Citrix SD-WAN

Mehrere Net Flow Kollektoren

Net Flow Collectors erfassen IP-Netzwerkverkehr, wenn er eine SD-WAN-Schnittstelle betritt oder beendet. Durch die Analyse der von Net Flow bereitgestellten Daten können Sie die Quelle und das Ziel des Datenverkehrs, die Dienstklasse und die Ursachen für Verkehrsüberlastung bestimmen. Citrix SD-WAN Geräte können so konfiguriert werden, dass grundlegende statistische Daten von Net Flow Version 5 an den konfigurierten Net Flow Collector gesendet werden. Citrix SD-WAN bietet Net Flow-Unterstützung für Datenverkehrsflüsse, die durch das zuverlässige Transportprotokoll verdeckt werden. Geräte am WAN-Rand der Lösung verlieren die Fähigkeit, Net Flow-Datensätze zu sammeln, da nur die SD-WAN-gekapselten UDP-Pakete angezeigt werden. Net Flow wird auf den Citrix SD-WAN Standard und Premium (Enterprise) Edition-Appliances unterstützt.

So konfigurieren Sie Net Flow-Hosts:

Navigieren Sie zu Konfiguration > Appliance-Einstellungen > Net Flow > Netflow Host-Einstellungen. Aktivieren Sie das Kontrollkästchen NetFlow aktivieren, und geben Sie die IP-Adresse und die Portnummern für bis zu drei Net Flow Hosts ein. Klicken Sie dann auf Einstellungen anwenden, um die Änderungen zu speichern.

lokalisierte Grafik

NetFlow-Export

Net Flow-Daten werden vom Verwaltungsport des SD-WAN-Geräts exportiert. Auf dem Net Flow Collector Tool werden die SD-WAN-Geräte als konfigurierte Verwaltungs-IP-Adresse aufgeführt, wenn SNMP nicht konfiguriert ist. Die Schnittstellen werden als eine für eingehende und eine zweite für ausgehende (Virtual Path Traffic) aufgeführt.

lokalisierte Grafik

lokalisierte Grafik

NetFlow-Einschränkungen

  • Wenn Netflow auf SD-WAN Standard und Enterprise Edition-Appliances aktiviert ist, werden Virtual Path Daten an die angegebenen Netflow-Sammler gestreamt. Eine Einschränkung besteht darin, dass man nicht unterscheiden kann, welche physische WAN-Verbindung von SD-WAN verwendet wird, da die Lösung aggregierte Virtual Path Informationen meldet (Ein virtueller Pfad kann aus mehreren unterschiedlichen WAN-Pfaden bestehen), gibt es keine Möglichkeit, die Netflow-Datensätze nach den unterschiedlichen WAN-Pfaden zu filtern.

  • [TCP-Kontrollbits berichten als N/A, was angibt, dass SD-WAN nicht dem Internetstandard für Netflow-Exporte entspricht, basierend aufRFC 7011[]dem Element ID 6 für TcpControlBits ( IANA()).] Ohne TCP-Flags ist das Berechnen der Route Trip Time (RTT), der Latenz, des Jitters und anderer Performance-Metriken in den Flow-Daten nicht möglich. Auf der Sicherheitsseite kann der Net Flow Kollektor ohne TCP-Flags nicht ermitteln, ob FIN-, ACK/RST- oder SYN-Scans durchgeführt werden.

Mehrere Net Flow Kollektoren