Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置 NetFlow 设置

使用预定义的 NetFlow 模板

NetFlow 模板提供了一种机制,用于在将传入流数据发送至 Paragon Insights 中进行进一步处理之前对其进行识别和解码。

  1. 单击左侧导航栏中的配置>数据引入>设置
  2. 单击 Ingest Settings 页面上的 NetFlow 选项卡。
  3. 在 NetFlow 设置页面上,查看要在规则中使用的可用模板。

Usage Notes:

  • 请注意,NetFlow v9 和 v10 中的每一个都有 IPv4、IPv6、MPLS、MPLS-IPv4、MPLS-IPv6 和 VPLS 的默认流模板。

  • NetFlow 模板包括称为包含字段和排除字段的识别模式,有助于识别、识别和分类传入消息。

  • 由于 NetFlow 消息不区分键和值(所有字段都只是传入数据),因此模板指定哪些字段应被视为原始数据的键。

创建自定义 NetFlow 模板

如果现有模板不能满足您的需求,您可以创建自己的模板。您还可以使用自定义模板来支持其他供应商的设备。

  1. 在 Netflow 设置页面上,单击加号 (+) 图标。
  2. 在显示的“添加模板”窗口中,填写以下字段(可以保留其他设置不变):

    • 模板名称 - 为模板命名

    • 描述 - 提供模板的描述

    • NetFlow 版本 - 选择 Netflow v9Netflow v10

    • 优先级 - 根据优先级选择 1 到 10 之间的任意值

    • 包含字段 - 添加要包含在要使用的模板中的一个或多个字段

    • 排除字段 (Exclude Fields) - 添加一个或多个您不希望包含在要使用的模板中的字段

    • 键字段 - 指定传入消息中的哪些字段应被视为键

  3. 单击“Save & Deploy

    现在,您应该会看到添加到 NetFlow 设置页面的模板。

  4. (可选)重复上述步骤以创建更多模板。

Usage Notes:

  • 优先级 - 当作指南包含使用流量传感器的多个规则时,优先级值标识哪个传感器和模板优先于其他传感器和模板。

  • 包含/排除字段 - 包括有助于识别要使用的模板的字段,或者至少是要使用的模板的“短列表”;排除字段,然后缩小到单个所需模板。

    • 示例 1 - 考虑 hb-ipfix-ipv4-template 模板:它包括两个 IPv4 字段以缩小到 hb-ipfix-ipv4-templatehb-ipfix-mpls-ipv4-template,并排除一个 MPLS 字段以消除 hb-ipfix-mpls-ipv4-template,仅留下 hb-ipfix-ipv4-template

    • 示例 2 - 考虑 hb-ipfix-mpls-ipv4-template 模板:它包含相同的两个 IPv4 字段,以缩小到 hb-ipfix-ipv4-templatehb-ipfix-mpls-ipv4-template。它还包括一个 MPLS 字段,该字段会立即消除前者模板,并将后者保留为模板以供使用。

删除 NetFlow 模板

要删除 NetFlow 模板,请执行以下作:

  1. 单击左侧导航栏中的配置>数据提取>设置

    此时将显示“Ingest Settings”页面。

  2. 单击 NetFlow 选项卡,查看 NetFlow 设置页面。
  3. 选择要删除的模板,然后单击删除(垃圾桶)图标。

    此时将显示 CONFIRM DELETE TEMPLATE 弹出窗口。

  4. 执行下列作之一:
    图 1:确认删除模板弹出窗口 Confirm Delete Template Pop-up
    • 单击 “是 ”从数据库中删除模板。但是,这些更改不会应用于引入服务。
      注意:

      • 建议不要删除当前正在使用的 NetFlow 设置。

      • 从数据库中删除特定的 NetFlow 设置后,即使尚未部署更改,也无法在新设备或设备组中配置该 NetFlow 设置。

      • 您还可以从 “运行状况配置部署状态 ”页部署对引入服务的更改,或回滚已删除的更改。有关更多信息,请参阅 Paragon Insights 中的提交或回滚配置更改

    • 选中 “部署更改 ”复选框,然后单击“ ”从数据库中删除模板,并将更改应用于引入服务。
    • (选答)单击 “否 ”取消此作。

    NetFlow 模板将被删除。

克隆现有 NetFlow 模板

要克隆现有 NetFlow 模板,请执行以下作:

  1. 单击左侧导航栏中的配置>数据提取>设置

    此时将显示“Ingest Settings”页面。

  2. 单击 NetFlow 选项卡,查看 NetFlow 设置页面。
  3. 若要克隆特定模板,请单击“克隆”。

    此时将显示“克隆模板: <name of template>”页面。

    在“克隆模板: <name of template>”页面中,您可以

    • 编辑 “名称”、“ 描述”和 “优先级” 部分。

    • Netflow v9Netflow v10 版本之间进行选择。

    • 包含字段排除字段关键字段中添加或排除字段。

  4. 进行必要的编辑后,单击“保存”以保存修改并克隆模板。

    或者,单击“ 保存并部署” 以保存修改、克隆模板和部署模板。

配置流源 IP 地址

Paragon Insights 接收的原始流数据为二进制格式,不可读。为了使这些数据可用,Paragon Insights 按如下方式处理传入的流数据:

  • Paragon Insights 侦听配置端口上的传入流数据

  • 由于 NetFlow 消息不包含标识发送设备的字段,因此 Paragon Insights 使用配置的源 IP 地址来派生设备 ID。

  • 模板识别和解码传入流数据,以确定其中包含哪些字段

    生成的解码和规范化数据现在采用可读和可用的格式。

  • 然后,Paragon Insights 会执行用户在相应规则中定义的进一步标记、规范化和聚合。

  • 最后,时间序列数据库(TSDB)接收数据。这就是触发评估之类的事情发生的地方。

警告:

对于 NetFlow 提取,请确保设备与 Paragon Insights 之间的网络路径中没有源 NAT。如果网络路径包含源 NAT,则接收到的设备信息不准确。

要在设备配置中配置源 IP 地址:

  1. 转到设备>配置

    您将被带到“设备”页面。

  2. 选择要配置为发送流数据的设备,然后单击编辑按钮(铅笔图标)。

    您将进入“编辑” Device-Name 页面。

  3. 单击“设备 ID 详细信息”插入符号,然后在“流源 IP”字段中输入源 IP 地址。

    如果要输入多个源 IP 地址,请用逗号分隔每个地址。

  4. 单击“确定”

要在设备组配置中配置源 IP 地址:

  1. 转到 配置>设备组

    您将进入设备组配置页面。

  2. 选择要配置为发送流数据的设备组,然后单击编辑按钮(铅笔图标)。

    您将转至“编辑设备组”页面。

  3. 单击 高级 插入符号,然后在流引入部署节点字段中输入源 IP 地址。

    如果要输入多个源 IP 地址,请用逗号分隔每个地址。

  4. 单击 Save & Deploy

配置流端口

要在设备组中配置流端口,请执行以下作:

  1. 转到配置>设备组

    您将进入设备组配置页面。

  2. 选择要配置为发送流数据的设备组,然后单击编辑按钮(铅笔图标)。

    您将转至“编辑设备组”页面。

  3. 单击“高级>端口”插入符号,然后在“流端口”字段中输入 NetFlow 传感器接收器端口。

    如果要输入多个端口,请用逗号分隔每个端口。

  4. 单击 Save & Deploy

相关主题