AI摘要:

正在生成中……


# 什么是Magic Network Monitoring?

Magic Network Monitoring 通过分析从客户路由器发送的网络流量数据来提供对网络流量的可见性。Magic Network Monitoring 支持 NetFlow v5、NetFlow v9、IPFIX 和 sFlow。Magic Network Monitoring 通常可供所有拥有 Cloudflare 帐户的人使用。通过Cloudflare的全球网络节点,Magic Network Monitoring能够实时监控和分析通过企业网络的所有流量(包括进出流量),提供流量路径、协议分布、源/目的IP等详细数据,帮助管理员快速识别异常流量模式。

# 什么是NetFlow?

NetFlow 是思科开发的一种网络流量分析协议,用于收集和监控网络设备(如路由器、交换机)的流量数据。其核心功能是通过记录流经设备的数据包信息,帮助管理员分析网络行为、优化性能并增强安全性。它可以记录每个“流”(Flow)的关键信息,包括源/目的IP、端口、协议、数据包数量、传输字节等,可以用于检测异常流量,审计和计费。
NetFlow允许基于设备接口收集网络流量的统计信息,它提供了在数据进入或离开接口时收集IP网络流量的能力。通过分析NetFlow提供的数据,网络管理员可以确定流量的源和目的地、服务类别以及拥塞的原因。

# 为路由器配置NetFlow

这里,我们采用一台安装有7.2.10 M系统的 Fortigate-61E 进行演示,由于在FortiGate中,根据netflow-sampler监控的接口,发送所有此接口相关的会话信息,无法设置NetFlow的接口采样率,所以我们可以忽略Clouflare Magic Network Monitoring中的采样率设置,而路由器IP地址需要填写公网IP,如果您的路由器/交换机位于Nat后方,请填写Nat后的公网IPV4地址。

## 配置NetFlow收集器:

连接到Fortigate的CLI,由于我们使用的是FortiOs v7.2.10 M,与一本通手册上操作略有不同,输入config system netflow 命令后并按下键盘的shift+?显示帮助信息。

要配置收集器collectors,我们需要键入config命令,并按下键盘的shift+?显示帮助信息:

键入config collectors 命令配置收集器,继续输入?显示帮助信息:

我们发现,FortiOs v7.2.10 M的NetFlow提供了如上几个配置选项,我们键入edit 1命令配置收集器(1可以为任何自定义名称),这里我们只需要输入set collector-ip 162.159.65.1配置Clouflare的收集器IP,端口等配置保持默认。

键入end完成配置,完整流程如下:

config system netflow
       config collectors
        edit 1
         set collector-ip 162.159.65.1
        end
end
参数名称参数说明
collector-ip [ip]NetFlow collector的IPv4或IPv6地址(IPv6在7.2.0 GA后支持)
collector-port [port]NetFlow collector用于接收NetFlow流量的端口,默认为2055
source-ip [ip]指定FortiGate发送NetFlow流量的源IP,默认根据路由出接口指定源IP
active-flow-timeout [integer]报告活动中的会话NetFlow信息的间隔,默认为30分钟,范围1~60
inactive-flow-timeout [integer]报告已结束的会话NetFlow信息的间隔,默认为15秒,范围10~600
template-tx-timeout [integer]模板数据流的发送间隔,默认30分钟,范围1~1440
template-tx-counter [integer]数据流记录的产生计数,达到这个计数后也会发送模板数据流到collector,默认为20,范围10~6000

## 配置NetFlow采样器:

配置完收集器,还需配置采样器,采样器将从指定接口采样网络数据流,然后将其发送到Cloudflare进行分析。
由于我这里使用虚拟链路对(VWP)进行类透明模式部署,接口3为流入接口,接口4为流出接口,所以我们选择配置接口3,以方便我们更全面了解网络流量,更快识别激增的恶意流量,典型拓扑可以设置wan1或wan2口。

config system interface
       edit internal3
        set netflow-sampler both
       next
end
参数名称参数说明
disable接口下关闭NetFlow采样,默认配置
tx采样此接口发送的流量
rx采样此接口接收的流量
both同时采样此接口发送和接收的流量

稍等一段时间后,即可在Cloudflare控制台查询到NetFlow分析报告。

值得注意的是,在任何接口上配置NetFlow都不会影响NP芯片的加速功能,但如果使用的是sFlow,是无法被任何NP芯片加速的。

并且查询手册尚未得知被NP芯片加速的会话是否会导致数据不完整,故此,如果担心数据不完整,可以为单个策略禁用NP加速:

config firewall policy
       edit <policy-id>
        set auto-asic-offload disable
end

NetFlow 协议对网络占用非常低,无需担心对网络性能造成影响。

版权声明:转载时请以超链接形式标明文章原始出处和作者信息,来源孤影墨香
本文链接: https://www.iloli.xin/4419.html
访问时间:2025-03-18 03:02:55

正因为知道可以在空中翱翔,才会畏惧展翅的那一刻而忘却疾风 努力学习ing