流源
JSA 可以接收来自多种不同类型的流源的流。流源分为内部或外部。
内部流源
内部流源可以从网络抽头设备或者连接到网络接口卡的跨度端口或镜像端口收集原始数据包。这些源提供原始数据包数据,就像它出现在网络上一样,并将其发送至 JSA 流处理器上的监控端口,后者会将数据包数据转换为流记录。
内部流源可以是多线程的。 JSA 不会保留整个数据包有效负载。相反,它从通信开始时只捕获部分数据包。此快照称为 有效负载 或 内容捕获。
外部流源
JSA 还支持外部流源,例如发送 NetFlow、IPFIX、 sFlow J-Flow 和 Packeteer 数据等通用网络监控协议的路由器。
这些外部流源可以提供与内部流源不同的可见性级别。例如, NetFlow 记录可以提供所交叉数据包的路由器接口以及始发网络的 ASN 记录编号。使用 IPFIX 时,未解析为规范化字段的其他字段可以作为名称值对放入有效负载中,然后可用作自定义属性。
处理外部源不需要那么多的 CPU 利用率,因此可以直接将其发送至 流处理器。在此配置中,您可以拥有一个专用 的流处理器,用于接收和创建流数据。
NetFlow
NetFlow 是由 Cisco Systems 开发的一种专有计费技术。 NetFlow 监控通过交换机或路由器的流量,并解读使用的客户端、服务器、协议和端口。它还会计算字节和数据包的数量,并将这些数据发送至 NetFlow 收集器。
从 NetFlow 发送数据的过程通常被称为 NetFlow 数据导出 (NDE)。
JSA 接受 NetFlow 数据导出 (NDE),以便用作 NetFlow 收集器。 JSA 支持 NetFlow 版本 1、5、7 和 9。
虽然 NetFlow 扩大了受监控的网络数量,但它使用无连接协议 (UDP) 来提供 NDE。从交换机或路由器发送 NDE 后, NetFlow 记录将被清除。UDP 不保证数据的交付。因此, NetFlow 流源可能会同时显示不准确的流量和双向流量,并降低警报功能。
有关 NetFlow 的更多信息,请参阅 Cisco 网站。
NetFlow 流源配置
为 NetFlow 配置外部流源时,必须执行以下任务:
-
请确保配置了适当的防火墙规则。
如果在流处理器配置中更改外部流源监控端口参数,则还必须更新防火墙访问配置。
-
请确保为您的 流处理器配置了相应的端口。
有关更多信息,请参阅 配置流处理器。
NetFlow 流源模板
瞻博网络 建议 NetFlow 流源模板中至少包含以下字段:
-
FIRST_SWITCHED
-
LAST_SWITCHED
-
协议
-
IPV4_SRC_ADDR
-
IPV4_DST_ADDR
-
L4_SRC_PORT
-
L4_DST_PORT
-
IN_BYTES或OUT_BYTES
-
IN_PKTS或OUT_PKTS
-
TCP_FLAGS(仅限 TCP 流)
支持字段
以下列表显示了 NetFlow 流源支持的一些字段类型。
VLAN 字段
NetFlow 支持以下 VLAN 字段:
-
vlanId (IANA 元素 ID 58)
-
postVlanId(IANA 元素 ID 59)
-
dot1qVlanId (IANA 元素 ID 243)
-
dot1qPriority (IANA 元素 ID 244)
-
dot1q客户VlanId (IANA 元素 ID 245)
-
dot1q客户优先性 (IANA 元素 ID 246)
-
postDot1qVlanId (IANA 元素 ID 254)
-
postDotq客户VlanId (IANA 元素 ID 255)
-
dot1qDEI (IANA 元素 ID 388)
-
dot1q客户DEI (IANA 元素 ID 389)
MAC 地址字段
NetFlow 支持以下 MAC 地址字段:
-
sourceMacAddress (IANA 元素 ID 56)
-
后部署Mac地址 (IANA 元素 ID 57)
-
目标 Mac 地址 (IANA 元素 ID 80)
-
postSourceMac 地址 (IANA 元素 ID 81)
IPFIX
互联网协议流信息导出 (IPFIX) 是一种计费技术,用于监控通过交换机或路由器的流量。它会解释流量,以确定使用的客户端、服务器、协议和端口。它还会计算字节和数据包的数量,并将这些数据发送至 IPFIX 收集器。
发送 IPFIX 数据的过程通常被称为 NetFlow 数据导出 (NDE),但与 NetFlow v9 相比,IPFIX 提供更多的流信息和更深入的洞察。
JSA 接受 NDE,以便充当 IPFIX 收集器。IPFIX 使用用户数据报协议 (UDP) 来提供 NDE。从 IPFIX 转发设备发送 NDE 后,可能会清除 IPFIX 记录。
IPFIX 流源配置
为 IPFIX 配置外部流源时,必须执行以下任务:
-
添加 NetFlow 流源。
注意:您的 JSA 可能包含默认的 NetFlow 流源。如果有,JSA 可以使用默认的 NetFlow 流源来处理 IPFIX 流。
要确认您的系统是否包含默认的 NetFlow 流源,请在 “管理员 ”选项卡中选择 “流源”。如果流源列表中列出了 default_Netflow ,则 IPFIX 已配置。
-
请确保配置了相应的防火墙规则。
如果在流处理器配置中更改外部流源监控端口参数,则还必须更新防火墙访问配置。
-
请确保为您的 流处理器配置了相应的端口。
有关更多信息,请参阅 配置流处理器。
IPFIX 流源模板
确保来自 IPFIX 源的 IPFIX 模板包含以下 IANA 列出的信息元素:
-
协议定义 (4)
-
源 IPv4 地址 (8)
-
目标 IPv4 地址 (12)
-
源传输端口 (7)
-
目标传输端口 (11)
-
八位点 (1) 或后十位位数 (23)
-
packetDeltaCount (2) 或 postPacketDeltaCount (24)
-
tcpControlBits (6)(仅限 TCP 流)。
-
flowStartSeconds (150) 或 flowStartMilliseconds (152) 或 flowStartDeltaMicroseconds (158)
-
flowEndSeconds (151) 或 flowEndMilliseconds (153) 或 flowEndDeltaMicroseconds (159)
支持字段
以下列表显示了 IPFIX 流源支持的一些字段类型。
要添加对 JSA 未显示的其他 IPFIX 字段的支持,您可以使用 /api/ariel/标记字段 API 创建新的标记字段。
VLAN 字段
IPFIX 支持以下 VLAN 字段:
-
vlanId (IANA 元素 ID 58)
-
postVlanId(IANA 元素 ID 59)
-
dot1qVlanId (IANA 元素 ID 243)
-
dot1qPriority (IANA 元素 ID 244)
-
dot1q客户VlanId (IANA 元素 ID 245)
-
dot1q客户优先性 (IANA 元素 ID 246)
-
postDot1qVlanId (IANA 元素 ID 254)
-
postDot1q 客户VlanId (IANA 元素 ID 255)
-
dot1qDEI (IANA 元素 ID 388)
-
dot1q客户DEI (IANA 元素 ID 389)
MAC 地址字段
IPFIX 支持以下 MAC 地址字段:
-
sourceMacAddress (IANA 元素 ID 56)
-
后部署Mac地址 (IANA 元素 ID 57)
-
目标 Mac 地址 (IANA 元素 ID 80)
-
postSourceMac 地址 (IANA 元素 ID 81)
网络地址转换 (NAT) 字段
网络地址转换 (NAT) 和网络地址端口转换 (NAPT) 支持以下字段:
-
后NAT源IPv4地址 (IANA 元素 ID 225)
-
后NAT部署IPv4地址 (IANA 元素 ID 226)
-
postNAPTSourceTransportPort (IANA 元素 ID 227)
-
后NAPT导入传输端口(IANA 元素 ID 228)
MPLS 字段
IPFIX 支持以下 MPLS 字段:
-
mplsTopLabelType (IANA 元素 46)
-
mplsTopLabelIPv4 地址 (IANA 元素 47)
-
mplsTopLabelStackSection (IANA 元素 70)
-
mplsLabelStackSection2 (IANA 元素 71)
-
mplsLabelStackSection3 (IANA 元素 72)
-
mplsLabelStackSection4 (IANA 元素 73)
-
mplsLabelStackSection5 (IANA 元素 74)
-
mplsLabelStackSection6 (IANA 元素 75)
-
mplsLabelStackSection7 (IANA 元素 76)
-
mplsLabelStackSection8 (IANA 元素 77)
-
mplsLabelStackSection9 (IANA 元素 78)
-
mplsLabelStackSection10 (IANA 元素 79)
-
mplsVpnRouteDistinguisher (IANA 元素 90)
-
mplsTopLabelPrefixLength (IANA 元素 91)
-
mplsTopLabelIPv6 地址 (IANA 元素 140)
-
mplsPayloadLength (IANA 元素 194)
-
mplsTopLabelTTL (IANA 元素 200)
-
mplsLabelStackLength (IANA 元素 201)
-
mplsLabelStackDepth (IANA 元素 202)
-
mplsTopLabelExp (IANA 元素 203)
-
postMplsTopLabelExp (IANA 元素 237)
-
伪线类型 (IANA 元素 250)
-
伪线控制字 (IANA 元素 251)
-
mplsLabelStackSection (IANA 元素 316)
-
mplsPayloadPacket 部分 (IANA 元素 317)
-
部分关闭 (IANA 元素 409)
-
部分ExportedOctets (IANA 元素 410)
sFlow
sFlow 是一种多供应商和用户采样技术标准,可同时为所有接口上的应用程序级流量提供持续监控。
sFlow 将接口计数器和流样本组合到 sFlow 数据报中,然后通过网络发送到 sFlow 收集器。sFlow 流量基于取样数据,因此可能无法代表所有网络流量。
JSA 支持 sFlow 版本 2、4 和 5 的流源。
sFlow 使用无连接协议 (UDP)。从交换机或路由器发送数据时, 将清除 sFlow 记录。UDP 不保证数据的交付。因此,在使用 sFlow 流源时,可能会同时显示不准确的流量和双向流量,并降低警报功能。
有关更多信息,请参阅 sFlow 网站。
J 流
J-Flow 是瞻博网络使用的一种专有计费技术,允许您收集 IP 流量统计信息。
J-Flow 允许您将数据导出到 J-Flow 收集器上的 UDP 端口。您还可以在路由器或网络接口上启用 J-Flow ,以收集网络上特定位置的网络统计信息。
J-Flow 使用无连接协议 (UDP)。从交换机或路由器发送数据时, J-Flow 记录将被清除。UDP 不保证数据的交付。因此,在使用 J-Flow 流源时,可能会同时显示不准确的流量和双向流量,并降低警报功能。 J-Flow 流量基于取样数据,因此可能无法代表所有网络流量。
有关 J-Flow 的更多信息,请参阅 瞻博网络网站。
支持的 VLAN 字段
J 流支持以下 VLAN 字段:
vlanId
postVlanId
dot1qVlanId
dot1qPriority
dot1q客户VlanId
dot1q客户优先
dot1qDEI
dot1q客户EI
postDot1qVlanId
postDotq客户VlanId
Packeteer
Packeteer 设备收集、聚合和存储网络性能数据。
为 Packeteer 配置外部流源后,可以将流信息从 Packeteer 设备发送到 JSA。
Packeteer 使用无连接协议 (UDP)。从交换机或路由器发送数据时, Packeteer 记录将被清除。由于 UDP 不能保证数据的交付,因此在使用 Packeteer 流量源时,可能会同时显示流量和双向流量不准确,并降低警报功能。
数据包流源配置
必须将 Packeteer 配置为外部流源,必须执行以下任务:
请确保配置了相应的防火墙规则。
请确保将 Packeteer 设备配置为导出流详细记录,并将 流处理器 配置为数据导出的目标。
请确保配置了相应的端口。
确保流处理器能够自动检测到 Packeteer 设备的类 ID。
有关更多信息,请参阅 配置流处理器。
网络接口
JSA 可以监控安装在系统上的任何网络接口卡上的数据包。必须为 JSA 安装网络接口卡,以便将其显示在基于数据包的可配置流源列表中。
配置 网络接口 流源时,请为每个以太网接口仅配置一个日志源。要过滤流源上的网络流量,请在过滤器 字符串 字段中指定 Berkeley 数据包过滤器 (BPF)。
配置流源并部署更改后,您可以在“ 网络活动 ”选项卡中查看网络流量。
您可以自定义 JSA 处理网络流量的方式。例如,您可以配置检测应用程序的方式、超流阈值、流方向配置和网络层次结构。您还可以编写规则、执行查询和过滤网络流量。
有关更多信息,请参阅 配置流处理器。