研華路由器 App Net Flow Pfix
產品資訊
規格
- 製造商: 研華捷克
- 地址: Sokolska 71, 562 04 奧爾利奇河畔烏斯季, 捷克共和國
- 文件 編號:APP-0085-EN
- 修訂 日期:19年2023月XNUMX日
模組說明
- NetFlow/IPFIX模組是由Advantech Czech sro開發的路由器應用程序,它不包含在標準路由器韌體中,需要單獨上傳。
- 此模組專為監控網路流量而設計。它的工作原理是使用安裝在支援 NetFlow 的路由器上的偵測器收集 IP 流量資訊。
- 然後將這些資訊提交給 NetFlow 收集器和分析器進行進一步分析。
Web 介面
安裝模組後,您可以訪問其 web 透過點擊路由器的路由器應用程式頁面上的模組名稱來存取介面 web 接口。 的 web 介面由具有不同部分的選單組成:
配置
設定部分可讓您設定 NetFlow/IPFIX 路由器應用程式的各種設定。若要存取配置設置,請按一下模組主選單中的「全域」項 web 介面.可配置的項目包括:
- 啟用探針: 此選項開始將 NetFlow 資訊提交到遠端收集器(如果已定義)或本機收集器(如果已啟用)。
- 協議: 此選項可讓您選擇用於 NetFlow 資訊提交的協定。您可以從 NetFlow v5、NetFlow v9 或 IPFIX (NetFlow v10) 中進行選擇。
- 引擎號碼: 此選項可讓您設定觀察域 ID(對於 IPFIX)、來源 ID(對於 NetFlow v9)或引擎 ID(對於 NetFlow v5)。這有助於收集者區分多個出口商。有關更多信息,請參閱引擎 ID 互通性部分。
資訊
資訊部分提供有關模組及其許可證的詳細資訊。您可以透過點擊模組主選單中的「資訊」項目來存取此部分 web 介面.
使用說明
收集的資訊
- NetFlow/IPFIX 模組從路由器的偵測器收集 IP 流量資訊。這包括來源和目標 IP 位址、封包計數、位元組計數和協定資訊等詳細資訊。
檢索儲存的信息
- 要檢索儲存的信息,您需要存取模組向其提交資料的 NetFlow 收集器和分析器。收集器和分析器將提供用於分析和視覺化收集到的資訊的工具和報告。
引擎 ID 互通性
- 配置中的引擎 ID 設定可讓您為匯出器指定唯一識別碼。當您有多個匯出器將資料傳送到同一個收集器時,這非常有用。
- 透過設定不同的引擎ID,收集器可以區分從不同導出器接收的資料。
流量逾時
- 此模組不提供有關流量逾時的具體資訊。更多詳情請參閱相關文件或聯絡 Advantech Czech sro。
相關文件
- 如需了解更多資訊和詳細說明,請參閱以下文件:
- 配置手冊
- Advantech Czech sro 提供的其他相關文檔
常問問題
Q:NetFlow/IPFIX 的製造商是誰?
- A: NetFlow/IPFIX的製造商是Advantech Czech sro
Q:NetFlow/IPFIX 的用途是什麼?
- A: NetFlow/IPFIX 旨在透過從支援 NetFlow 的路由器收集 IP 流量資訊並將其提交給 NetFlow 收集器和分析器來監控網路流量。
Q:如何存取模組的配置設定?
- A: 若要存取配置設置,請按一下模組主選單中的「全域」項 web 介面.
Q:引擎 ID 設定有何用途?
- A: 引擎 ID 設定可讓您為匯出器指定唯一標識符,幫助收集器區分多個匯出器。
- © 2023 Advantech Czech sro 未經書面同意,不得以任何形式或任何方式(電子或機械)複製或傳播本出版物的任何部分,包括攝影、錄音或任何資訊儲存和檢索系統。
- 本手冊中的資訊如有更改,恕不另行通知,並且並不代表研華的承諾。
- Advantech Czech sro 對因提供、執行或使用本手冊而造成的意外或間接損失不承擔任何責任。
- 本手冊中使用的所有品牌名稱均為其各自所有者的註冊商標。本出版品所使用的商標或其他名稱僅供參考,並不構成商標持有人的認可。
使用的符號
危險 – 有關用戶安全或路由器潛在損壞的信息。
注意力 – 在特定情況下可能出現的問題。
資訊 – 有用的提示或特別感興趣的信息。
Example - 前任amp函數、命令或腳本的文件。
變更日誌
NetFlow/IPFIX 變更日誌
- v1.0.0 (2020-04-15)
- 首次發布。
- v1.1.0 (2020-10-01)
- 更新了 CSS 和 HTML 程式碼以匹配韌體 6.2.0+。
模組說明
- 路由器應用程式 NetFlow/IPFIX 不包含在標準路由器韌體中。在設定手冊中描述了此路由器應用程式的上傳(請參閱相關文件一章)。
- 路由器應用程式 NetFlow/IPFIX 用於監控網路流量。支援 NetFlow 的路由器有一個探針,用於收集 IP 流量資訊並將其提交給 NetFlow 收集器和分析器。
此路由器應用程式包含:
- NetFlow 探針可以向相容的網路收集器和分析器提交信息,例如 http://www.paessler.com/prtg.
- NetFlow收集器將收集到的資訊儲存到 file。它還可以接收和儲存來自其他裝置的 NetFlow 流量。
Web 介面
- 模塊安裝完成後,可以通過單擊路由器的路由器應用程序頁面上的模塊名稱來調用模塊的 GUI web 介面.
- 此 GUI 的左側部分包含帶有設定選單部分和資訊選單部分的選單。
- 自訂選單部分僅包含返回項目,該項目從模組的 web 路由器的頁面 web 配置頁面。 模塊GUI主菜單如圖2所示。
配置
全球的
- 所有 NetFlow/IPFIX 路由器應用程式設定都可以透過點擊模組主選單中的全域項目進行配置 web 界面。 一個結束view 下面給出了可配置項目。
| 物品 | 描述 |
| 啟用探針 | 開始將 NetFlow 資訊提交到遠端收集器(如果定義)或本機收集器(如果已啟用)。 |
| 協定 | 使用的協定: 網路串流v5, 網路流 v9, IP固定網路 (網路流 v10) |
| 引擎 ID | 觀察域 ID(在 IPFIX 上、NetFlow v9 上的來源 Id 或 NetFlow v5 上的引擎 Id)值。這可能有助於您的收集者區分多個出口商。另請參閱有關引擎 ID 互通性的部分。 |
| 物品 | 描述 |
| Samp勒 | (空的):提交每個觀察到的流程; 確定性的:提交每個第 N 個觀察流; 隨機的:從N個流中隨機選擇一個; 散列:從 N 個流中隨機選擇一個哈希。 |
| Samp閱讀率 | N 的值。 |
| 非活動流量逾時 | 在串流處於非活動狀態 15 秒後提交串流。預設值為 15。 |
| 活動流量逾時 | 在串流處於活動狀態 1800 秒(30 分鐘)後提交串流。預設值為 1800。 |
| 遠端採集器 | NetFlow 收集器或分析器的 IP 位址,向其中提交收集的 NetFlow 流量資訊。連接埠是可選的,預設為 2055。 |
| 啟用本地收集器 | 開始從本機探測器(啟用時)或遠端探測器接收 NetFlow 資訊。 |
| 儲存間隔 | 指定旋轉的時間間隔(以秒為單位) files。預設值為 300 秒(5 分鐘)。 |
| 儲存過期 | 設定最長使用壽命 file目錄中。值為 0 將停用最大生命週期限制。 |
| 儲存介面 SNMP 編號 | 除了標準資訊集之外,還會檢查儲存輸入/輸出介面的 SNMP 索引(%in、%out),請參閱下文。 |
| 儲存下一跳 IP 位址 | 檢查以儲存出站流量的下一躍點的 IP 位址 (%nh)。 |
| 儲存導出 IP 位址 | 檢查以儲存匯出路由器 (%ra) 的 IP 位址。 |
| 儲存匯出引擎 ID | 檢查以儲存匯出路由器的引擎 ID (%eng)。 |
| 商店流程接待時間 | 檢查儲存時間amp 收到串流訊息時 (%tr)。 |
表1:配置項說明
資訊
許可證 總結了此模組使用的開源軟體 (OSS) 許可證
使用說明
NetFlow 資料不應透過 WAN 傳送,除非使用 VPN。資料本身並未加密或混淆,因此未經授權的人可能會攔截和 view 的訊息。
收集的資訊
以下標準資訊集始終由探測器發送並由收集器儲存:
- 時間amp 使用偵測器時脈首次看到流量 (%ts) 和最後一次看到流量 (%te) 的時間
- 位元組數 (%byt) 和資料包數 (%pkt)
- 使用的協議 (%pr)
- 服務條款 (%tos)
- TCP 標誌 (%flg)
- 來源 IP 位址(%sa、%sap)和連接埠(%sp)
- 目標 IP 位址(%da、%dap)和連接埠(%dp)
- ICMP 類型 (%it)
也會發送以下內容,但僅根據請求儲存(請參閱上面的配置):
- 輸入/輸出介面的 SNMP 索引(%in、%out)
- 出站流量的下一跳 IP 位址 (%nh)
- 匯出路由器(偵測器)的 IP 位址 (%ra) 和引擎 ID (%eng)
- 時間amp 當收到串流資訊時 (%tr),使用收集器的時鐘
- 括號中的值 (%xx) 表示與 nfdump 一起使用的格式化程式來顯示該值(請參閱下一章)。
檢索儲存的信息
- 資料儲存在/tmp/netflow/nfcapd.yyyymmddHHMM中,其中yyyymmddHHMM是創建時間。該目錄還包括 .nfstat file,用於監控過期時間。
- 不要改變這個 file。若要設定過期,請使用管理 GUI。
- 這 file可以使用 nfdump 指令讀取 s。 nfdump [選項] [過濾器]
顯示192.168.88.100發送的UDP資料包:
- nfdump -r nfcapd.202006011625 '原始 udp 和 src ip 192.168.88.100'
- 顯示 16:25 到 17:25 之間的所有流量,聚合雙向流量 (-B):
- nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
- 顯示所有串流的引擎類型/ID、來源位址+連接埠和目標位址+連接埠:
- nfdump -r /tmp/netflow/nfcapd.202006011625 -o “fmt:%eng %sap %dap”
引擎 ID 互通性
- Netflow v5定義了兩個8位元識別碼:引擎類型和引擎ID。研華路由器上的探針僅傳送引擎 ID (0..255)。引擎類型將始終為零 (0)。因此,以引擎 ID = 513 (0x201) 發送的流將作為引擎類型/ID = 0/1 被接收。
- Netflow v9 定義了一個 32 位元識別碼。研華路由器上的探針可以發送任何 32 位元數字,但其他製造商(例如 Cisco)將識別碼拆分為兩個保留字節,後面是引擎類型和引擎 ID。接收器遵循相同的方法。
- 因此,以引擎 ID = 513 (0x201) 發送的流將作為引擎類型/ID = 2/1 被接收。
- IPFIX 定義了一個 32 位元識別碼。研華路由器上的探針可以發送任何 32 位元數字,但本地收集器尚不儲存該值。因此,任何流都將作為引擎類型/ID = 0/0 被接收。
- 推薦: 如果您要將引擎 ID 儲存在本機收集器中,請在設定中選取儲存匯出引擎 ID,使用引擎 ID < 256 並避免使用 IPFIX 協定。
- 流量逾時
- 探測器導出整個流,即屬於在一起的所有資料包。如果在給定時間段(非活動流量逾時)內沒有觀察到資料包,則認為該流已完成,並且偵測器會將流量資訊傳送到收集器。
- 關於一個的信息 file 因此,一旦傳輸完成,傳輸就會出現在收集器中,這可能需要相當長的時間。如果傳輸處於活動狀態的時間過長(活動流量逾時),它將顯示為多個較短的流。
- 對於前amp例如,如果活動流量逾時為 30 分鐘,則 45 分鐘的通訊將顯示為兩個流量:一個為 30 分鐘,另一個為 15 分鐘。
流量逾時
- 探測器導出整個流,即屬於在一起的所有資料包。如果在給定時間段(非活動流量逾時)內沒有觀察到資料包,則認為該流已完成,並且偵測器會將流量資訊傳送到收集器。
- 關於一個的信息 file 因此,一旦傳輸完成,傳輸就會出現在收集器中,這可能需要相當長的時間。如果傳輸處於活動狀態的時間過長(活動流量逾時),它將顯示為多個較短的流。對於前amp例如,如果活動流量逾時為 30 分鐘,則 45 分鐘的通訊將顯示為兩個流量:一個為 30 分鐘,另一個為 15 分鐘。
- 您可以在工程入口網站icr.advantech.cz地址上取得產品相關文件。
- 若要取得路由器的快速入門指南、使用者手冊、設定手冊或韌體,請前往路由器型號頁面,找到所需的型號,然後分別切換到手冊或韌體標籤。
- 路由器應用程式安裝包和手冊可在路由器應用程式頁面上找到。
- 若要取得開發文檔,請前往 DevZone 頁面。
文件/資源
 |
研華路由器 App Net Flow Pfix [pdf] 使用者指南 路由器應用程式網路流 Pfix、應用程式網路流 Pfix、網路流 Pfix、流 Pfix、Pfix |
