Obsah skrýt
1 ADVANTECH Router App Net Flow Pfix
2 Informace o produktu
3 Návod k použití
4 Použité symboly
5 Seznam změn
6 Popis modulu
7 Konfigurace
8 Informace
9 Návod k použití
10 Interoperabilita ID motoru
11 Související dokumenty
12 Dokumenty / zdroje
12.1 Reference
13 Související příspěvky

ADVANTECH-LOGO

ADVANTECH Router App Net Flow Pfix

ADVANTECH-Router-App-NetFlow-Pfix-PRODUCT

Informace o produktu

Specifikace

  • Výrobce: Advantech Czech sro
  • Adresa: Sokolská 71, 562 04 Ústí nad Orlicí, Česká republika
  • Dokument č.: APP-0085-EN
  • Revize Datum: 19. října 2023

Popis modulu

  • Modul NetFlow/IPFIX je routerová aplikace vyvinutá společností Advantech Czech sro Není součástí standardního firmwaru routeru a je nutné jej nahrát samostatně.
  • Modul je určen pro monitorování síťového provozu. Funguje tak, že shromažďuje informace o IP provozu pomocí sondy nainstalované na routerech s podporou NetFlow.
  • Tyto informace jsou poté odeslány do sběrače a analyzátoru NetFlow k další analýze.

Web Rozhraní

Jakmile je modul nainstalován, můžete k němu přistupovat web rozhraní kliknutím na název modulu na stránce Router apps na vašem routeru web rozhraní. web rozhraní se skládá z menu s různými sekcemi:

Konfigurace

Sekce Konfigurace umožňuje konfigurovat různá nastavení aplikace routeru NetFlow/IPFIX. Pro přístup k nastavení konfigurace klikněte na položku „Globální“ v hlavním menu modulu web rozhraní. Mezi konfigurovatelné položky patří:

  • Povolit sondu: Tato možnost zahájí odesílání informací NetFlow do vzdáleného kolektoru (pokud je definován) nebo do místního kolektoru (pokud je povolen).
  • Protokol: Tato možnost vám umožňuje vybrat protokol, který se použije pro odesílání informací NetFlow. Můžete si vybrat z NetFlow v5, NetFlow v9 nebo IPFIX (NetFlow v10).
  • ID motoru: Tato možnost vám umožňuje nastavit ID domény sledování (pro IPFIX), ID zdroje (pro NetFlow v9) nebo Engine ID (pro NetFlow v5). To pomáhá sběrateli rozlišovat mezi více vývozci. Další informace naleznete v části Interoperabilita ID motoru.

Informace

V části Informace jsou uvedeny podrobnosti o modulu a jeho licencích. Do této sekce se dostanete kliknutím na položku „Informace“ v hlavním menu modulu web rozhraní.

Návod k použití

Shromážděné informace

  • Modul NetFlow/IPFIX sbírá informace o IP provozu ze sondy routeru. To zahrnuje podrobnosti, jako jsou zdrojové a cílové IP adresy, počty paketů, počty bajtů a informace o protokolu.

Načítání uložených informací

  • Chcete-li načíst uložené informace, potřebujete přístup ke kolektoru a analyzátoru NetFlow, do kterého modul odesílá data. Sběrač a analyzátor poskytne nástroje a zprávy pro analýzu a vizualizaci shromážděných informací.

Interoperabilita ID motoru

  • Nastavení Engine ID v konfiguraci vám umožňuje zadat jedinečný identifikátor vašeho exportéra. To je užitečné, když více exportérů odesílá data do stejného kolektoru.
  • Nastavením různých ID motoru může kolektor rozlišovat mezi daty přijatými od různých exportérů.

Časové limity provozu

  • Modul neposkytuje konkrétní informace o vypršení časového limitu provozu. Další podrobnosti naleznete v souvisejících dokumentech nebo kontaktujte společnost Advantech Czech sro.

Související dokumenty

  • Další informace a podrobné pokyny naleznete v následujících dokumentech:
  • Příručka pro konfiguraci
  • Další související dokumentace poskytnutá společností Advantech Czech sro

FAQ

Otázka: Kdo je výrobcem NetFlow/IPFIX?

  • A: Výrobcem NetFlow/IPFIX je Advantech Czech sro

Otázka: Jaký je účel NetFlow/IPFIX?

  • A: NetFlow/IPFIX je navržen pro monitorování síťového provozu shromažďováním informací o IP provozu ze směrovačů s podporou NetFlow a jejich odesláním do sběrače a analyzátoru NetFlow.

Otázka: Jak mohu získat přístup k nastavení konfigurace modulu?

  • A: Pro přístup k nastavení konfigurace klikněte na položku „Globální“ v hlavním menu modulu web rozhraní.

Otázka: K čemu slouží nastavení Engine ID?

  • A: Nastavení Engine ID vám umožňuje zadat jedinečný identifikátor pro vašeho exportéra, což sběrači pomáhá rozlišovat mezi více exportéry.
  • © 2023 Advantech Czech sro Žádná část této publikace nesmí být bez písemného souhlasu reprodukována ani přenášena v jakékoli formě nebo jakýmikoli prostředky, elektronickými nebo mechanickými, včetně fotografií, záznamů nebo jakéhokoli systému pro ukládání a vyhledávání informací.
  • Informace v této příručce se mohou bez upozornění změnit a nepředstavují závazek ze strany společnosti Advantech.
  • Advantech Czech sro nenese odpovědnost za náhodné nebo následné škody vzniklé v důsledku poskytnutí, provedení nebo použití tohoto návodu.
  • Všechny názvy značek použité v této příručce jsou registrované ochranné známky příslušných vlastníků. Použití ochranných známek nebo jiných označení v této publikaci je pouze pro referenční účely a nepředstavuje podporu držitele ochranné známky.

Použité symboly

  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-1Nebezpečí – Informace týkající se bezpečnosti uživatele nebo možného poškození routeru.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-2Pozor – Problémy, které mohou nastat v konkrétních situacích.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-3Informace – Užitečné tipy nebo informace zvláštního zájmu.
  • ADVANTECH-Router-App-NetFlow-Pfix-FIG-4Example - Přampsoubor funkce, příkazu nebo skriptu.

Seznam změn

Seznam změn NetFlow/IPFIX

  • v1.0.0 (2020)
    • První vydání.
  • v1.1.0 (2020)
    • Aktualizovaný CSS a HTML kód, aby odpovídal firmwaru 6.2.0+.

Popis modulu

  • Aplikace routeru NetFlow/IPFIX není obsažena ve standardním firmwaru routeru. Nahrání této aplikace routeru je popsáno v konfigurační příručce (viz kapitola Související dokumenty).
  • Routerová aplikace NetFlow/IPFIX je určena pro sledování síťového provozu. Směrovače s podporou NetFlow mají sondu, která shromažďuje informace o provozu IP a odesílá je do kolektoru a analyzátoru NetFlow.

Tato aplikace pro router obsahuje:

  • NetFlow sonda, která může odesílat informace do kompatibilního síťového kolektoru a analyzátoru, např http://www.paessler.com/prtg.
  • NetFlow kolektor, který ukládá shromážděné informace do a file. Může také přijímat a ukládat provoz NetFlow z jiných zařízení.ADVANTECH-Router-App-NetFlow-Pfix-FIG-5

Web Rozhraní

  • Po dokončení instalace modulu lze GUI modulu vyvolat kliknutím na název modulu na stránce Router apps na routeru. web rozhraní.
  • Levá část tohoto GUI obsahuje nabídku s částí nabídky Konfigurace a část nabídky Informace.
  • Sekce menu Customization obsahuje pouze položku Return, která přepíná zpět z modulu web stránku k routeru web konfigurační stránky. Hlavní nabídka GUI modulu je znázorněna na obrázku 2.ADVANTECH-Router-App-NetFlow-Pfix-FIG-6

Konfigurace

Globální

  • Všechna nastavení aplikace routeru NetFlow/IPFIX lze konfigurovat kliknutím na položku Global v hlavním menu modulu web rozhraní. Konecview konfigurovatelných položek je uveden níže.ADVANTECH-Router-App-NetFlow-Pfix-FIG-7
Položka Popis
Povolit sondu Začněte sčítat informace NetFlow do vzdáleného kolektoru (pokud je definován) nebo do místního kolektoru (je-li povolen).
Protokol Protokol, který se má použít: NetFlow v5, Netflow v9, IPFIX (Net-Flow v10)
ID motoru Hodnota ID domény sledování (na IPFIX, Source Id na NetFlow v9 nebo Engine Id na NetFlow v5). To může vašemu sběrateli pomoci rozlišit mezi více exportéry. Viz také část Interoperabilita ID motoru.
Položka Popis
Sampler (prázdný): předložit každý pozorovaný tok; deterministický: předložit každý N-tý pozorovaný tok; náhodný: vybrat náhodně jeden z N toků; hash: náhodně vyberte hash jeden z N toků.
Sampleer Rate Hodnota N.
Časový limit neaktivního provozu Odešlete tok poté, co je 15 sekund neaktivní. Výchozí hodnota je 15.
Časový limit aktivního provozu Odešlete tok poté, co bude aktivní po dobu 1800 sekund (30 minut). Výchozí hodnota je 1800. Viz také část o časových limitech provozu.
Dálkový kolektor IP adresa NetFlow kolektoru nebo analyzátoru, kam se mají odeslat shromážděné NetFlow dopravní informace. Port je volitelný, výchozí 2055. Detination může obsahovat čárkami oddělený seznam více IP adres (a portů) pro zrcadlení NetFlow do dvou nebo více kolektorů/analyzátorů.
Povolit místní kolektor Začněte přijímat informace NetFlow z místní sondy (pokud je povolena) nebo ze vzdálené sondy.
Interval ukládání Určuje časový interval v sekundách pro otočení files. Výchozí hodnota je 300 s (5 minut).
Vypršení platnosti úložiště Nastavuje maximální dobu životnosti files v adresáři. Hodnota 0 deaktivuje maximální limit životnosti.
Ukládání čísel SNMP rozhraní Zaškrtnutím tohoto políčka uložíte kromě standardní sady informací také index SNMP vstupního/výstupního rozhraní (%in, %out), viz níže.
Uložit IP adresu dalšího skoku Zaškrtnutím uložíte IP adresu dalšího skoku odchozího provozu (%nh).
Uložit Export IP adresy Zaškrtnutím uložíte IP adresu exportujícího routeru (%ra).
Store Exporting Engine ID Zaškrtnutím uložíte ID motoru exportujícího směrovače (%eng).
Doba příjmu toku úložiště Zaškrtněte pro uložení timestamp kdy byly přijaty informace o toku (%tr).

Tabulka 1: Popis položek konfigurace

Informace

licence Shrnuje licence softwaru Open-Source (OSS) používané tímto modulemADVANTECH-Router-App-NetFlow-Pfix-FIG-8

Návod k použití

Data NetFlow by neměla být odesílána přes WAN, pokud nepoužíváte VPN. Data nejsou ze své podstaty zašifrována ani zamlžena, takže je může zachytit neoprávněná osoba view informace.

Shromážděné informace

Následující standardní sada informací je vždy odeslána sondou a uložena kolektorem:

  • Časamp kdy byl provoz poprvé viděn (%ts) a naposledy (%te), pomocí hodin sondy
  • Počet bajtů (%byt) a paketů (%pkt)
  • Použitý protokol (%pr)
  • TOS (%tos)
  • Příznaky TCP (%flg)
  • Zdrojová IP adresa (%sa, %sap) a port (%sp)
  • Cílová IP adresa (%da, %dap) a port (%dp)
  • Typ ICMP (%it)

Odesílají se také následující, ale ukládají se pouze na vyžádání (viz konfigurace výše):

  • Index SNMP vstupního/výstupního rozhraní (%in, %out)
  • IP adresa dalšího skoku odchozího provozu (%nh)
  • IP adresa (%ra) a Engine ID (%eng) exportujícího routeru (sondy)
  • Časamp kdy byly přijaty informace o toku (%tr), pomocí hodin kolektoru
  • Hodnota v závorkách (%xx) označuje formátovač, který se má použít s nfdump k zobrazení této hodnoty (viz další kapitola).

Načítání uložených informací

  • Data jsou uložena v /tmp/netflow/nfcapd.yyyymmddHHMM, kde yyyymmddHHMM je čas vytvoření. Adresář také obsahuje soubor .nfstat file, který slouží ke sledování doby expirace.
  • Toto neměňte file. Ke konfiguraci vypršení platnosti použijte administrátorské GUI.
  • The files lze číst pomocí příkazu nfdump. nfdump [možnosti] [filtr]

Zobrazit pakety UDP odeslané 192.168.88.100:

  • nfdump -r nfcapd.202006011625 'proto udp a src ip 192.168.88.100'
    • Zobrazit všechny toky mezi 16:25 a 17:25, agregovat obousměrné toky (-B):
  • nfdump -R /tmp/netflow/nfcapd.202006011625:nfcapd.202006011725 -B
    • Typ/ID zobrazení motoru, zdrojová adresa+port a cílová adresa+por pro všechny toky:
  • nfdump -r /tmp/netflow/nfcapd.202006011625 -o „fmt:%eng %sap %dap“

Interoperabilita ID motoru

  • Netflow v5 definuje dva 8bitové identifikátory: Engine Type a Engine ID. Sonda na routerech Advantech posílá pouze Engine ID (0..255). Typ motoru bude vždy nula (0). Tok odeslaný s ID motoru = 513 (0x201) bude tedy přijat jako Typ/ID motoru = 0/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-9
  • Netflow v9 definuje jeden 32bitový identifikátor. Sonda na routerech Advantech může posílat libovolné 32bitové číslo, jakkoli jiní výrobci (např. Cisco) rozdělili identifikátor na dva rezervované bajty, za nimiž následuje Engine Type a Engine ID. Přijímač postupuje stejným způsobem.
  • Tok odeslaný s ID motoru = 513 (0x201) bude tedy přijat jako Typ/ID motoru = 2/1.ADVANTECH-Router-App-NetFlow-Pfix-FIG-10
  • IPFIX definuje jeden 32bitový identifikátor. Sonda na routerech Advantech může odeslat libovolné 32bitové číslo, ale místní kolektor tuto hodnotu zatím neukládá. Jakýkoli průtok bude tedy přijat jako Typ/ID motoru = 0/0.ADVANTECH-Router-App-NetFlow-Pfix-FIG-11
  • Doporučení: Pokud chcete uložit Engine ID do místního kolektoru, zaškrtněte v konfiguraci Store Exporting Engine ID, použijte Engine ID < 256 a vyhněte se používání protokolu IPFIX.
  • Časové limity provozu
  • Sonda exportuje celé toky, tedy všechny pakety, které k sobě patří. Pokud nejsou po danou dobu pozorovány žádné pakety (Inactive Traffic Timeout), tok je považován za dokončený a sonda odešle provozní informace do kolektoru.
  • Informace o a file přenos se tak objeví v kolektoru po dokončení přenosu, což může trvat značnou dobu. Pokud je přenos aktivní příliš dlouho (Active Traffic Timeout), zobrazí se jako několik kratších toků.
  • Napřample, s časovým limitem 30 minut aktivního provozu se 45minutová komunikace zobrazí jako dva toky: jeden 30 minut a jeden 15 minut.

Časové limity provozu

  • Sonda exportuje celé toky, tedy všechny pakety, které k sobě patří. Pokud nejsou po danou dobu pozorovány žádné pakety (Inactive Traffic Timeout), tok je považován za dokončený a sonda odešle provozní informace do kolektoru.
  • Informace o a file přenos se tak objeví v kolektoru po dokončení přenosu, což může trvat značnou dobu. Pokud je přenos aktivní příliš dlouho (Active Traffic Timeout), objeví se jako několik kratších toků. Napřample, s časovým limitem 30 minut aktivního provozu se 45minutová komunikace zobrazí jako dva toky: jeden 30 minut a jeden 15 minut.ADVANTECH-Router-App-NetFlow-Pfix-FIG-12

Související dokumenty

  • Dokumenty k produktu můžete získat na Engineering Portal na adrese icr.advantech.cz.
  • Chcete-li získat příručku pro rychlý start, uživatelskou příručku, konfigurační příručku nebo firmware vašeho routeru, přejděte na stránku Router Models, vyhledejte požadovaný model a přepněte na kartu Manuals nebo Firmware.
  • Instalační balíčky a příručky Router Apps jsou k dispozici na stránce Router Apps.
  • Pro vývojové dokumenty přejděte na stránku DevZone.

Dokumenty / zdroje

ADVANTECH Router App Net Flow Pfix [pdfUživatelská příručka
Aplikace routeru Net Flow Pfix, App Net Flow Pfix, Net Flow Pfix, Flow Pfix, Pfix

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *