Citrix SD-WAN Orchestrator

AppFlow und IPFIX

AppFlow und IPFIX

AppFlow und IPFIX sind Flow-Exportstandards, mit denen Anwendungs- und Transaktionsdaten in der Netzwerkinfrastruktur identifiziert und gesammelt werden. Diese Daten geben eine bessere Einsicht in die Auslastung und Leistung des Anwendungsdatenverkehrs.

Die gesammelten Daten, sogenannte Flow Records, werden an einen oder mehrere IPv4- oder IPv6-Collector übertragen. Die Kollektoren aggregieren die Flow-Datensätze und generieren Echtzeit- oder historische Berichte.

AppFlow

AppFlow exportiert Flow-Level-Daten nur für HDX/ICA-Verbindungen. Sie können entweder TCP nur für HDX-Dataset-Vorlage oder die HDX-Dataset-Vorlage aktivieren. Der TCP nur für HDX-Datensatz liefert Multi-Hop-Daten. Der HDX-Datensatz liefert HDX-Einblickdaten.

Hinweis

Die HDX-Vorlage ist nur für Citrix SD-WAN PE Edition und Zwei-Box-Appliances verfügbar. Es sollte auf der Rechenzentrums-Appliance aktiviert sein.

AppFlow Collectors wie Splunk und Citrix ADM verfügen über Dashboards zur Interpretation und Präsentation dieser Vorlagen.

IPFIX

IPFIX ist ein Collector-Exportprotokoll, das zum Exportieren von Flow-Level-Daten für alle Verbindungen verwendet wird. Für jede Verbindung können Sie Informationen wie Paketanzahl, Byteanzahl, Diensttyp, Flussrichtung, Routingdomäne, Anwendungsname usw. anzeigen. IPFIX-Flows werden über die Management-Schnittstelle übertragen. Die meisten Collectors können IPFIX-Flow-Datensätze empfangen, müssen jedoch möglicherweise ein benutzerdefiniertes Dashboard erstellen, um die IPFIX-Vorlage zu interpretieren.

Die IPFIX-Vorlage definiert die Reihenfolge, in der der Datenstrom interpretiert werden soll. Der Collector erhält einen Vorlagendatensatz, gefolgt von den Datensätzen. Citrix SD-WAN verwendet die Vorlagen 611 und 613 zum Exportieren von IPv4-IPFIX-Flussdaten, 615 und 616, um IPv6-IPFIX-Flussdaten zusammen mit der Optionsvorlage 612 zu exportieren.

Application Flow Info (IPFIX) exportiert Datensätze gemäß Vorlagen 611 für IPv4-Flüsse, 615 für IPv6-Flüsse und 612-Optionsvorlage mit Anwendungsinformationen.

Basic Properties (IPFIX) exportiert Datensätze gemäß Vorlagen 613 für IPv4-Flüsse und 616 für IPv6-Flüsse.

Die folgenden Tabellen enthalten eine detaillierte Liste der Flow-Daten, die jeder IPFIX-Vorlage zugeordnet sind.

Anwendungsfluss-Info (IPFIX) - V10-Vorlagen

Vorlagen-ID - 611

Infoelement (IE) IE Name & ID Typ und len Beschreibung
Beobachtungspunkt-ID observationPointId, 138 Unsigned32, 4  
Prozess-ID exportieren exportingProcessId, 144 Unsigned32, 4  
Flow-ID flowId, 148 Unsigned64, 8  
Ipv4 SRC IP sourceIPv4Address, 8 Ipv4address, 4  
Ipv4 DST IP destinationIpv4Addres, 12 Ipv4address, 4  
Ipversion ipVersion, 60 Unsigned8, 1 Stellen Sie auf 4 ein.
IP-Protokollnummer protocoldentifier,4 Unsigned8, 1  
Padding Nicht zutreffend Unsigned16, 2  
SRC-Port sourceTransportPort, 7 Unsigned16, 2  
DST-Port destinationTransportPort,11 Unsigned16, 2  
Pkt Count packetDeltaCount, 2 Unsigned64, 8  
Byte-Anzahl octetDeltaCount, 1 Unsigned64, 8  
Zeit für den ersten Pkt in Mikrosekunden flowStartMicroseconds, 154 dateTimeMicroseconds, 8  
Zeit für lastpkt in Mikrosekunden flowEndMicroseconds, 155 dateTimeMicroseconds, 8  
IP ToS ipClassOfService, 5 Unsigned8, 1  
Flow-Flags tcpControlBits, 6 Unsigned8, 2 Derzeit auf 0 eingestellt.
Fließrichtung flowDirection, 61 Unsigned8, 1 0x00: ingress flow0x01: egress flowWAN-WAN und LAN-LAN flows sind in SDWAN möglich
Eingangsschnittstelle ingressInterface, 10 Unsigned32, 4 Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen.
Ausgabe-Schnittstelle egressInterface, 14 Unsigned32, 4 Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen.
Eingabe-Vlan-ID vlanId, 58 Unsigned16, 2  
Ausgabe-Vlan-ID postVlanId, 59 Unsigned16, 2  
VRF ID ingressVRFID, 234 Unsigned32, 4  
Flow Key Indikator flowKeyIndicator, 173 Unsigned64, 8 Stellen Sie auf 0x1E037F.
Anwendungs-ID applicationId, 95 octetArray, variable Die Anwendungs-ID ist identisch mit der ID der Anwendungen, die vom DPI-Modul klassifiziert werden. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für benutzerdefinierte domänennamenbasierte Anwendungen ändern sich mit jedem Konfigurationsupdate.

Template-ID — 615 (IPv6-Flüsse)

|Infoelement (IE)|Name und ID des IE|Typ und len|Kommentar| |-|-|-|-| |Beobachtungspunkt-ID|observationPointId, 138|Unsigned32, 4| |Prozess-ID exportieren|exportingProcessId, 144|Unsigned32, 4| |Flow-ID|flowId, 148|Unsigned64, 8| |IPv6-SRC IP|sourceIPv6Address, 27|Ipv6address, 16| |Ipv6 DST IP|destinationIpv6Addres, 28|Ipv6address, 16| |Ipversion|ipVersion, 60|Unsigned8, 1|Set to 6| | |IP protocol number|protocoldentifier, 4|Unsigned8, 1| | |Padding|N/A|Unsigned16, 2| | |SRC Port|sourceTransportPort, 7|Unsigned16, 2| | |DST Port|destinationTransportPort, 11|Unsigned16, 2| | |Pkt Count|packetDeltaCount, 2|Unsigned64, 8| | |Byte Count|octetDeltaCount, 1|Unsigned64, 8| | |Time for first pkt in microseconds|flowStartMicroseconds, 154|dateTimeMicroseconds, 8| | |Time for lastpkt in microseconds|flowEndMicroseconds, 155|dateTimeMicroseconds, 8| | |IP ToS|ipClassOfService, 5|Unsigned8, 1| | |Flow Flags|tcpControlBits, 6|Unsigned8, 2|Currently set to 0.| |Flow Direction|flowDirection, 61|Unsigned8, 1|0x00: ingress flow0x01: egress flowWAN-WAN and LAN-LAN flows are a possibility in SDWAN| |Input Interface|ingressInterface, 10|Unsigned32, 4| Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Output Interface|egressInterface, 14|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Input Vlan ID|vlanId, 58|Unsigned16, 2| | |Output Vlan ID|postVlanId, 59|Unsigned16, 2| | |VRF ID|ingressVRFID, 234|Unsigned32, 4| | |Flow Key Indicator|flowKeyIndicator, 173|Unsigned64, 8|Set to 0x1E037F.| |Application ID|applicationId, 95|octetArray, variable|The Application ID is same as the ID of the applications classified by the DPI engine. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für auf benutzerdefinierten Domänennamen basierenden Anwendungen ändern sich bei jedem Konfigurationsupdate. |

Vorlage 612 (Vorlage für Optionen)

Infoelement (IE) IE Name & ID Typ Kommentar
Anwendungs-ID applicationId, 95 octetArray Die Anwendungs-ID ist identisch mit der ID der Anwendungen, die vom DPI-Modul klassifiziert werden. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für benutzerdefinierte domänennamenbasierte Anwendungen ändern sich mit jedem Konfigurationsupdate.
Anwendungsname applicationName, 96 string Gibt den Namen der Citrix SDWAN-spezifischen proprietären Anwendung an.
Beschreibung der Anwendung applicationDescription, 94 string Gibt die Beschreibung der Anwendung an.

Basic Properties (IPFIX) — V9-konforme Vorlage - Vorlage 613 (IPv4-Flüsse)

Infoelement (IE) IE Name & ID Typ und len Kommentar
Ipv4 SRC IP sourceIPv4Address, 8 Ipv4address, 4  
Ipv4 DST IP destinationIpv4Addres, 12 Ipv4address, 4  
Ipversion ipVersion, 60 Unsigned8, 1  
IP-Protokollnummer protocoldentifier, 4 Unsigned8, 1  
IP ToS ipClassOfService, 5 Unsigned8, 1  
Fließrichtung flowDirection, 61 Unsigned8, 1 0x00: ingress flow0x01: egress flowWAN-WAN und LAN-LAN flows sind in SDWAN möglich
SRC-Port sourceTransportPort, 7 Unsigned16, 2  
DST-Port destinationTransportPort, 11 Unsigned16, 2  
Pkt Count packetDeltaCount, 2 Unsigned64, 8  
Byte-Anzahl octetDeltaCount, 1 Unsigned64, 8  
Eingangsschnittstelle ingressInterface, 10 Unsigned32, 4 Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen.
Ausgabe-Schnittstelle egressInterface, 14 Unsigned32, 4 Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen.
Eingabe-Vlan-ID vlanId, 58 Unsigned16, 2  
Ausgabe-Vlan-ID postVlanId, 59 Unsigned16, 2  

Template-ID — 616 (IPv6-Flüsse)

|Infoelement (IE)|Name und ID des IE|Typ und len|Kommentar| |-|-|-|-| |IPv6-SRC IP|sourceIPv6Address, 27|Ipv6address, 16| |Ipv6 DST IP|destinationIpv6Addres, 28|Ipv6address, 16| |Ipversion|ipVersion, 60|Unsigned8, 1|Set to 6| | |IP protocol number|protocoldentifier,4|Unsigned8, 1| | |IP ToS|ipClassOfService, 5|Unsigned8, 1| | |Flow Direction|flowDirection, 61|Unsigned8, 1|0x00: ingress flow0x01: egress flowWAN-WAN and LAN-LAN flows are a possibility in SDWAN| |SRC Port|sourceTransportPort, 7|Unsigned16, 2| | |DST Port|destinationTransportPort, 11|Unsigned16, 2| | |Pkt Count|packetDeltaCount, 2|Unsigned64, 8| | |Byte Count|octetDeltaCount, 1|Unsigned64, 8| | |Input Interface|ingressInterface, 10|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Output Interface|egressInterface, 14|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Input Vlan ID|vlanId, 58|Unsigned16, 2| | |Output Vlan ID|postVlanId, 59|Unsigned16, 2| |

Einschränkungen

  • AppFlow unterstützt keine IPv6-Collector- und Flow-Datensätze.
  • Das Exportintervall für Net Flow wird von 15 Sekunden auf 60 Sekunden erhöht.
  • AppFlow/IPFIX Flows werden über UDP übertragen, bei Verbindungsverlust werden nicht alle Daten erneut übertragen. Wenn das Exportintervall auf X Minuten eingestellt ist, speichert die Appliance nur X Minuten Daten. Welches wird nach X Minuten Verbindungsverlust erneut übertragen.
  • In Citrix SD-WAN, Version 10 Version 2, werden die AppFlow-Einstellungen lokal für jede Appliance vorgenommen, während es sich in den vorherigen Versionen um eine globale Einstellung handelte. Wenn die SD-WAN-Softwareversion auf eine der vorherigen Versionen heruntergestuft wird und AppFlow auf einer der Appliances konfiguriert ist, wird es global auf alle Allianzen angewendet.

Konfigurieren von AppFlow/IPFIX

Um AppFlow-Host-Einstellungen zu konfigurieren, navigieren Sie zu Konfiguration > Appliance-Einstellungen > AppFlow-Host-Einstellungen und klicken Sie auf Aktivieren. Geben Sie das Datenaktualisierungsintervall in Minuten an, in dem die AppFlow Berichte in den AppFlow/IPFIX-Collector exportiert werden.

Wählen Sie eine der folgenden AppFlow Dataset-Vorlagen aus:

  • TCP nur für HDX: Sammelt und sendet Multi-Hop-Daten von ICA-Verbindungen an den AppFlow-Collector.
  • HDX: Sammelt HDX Insight-Daten von ICA-Verbindungen und sendet sie an den AppFlow-Collector.

Sie können bis zu vier AppFlow/IPFIX-Kollektoren konfigurieren. Geben Sie für jeden Kollektor die folgenden Parameter an:

  • IP-Adresse: DieIP-Adresse des externen AppFlow/IPFIX Collector-Systems.
  • Port: Die Portnummer, auf der das externe AppFlow/IPFIX-Collector-System lauscht. Der Standardwert ist 4739. Sie können die Portnummer je nach verwendetem Kollektor ändern.
  • AppFlow: Sendet Flow-Datensätze gemäß IPFIX-Vorlage 613 an IPFIX-Collectors.
  • Application Flow Info: Sendet Flow-Datensätze gemäß IPFIX-Vorlagen 611 und 612 an IPFIX-Kollektoren.
  • Citrix ADM: Verwenden Sie Citrix ADM als AppFlow-Collector. Geben Sie den Benutzernamen und das Kennwort an, um sich nahtlos bei Citrix ADM anzumelden und Flussdaten zu speichern.

Hinweis

Citrix ADM unterstützt derzeit keine IPFIX-Sammlung.

AppFlow Host-Einstellungen

Protokolldateien

Zur Behebung von Problemen im Zusammenhang mit AppFlow-/IPFIX-Exportprotokollen können Sie die Dateien SDWAN_export.log in den Site-Protokollenanzeigen und herunterladen

AppFlow und IPFIX