Netflow
В статье описана настройка экспорта статистики трафика на коллектор во внешней или локальной сети по протоколу Netflow.
Last updated
Was this helpful?
В статье описана настройка экспорта статистики трафика на коллектор во внешней или локальной сети по протоколу Netflow.
Last updated
Was this helpful?
Netflow - проприетарный открытый протокол, разработанный Cisco для мониторинга статистики трафика в сети. Ideco NGFW выступает в качестве сенсора-экспортера, который собирает статистику при прохождении через него трафика.
Netflow обеспечивает сбор информации об IP-трафике, обрабатываемом сетевыми устройствами (L3-коммутаторы, маршрутизаторы, сенсоры). Каждый поток является однонаправленным, т.е. каждое двунаправленное соединение src <--> dst интерпретируется как два потока: src -> dst и dst -> src.
При включении Netflow рекомендуем настроить индексы Netflow для интерфейсов, статистику по которым планируется передавать. Это можно сделать в настройках сетевых интерфейсов, значение по умолчанию - 0. Индексы Netflow не меняются при включении/выключении или изменении интерфейса.
Идентификаторами потоков служат индексы Netflow. Потоки с одинаковыми индексами для сбора статистики проходят через один интерфейс учета трафика.
Для настройки Netflow перейдите на вкладку Мониторинг -> Netflow:
Версия протокола - выберите версию протокола Netflow. Доступны Netflow 5, Netflow 9 (по умолчанию) и Netflow 10 (IPFIX);
Интерфейсы учета трафика - выберите интерфейсы, трафик которых хотите мониторить (доступны Ethernet-интерфейсы, Ethernet + PPTP/L2TP/PPPoE, GRE, локальный VPN-трафик, IPsec, GRE over IPsec). Если не заполнены, статистика не будет экспортироваться;
Интервал отправки для активного потока, секунды - введите временной интервал, через который NGFW будет отправлять на коллектор отчеты по потокам, которые не успели завершиться (информация о завершенных потоках отправляется по завершении). От 60 до 3600 секунд, по умолчанию - 300;
IP-адрес коллектора - введите IP-адрес коллектора данных. Если не заполнен, статистика не будет экспортироваться;
Порт коллектора - введите номер UDP-порта коллектора данных, используемого для приема пакетов Netflow;
Интервал отправки шаблона, пакеты - количество пакетов, через которое на коллектор будет послан шаблон. Минимум 10, максимум 6000, по умолчанию - 20. Доступно только при выборе Netflow 9 или Netflow 10 (IPFIX) в поле Версия протокола;
Интервал отправки шаблона, секунды - количество секунд, через которое на коллектор будет послан шаблон. Минимум 60, максимум 86400, по умолчанию - 1800. Доступно только при выборе Netflow 9 или Netflow 10 (IPFIX) в поле Версия протокола.
При сборе статистики с интерфейсов Ethernet + PPTP/L2TP/PPPoE будет учитываться трафик не на родительском Veth, а на PPP-интерфейсе (Eppp), трафик с которого инкапсулируется в родительский.
Данные в Netflow передаются по протоколу UDP. Поэтому пока коллектор не получит шаблон передаваемых данных, отчеты будут игнорироваться. Правильная настройка полей Интервал отправки шаблона позволяет минимизировать потери при потере связи с коллектором или его перезагрузке.
Структура заголовка и записей для Netflow 5 доступна по ссылке.
Структура шаблона для Netflow 9 и Netflow 10 (IPFIX) представлена в таблице:
IPV4_SRC_ADDR
8
4
IP-адрес источника
IPV4_DST_ADDR
12
4
IP-адрес назначения
INPUT_SNMP
10
2
Индекс входящего интерфейса
OUTPUT_SNMP
14
2
Индекс исходящего интерфейса
IN_BYTES
1
8
Количество байт, переданных в потоке
IN_PKTS
2
8
Количество пакетов переданных в потоке
FIRST_SWITCHED
22
4
Время начала потока (sys uptime ms)
LAST_SWITCHED
21
4
Время последнего прохождения трафика в потоке (sys uptime ms)
L4_SRC_PORT
7
2
Порт источника
L4_DST_PORT
11
2
Порт назначения
TCP_FLAGS
6
1
Флаги TCP (суммарно зафиксированные за время наблюдения потока)
PROTOCOL
4
1
Код протокола
SRC_MASK
9
1
Маска IP-адреса источника
DST_MASK
13
1
Маска IP-адреса назначения
