Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 NetFlow 设置

使用预定义的 NetFlow 模板

NetFlow 模板提供了一种机制,用于识别和解码传入的流数据,然后再将其发送至Paragon Insights 中进一步处理。

  1. 单击左侧导航栏中的配置>数据引入>设置
  2. 单击“收录设置”页面上的“NetFlow”选项卡。
  3. 在“NetFlow 设置”页上,查看要在规则中使用的可用模板。

Usage Notes:

  • 请注意,NetFlow v9 和 v10 都有适用于 IPv4、IPv6、MPLS、MPLS-IPv4、MPLS-IPv6 和 VPLS 的默认流模板。

  • NetFlow 模板包括识别模式(称为包含字段和排除字段),有助于识别、识别和分类传入消息。

  • 由于 NetFlow 消息不区分键和值(所有字段都只是传入数据),因此模板指定应将哪些字段视为原始数据的键。

创建自定义 NetFlow 模板

如果现有模板不能满足您的需求,您可以创建自己的模板。您还可以使用自定义模板来支持其他供应商的设备。

  1. 在“Netflow 设置”页上,单击加号 (+) 图标。
  2. 在显示的“添加模板”窗口中,填写以下字段(您可以保留其他设置不变):
    • 模板名称 - 为模板命名

    • 描述 - 提供模板的说明

    • NetFlow 版本 — 选择 Netflow v9 或 Netflow v10

    • 优先级 - 根据优先级选择 1 到 10 之间的任何值

    • 包括字段 - 添加一个或多个要包含在要使用的模板中的字段

    • 排除字段 - 添加一个或多个不希望包含在要使用的模板中的字段

    • 键字段 - 指定传入消息中的哪些字段应被视为键

  3. 单击保存和部署

    现在,您应该会看到模板已添加到“NetFlow 设置”页面。

  4. (可选)重复上述步骤以创建更多模板。

Usage Notes:

  • 优先级 - 当 playbook 包含使用流量传感器的多个规则时,优先级值标识哪个传感器和模板优先于其他传感器和模板。

  • 包含/排除字段 - 包含字段以帮助识别要使用的模板,或至少是要使用的模板的“短列表”;排除字段,然后缩小到单个所需模板。

    • 示例 1 - 考虑 hb-ipfix-ipv4-template 模板:它包含两个 IPv4 字段,用于缩小到 hb-ipfix-ipv4 模板和 hb-ipfix-mpls-ipv4-template,并排除一个 MPLS 字段以消除 hb-ipfix-mpls-ipv4-template,只留下 hb-ipfix-ipv4 模板

    • 示例 2 - 考虑 hb-ipfix-mpls-ipv4-template 模板:它包含相同的两个 IPv4 字段,以缩小到 hb-ipfix-ipv4-template 和 hb-ipfix-mpls-ipv4-template 它还包括一个 MPLS 字段,该字段会立即删除前一个模板,并将后者保留为要使用的模板。

删除网络流模板

要删除 NetFlow 模板:

  1. 单击左侧导航栏中的配置>数据引入>设置

    将显示“引入设置”页面。

  2. 单击“NetFlow”选项卡以查看“NetFlow设置”页面。
  3. 选择要删除的模板,然后单击删除(垃圾桶)图标。

    此时将显示 确认删除模板 弹出窗口。

  4. 执行下列操作之一:
    图1:确认删除模板弹出窗口 Confirm Delete Template Pop-up
    • 单击“ ”从数据库中删除模板。但是,这些更改不会应用于引入服务。
      注意:
      • 我们建议您不要删除当前正在使用的 NetFlow 设置。

      • 从数据库中删除特定 NetFlow 设置后,即使尚未部署更改,也无法在新设备或设备组中配置该 NetFlow 设置。

      • 还可以从 “运行状况配置部署状态 ”页将更改部署到引入服务或回滚已删除的更改。有关更多信息,请参阅在 Paragon Insights 中提交或回滚配置更改

    • 选中 “部署 更改”复选框,然后单击“ ”从数据库中删除模板,并将更改应用于引入服务。
    • (可选)单击“ ”取消此操作。

    网络流模板将被删除。

克隆现有 NetFlow 模板

克隆现有 NetFlow 模板:

  1. 单击左侧导航栏中的配置>数据引入>设置

    将显示“引入设置”页面。

  2. 单击“NetFlow”选项卡以查看“NetFlow设置”页面。
  3. 要克隆特定模板,请单击克隆

    将显示克隆模板: <>name of template 页面。

    在克隆模板: <>name of template 页面中,您可以

    • 编辑 “名称”、“ 说明”和 “优先级 ”部分。

    • Netflow v9Netflow v10 版本之间进行选择。

    • “包括字段”、“排除字段”和“键字段”中添加或排除字段

  4. 进行必要的编辑后,单击“保存”以保存修改并克隆模板。

    或者,单击“保存并部署”以保存修改、克隆模板并 部署 模板。

配置流源 IP 地址

Paragon Insights 接收的原始流数据采用二进制格式且不可读。为了使这些数据可用,Paragon Insights 按如下方式处理传入的流数据:

  • Paragon Insights 侦听已配置端口上的传入流数据

  • 由于 NetFlow 消息不包含标识发送设备的字段,因此 Paragon Insights 使用配置的源 IP 地址来派生设备 ID。

  • 模板识别和解码传入的流数据,以确定其中包含哪些字段

    生成的解码和规范化数据现在采用可读和可用的格式。

  • 然后,Paragon Insights 会执行用户在相应规则中定义的进一步标记、规范化和聚合。

  • 最后,时间序列数据库 (TSDB) 接收数据。这就是触发器评估之类的事情发生的地方。

警告:

对于 NetFlow 摄取,请确保设备和 Paragon Insights 之间的网络路径中没有源 NAT。如果网络路径包含源 NAT,则接收的设备信息不准确。

要在设备配置中配置源 IP 地址,请执行以下操作:

  1. 转到配置>设备

    您将转到“设备”页面。

  2. 选择要配置为发送流数据的设备,然后单击编辑按钮(铅笔图标)。

    您将转到“编辑 Device-Name ”页面。

  3. 单击设备 ID 详细信息插入符号,然后在流源 IP 字段中输入源 IP 地址。

    如果要输入多个源 IP 地址,请用逗号分隔每个地址。

  4. 单击“确定”。

要在设备组配置中配置源 IP 地址,请执行以下操作:

  1. 转到 配置>设备组

    您将转到“设备组配置”页。

  2. 选择要配置为发送流数据的设备组,然后单击编辑按钮(铅笔图标)。

    您将转到“编辑设备组”页面。

  3. 单击 高级 插入符号,然后在流引入部署节点字段中输入源 IP 地址。

    如果要输入多个源 IP 地址,请用逗号分隔每个地址。

  4. 单击 保存和部署

配置流端口

要在设备组中配置流端口:

  1. 转到配置>设备组

    您将转到“设备组配置”页。

  2. 选择要配置为发送流数据的设备组,然后单击编辑按钮(铅笔图标)。

    您将转到“编辑设备组”页面。

  3. 单击“高级>端口”插入符号,然后在“流端口”字段中输入 NetFlow 传感器接收器端口。

    如果要输入多个端口,请用逗号分隔每个端口。

  4. 单击保存和部署