FortiSwitchGuías técnicas

Soporte Netflow/IPFIX en FortiSwitch con la versión 6.2

El protocolo Netflow/IPFIX permite recolectar información del tráfico IP que está pasando por la red.

Los dispositivos que habilitan dicho protocolo generan “registros de netflow” que se mandan a un recolector central, estos paquetes contienen una pequeña cantidad de información sobre lo que pasa en tu infraestructura.

En ningún momento se mandan los datos en crudo solamente datos estadísticos, la información suministrada esta relacionada con las capas 3 y 4, direcciones IP, puertos, protocolos u otros detalles. Una vez almacenada y analizada dicha información el administrador puede tener un dibujo claro de los servicios que están corriendo en toda su infraestructura.

A partir de la versión 6.2 los equipos FortiSwitch de Fortinet soportan Netflow (v1, v5, v9) e IPFIX (Exportar información de IP Flow), esta información de muestreo estará disponible en FortiAnalyzer (y FortiView) a través de nuevas estadísticas de tráfico y vistas topológicas. Estos datos de muestreo se pueden utilizar para ver que usuarios o dispositivos situados en los conmutadores generan el mayor tráfico de red.

Ahora podemos configurar Netflow/IPFIX en FortiSwitch gestionados por FortiGate:

Podemos configurar los parámetros relacionados con “flow-tracking” de la siguiente manera:

# conf switch-controller  flow-tracking

(flow-tracking) # get

sample-mode         : perimeter 

sample-rate         : 512

format              : netflow9 

collector-ip        : 0.0.0.0         ——> all-zero IP address implies disabled

collector-port      : 0

transport           : udp 

level               : ip 

filter              :                         ——-> complies with tcpdump/wireshark filter syntax

max-export-pkt-size : 512

timeout-general     : 3600

timeout-icmp        : 300

timeout-max         : 604800

timeout-tcp         : 3600

timeout-tcp-fin     : 300

timeout-tcp-rst     : 120

timeout-udp         : 300 aggregates:

Actualmente se encuentran disponibles las siguientes opciones de muestreo:

  • Perimeter sampling: Las muestras de tráfico RX se habilitan en todos los puertos de FortiSwitch non-fabric, incluyendo puertos de acceso y FortiLink, pero no en los puertos de ISL
  • Device-Ingress sampling: Las muestras de tráfico RX se habilitan en todos los puertos del FortiSwitch.
  • Local sampling: Las muestras se permiten en puertos específicos del FortiSwitch.
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *