配置 NetFlow 设置
使用预定义的 NetFlow 模板
NetFlow 模板提供了一种机制,用于识别和解码传入的流数据,然后再将其发送至Paragon Insights 中进一步处理。
- 单击左侧导航栏中的配置>数据引入>设置。
- 单击“收录设置”页面上的“NetFlow”选项卡。
- 在“NetFlow 设置”页上,查看要在规则中使用的可用模板。
Usage Notes:
-
请注意,NetFlow v9 和 v10 都有适用于 IPv4、IPv6、MPLS、MPLS-IPv4、MPLS-IPv6 和 VPLS 的默认流模板。
-
NetFlow 模板包括识别模式(称为包含字段和排除字段),有助于识别、识别和分类传入消息。
-
由于 NetFlow 消息不区分键和值(所有字段都只是传入数据),因此模板指定应将哪些字段视为原始数据的键。
创建自定义 NetFlow 模板
如果现有模板不能满足您的需求,您可以创建自己的模板。您还可以使用自定义模板来支持其他供应商的设备。
Usage Notes:
-
优先级 - 当 playbook 包含使用流量传感器的多个规则时,优先级值标识哪个传感器和模板优先于其他传感器和模板。
-
包含/排除字段 - 包含字段以帮助识别要使用的模板,或至少是要使用的模板的“短列表”;排除字段,然后缩小到单个所需模板。
-
示例 1 - 考虑 hb-ipfix-ipv4-template 模板:它包含两个 IPv4 字段,用于缩小到 hb-ipfix-ipv4 模板和 hb-ipfix-mpls-ipv4-template,并排除一个 MPLS 字段以消除 hb-ipfix-mpls-ipv4-template,只留下 hb-ipfix-ipv4 模板。
-
示例 2 - 考虑 hb-ipfix-mpls-ipv4-template 模板:它包含相同的两个 IPv4 字段,以缩小到 hb-ipfix-ipv4-template 和 hb-ipfix-mpls-ipv4-template。 它还包括一个 MPLS 字段,该字段会立即删除前一个模板,并将后者保留为要使用的模板。
-
删除网络流模板
要删除 NetFlow 模板:
克隆现有 NetFlow 模板
克隆现有 NetFlow 模板:
配置流源 IP 地址
Paragon Insights 接收的原始流数据采用二进制格式且不可读。为了使这些数据可用,Paragon Insights 按如下方式处理传入的流数据:
-
Paragon Insights 侦听已配置端口上的传入流数据
-
由于 NetFlow 消息不包含标识发送设备的字段,因此 Paragon Insights 使用配置的源 IP 地址来派生设备 ID。
-
模板识别和解码传入的流数据,以确定其中包含哪些字段
生成的解码和规范化数据现在采用可读和可用的格式。
-
然后,Paragon Insights 会执行用户在相应规则中定义的进一步标记、规范化和聚合。
-
最后,时间序列数据库 (TSDB) 接收数据。这就是触发器评估之类的事情发生的地方。
对于 NetFlow 摄取,请确保设备和 Paragon Insights 之间的网络路径中没有源 NAT。如果网络路径包含源 NAT,则接收的设备信息不准确。
要在设备配置中配置源 IP 地址,请执行以下操作:
要在设备组配置中配置源 IP 地址,请执行以下操作:
-
转到 配置>设备组。
您将转到“设备组配置”页。
-
选择要配置为发送流数据的设备组,然后单击编辑按钮(铅笔图标)。
您将转到“编辑设备组”页面。
-
单击 高级 插入符号,然后在流引入部署节点字段中输入源 IP 地址。
如果要输入多个源 IP 地址,请用逗号分隔每个地址。
-
单击 保存和部署。
配置流端口
要在设备组中配置流端口: