储导出 IP 地址 | 检查以存储导出路由器 (%ra) 的 IP 地址。 |
| 存储导出引擎 ID | 检查以存储导出路由器的引擎 ID (%eng)。 |
| 商店流程接待时间 | 检查存储时间amp 收到流信息时 (%tr)。 |
表1:配置项说明
信息
许可证 总结了该模块使用的开源软件 (OSS) 许可证
使用说明
NetFlow 数据不应通过 WAN 发送,除非使用 VPN。 数据本身并未加密或混淆,因此未经授权的人可能会拦截和 view 信息。
收集的信息
以下标准信息集始终由探测器发送并由收集器存储:
- 时间amp 使用探测器时钟首次看到流量 (%ts) 和最后一次看到流量 (%te) 的时间
- 字节数 (%byt) 和数据包数 (%pkt)
- 使用的协议 (%pr)
- 服务条款 (%tos)
- TCP 标志 (%flg)
- 源 IP 地址(%sa、%sap)和端口(%sp)
- 目标 IP 地址(%da、%dap)和端口(%dp)
- ICMP 类型 (%it)
还会发送以下内容,但仅根据请求存储(请参阅上面的配置):
- 输入/输出接口的 SNMP 索引(%in、%out)
- 出站流量的下一跳 IP 地址 (%nh)
- 导出路由器(探测器)的 IP 地址 (%ra) 和引擎 ID (%eng)
- 时间amp 当收到流信息时 (%tr),使用收集器的时钟
- 括号中的值 (%xx) 表示与 nfdump 一起使用的格式化程序来显示该值(请参阅下一章)。
检索存储的信息
- 数据存储在/tmp/netflow/nfcapd.yyyymmddHHMM中,其中yyyymmddHHMM是创建时间。 该目录还包括 .nfstat file,用于监控过期时间。
- 不要改变这个 file。 要配置过期,请使用管理 GUI。
- 这 file可以使用 nfdump 命令读取 s。 nfdump [选项] [过滤器]
显示192.168.88.100发送的UDP数据包:
- nfdump -r nfcapd.202006011625 ‘原始 udp 和 src ip 192.168.88.100’
- 显示 16:25 到 17:25 之间的所有流量,聚合双向流量 (-B):
- nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
- 显示所有流的引擎类型/ID、源地址+端口和目标地址+端口:
- nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”
引擎 ID 互操作性
- Netflow v5定义了两个8位标识符:引擎类型和引擎ID。 研华路由器上的探针仅发送引擎 ID (0..255)。 引擎类型将始终为零 (0)。 因此,以引擎 ID = 513 (0x201) 发送的流将作为引擎类型/ID = 0/1 被接收。
- Netflow v9 定义了一个 32 位标识符。研华路由器上的探针可以发送任何 32 位数字,但其他制造商(例如思科)将标识符拆分为两个保留字节,后面是引擎类型和引擎 ID。接收器遵循相同的方法。
- 因此,以引擎 ID = 513 (0x201) 发送的流将作为引擎类型/ID = 2/1 被接收。
- IPFIX 定义了一个 32 位标识符。研华路由器上的探针可以发送任何 32 位数字,但本地收集器尚不存储该值。因此,任何流都将作为引擎类型/ID = 0/0 被接收。
- 推荐: 如果要将引擎 ID 存储在本地收集器中,请在配置中选中存储导出引擎 ID,使用引擎 ID < 256 并避免使用 IPFIX 协议。
- 流量超时
- 探测器导出整个流,即属于在一起的所有数据包。 如果在给定时间段(非活动流量超时)内没有观察到数据包,则认为该流已完成,并且探测器会将流量信息发送到收集器。
- 关于一个的信息 file 因此,一旦传输完成,传输就会出现在收集器中,这可能需要相当长的时间。如果传输处于活动状态的时间过长(活动流量超时),它将显示为多个较短的流。
- 例如amp例如,如果活动流量超时为 30 分钟,则 45 分钟的通信将显示为两个流量:一个为 30 分钟,另一个为 15 分钟。
流量超时
- 探测器导出整个流,即属于在一起的所有数据包。 如果在给定时间段(非活动流量超时)内没有观察到数据包,则认为该流已完成,并且探测器会将流量信息发送到收集器。
- 关于一个的信息 file 因此,一旦传输完成,传输就会出现在收集器中,这可能需要相当长的时间。 如果传输处于活动状态的时间过长(活动流量超时),它将显示为多个较短的流。 对于前amp例如,如果活动流量超时为 30 分钟,则 45 分钟的通信将显示为两个流量:一个为 30 分钟,另一个为 15 分钟。
- 您可以在工程门户网站icr.advantech.cz地址上获取产品相关文档。
- 要获取路由器的快速入门指南、用户手册、配置手册或固件,请转到路由器型号页面,找到所需的型号,然后分别切换到手册或固件选项卡。
- 路由器应用程序安装包和手册可在路由器应用程序页面上找到。
- 要获取开发文档,请转至 DevZone 页面。
文件/资源
 |
研华路由器 App Net Flow Pfix [pdf] 用户指南 路由器应用程序网络流 Pfix、应用程序网络流 Pfix、网络流 Pfix、流 Pfix、Pfix |
