Netflow
В разделе можно настроить экспорт статистики трафика на коллектор во внешней или локальной сети по протоколу Netflow.
Last updated
В разделе можно настроить экспорт статистики трафика на коллектор во внешней или локальной сети по протоколу Netflow.
Last updated
Netflow - проприетарный открытый протокол, разработанный Cisco для мониторинга статистики трафика в сети. Ideco NGFW выступает в качестве сенсора-экспортера, который собирает статистику при прохождении через него трафика.
Netflow экспортирует статистику по потокам данных L3. Каждый поток является однонаправленным, т.е. каждое двунаправленное соединение интерпретируется как два потока: src -> dst и dst -> src.
При включении Netflow рекомендуем настроить индексы Netflow для интерфейсов, статистику по которым планируется передавать. Это можно сделать в настройках сетевых интерфейсов, значение по умолчанию - 0. Индексы Netflow выступают идентификаторами и не меняются при включении/выключении или изменении интерфейса.
Версия протокола - выберите версию протокола Netflow. Доступны Netflow 5, Netflow 9 (по умолчанию) и Netflow 10 (IPFIX);
Интерфейсы учета трафика - выберите интерфейсы, трафик которых хотите мониторить (доступны Ethernet-интерфейсы, Ethernet + PPTP/L2TP/PPPoE, GRE, локальный VPN-трафик, IPsec, GRE over IPsec). Если не заполнены, статистика не будет экспортироваться;
Интервал отправки для активного потока, секунды - введите временной интервал, через который NGFW будет отправлять на коллектор отчеты по потокам, которые не успели завершиться (информация о завершенных потоках отправляется по завершении). От 60 до 3600 секунд, по умолчанию - 300;
IP-адрес коллектора - введите IP-адрес коллектора данных. Если не заполнен, статистика не будет экспортироваться;
Порт коллектора - введите номер UDP-порта коллектора данных, используемого для приема пакетов Netflow;
Интервал отправки шаблона, пакеты - количество пакетов, через которое на коллектор будет послан шаблон. Минимум 10, максимум 6000, по умолчанию - 20. Доступно только при выборе Netflow 9 или Netflow 10 (IPFIX) в поле Версия протокола;
Интервал отправки шаблона, секунды - количество секунд, через которое на коллектор будет послан шаблон. Минимум 60, максимум 86400, по умолчанию - 1800. Доступно только при выборе Netflow 9 или Netflow 10 (IPFIX) в поле Версия протокола.
При сборе статистики с интерфейсов Ethernet + PPTP/L2TP/PPPoE будет учитываться трафик не на родительском Veth, а на PPP-интерфейсе (Eppp), трафик с которого инкапсулируется в родительский.
Данные в Netflow передаются по протоколу UDP.
При выборе в поле Версия протокола Netflow 9 или Netflow 10 (IPFIX) поля Интервал отправки шаблона фактически отображают допустимые потери данных при потере связи с коллектором или его перезагрузке: пока коллектор не получит шаблон передаваемых данных, отчеты будут игнорироваться.
Структура заголовка и записей для Netflow 5 доступна по ссылке.
Структура шаблона для Netflow 9 и Netflow 10 (IPFIX) представлена в таблице:
IPV4_SRC_ADDR
8
4
IP-адрес источника
IPV4_DST_ADDR
12
4
IP-адрес назначения
INPUT_SNMP
10
2
Индекс входящего интерфейса
OUTPUT_SNMP
14
2
Индекс исходящего интерфейса
IN_BYTES
1
8
Количество байт, переданных в потоке
IN_PKTS
2
8
Количество пакетов переданных в потоке
FIRST_SWITCHED
22
4
Время начала потока (sys uptime ms)
LAST_SWITCHED
21
4
Время последнего прохождения трафика в потоке (sys uptime ms)
L4_SRC_PORT
7
2
Порт источника
L4_DST_PORT
11
2
Порт назначения
TCP_FLAGS
6
1
Флаги TCP (суммарно зафиксированные за время наблюдения потока)
PROTOCOL
4
1
Код протокола
SRC_MASK
9
1
Маска IP-адреса источника
DST_MASK
13
1
Маска IP-адреса назначения
