تكوين NetFlow/IPFIX لمدخل بيانات تتبع الاستخدام على SNA
المقدمة
يصف هذا المستند أفضل الممارسات والتكوين الأساسي ل NetFlow/IPFIX الذي يحتاج إليه تحليلات الشبكة الآمنة (SNA) للقياس عن بعد.
المتطلبات الأساسية
- معرفة Cisco SNA
- معرفة NetFlow/IPFIX
المتطلبات
- تحليلات الشبكة الآمنة في 7.2.1 أو أحدث
- مجمع التدفق في 7.2.1 أو أحدث
- وصول CLI كجذر لمجمع التدفق
المكونات المستخدمة
- يعتمد هذا بالكامل على تصميم الشبكة والأجهزة التي قمت بتحديدها لإرسال NetFlow/IPFIX لتأمين تحليلات الشبكة. تكوين NetFlow/IPFIX مختلف على كل مصدر، للحصول على تكوين مفصل، الرجاء الاتصال بفريق الدعم لكل مصدر.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
مجمع التدفق هو جهاز SNA مسؤول عن تجميع تدفقات الشبكة ومعالجتها وتخزينها التي يتم إرسالها إلى تحليلات الشبكة الآمنة. بالنسبة للإصدار 9 من NetFlow أو IPFIX، يمكن تضمين عدة حقول على قالب NetFlow/IPFIX لإضافة مزيد من المعلومات المتعلقة بحركة مرور الشبكة، ومع ذلك، هناك 9 حقول محددة يجب تضمينها في قالب NetFlow/IPFIX لمجمع التدفق لمعالجة هذه التدفقات. لا يقوم "مجمع التدفق" بمعالجة التدفقات الواردة التي تتضمن قالبا غير صالح، لذلك لا يعرض SNA معلومات تدفق هؤلاء المصدرين ضمن واجهة مستخدم ويب أو عميل سطح المكتب.
التكوين
الحقول المطلوبة
يجب تضمين الحقول التالية في قالب NetFlow/IPFIX لتطبيق TeleEmetry. تأكد من تضمين هذه الحقول التسعة في قالب NetFlow/IPFIX، من أجل تحليلات الشبكة الآمنة لمعالجة التدفقات الواردة.
- عنوان IP المصدر
- غاية عنوان IP
- منفذ المصدر
- غاية ميناء
- بروتوكول الطبقة 3
- عدد وحدات البايت
- عدد الحزم
- وقت بدء التدفق
- وقت انتهاء التدفق
ملاحظة: يمكن تضمين المزيد من الحقول في تكوين NetFlow/IPFIX، ومع ذلك، فإن الحقول السابقة هي الحد الأدنى من متطلبات تحليلات الشبكة الآمنة ل Telemetry Ingest.
الحقول الموصى بها
يوصى بتضمين الحقول التالية على قالب NetFlow/IPFIX لجمع معلومات حول معلومات الواجهة، ويلزم هذا التكوين لإظهار معلومات الواجهة مثل الاسم والسرعة:
- إدخال الواجهة
- خرج الواجهة
أفضل الممارسات
وبالإضافة إلى ذلك، يوصى بالإعدادات التالية كأفضل الممارسات لضمان أداء تحليلات الشبكة الآمنة بشكل صحيح.
- تعيين المهلة النشطة إلى 60 ثانية
- تعيين المهلة غير النشطة إلى 15 ثانية
- تعيين مهلة القالب إلى 30 ثانية
ملاحظة: المنفذ الافتراضي ل NetFlow هو 2055، ومع ذلك يمكنك تحديد منفذ آخر، يرجى التأكد من إستخدام نفس المنفذ أثناء عملية LC-ast على مجمع (مجمعات) التدفق.
التحقق من الصحة
للتحقق من تكوين قالب NetFlow/IPFIX، يمكنك تشغيل التقاط حزمة بين المصدر مجمع التدفق. قم بتسجيل الدخول إلى مجمع التدفق مع المستخدم الجذري عبر SSH وأمر التشغيل:
tcpdump -nli [Collecting_Interface] host [Exporter_IP_Address] and port [NetFlow_Port] -w /lancope/var/tcpdump/[file_name].pcap
- أستخدم أداة SCP لتصدير التقاط الحزمة من مجمع التدفق (الموجود في /lancope/var/tcpdump) إلى الجهاز المحلي ثم فتحه على Wireshark
- التعرف على الإطار الذي تم إستلام قالب NetFlow/IPFIX فيه وفتحه للتحقق من صحة الحقول التي يتضمنها القالب
ملاحظة: يمكن أن تبدو أسماء الحقول المعروضة مختلفة على كل مصدر، وهذا مجرد مرجع لكيفية التحقق من صحة هذه الحقول.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
15-Jun-2023 |
الإصدار الأولي |
التعليقات