Citrix SD-WAN

Collecteurs de flux net multiples

Net Flow collectors collectent le trafic réseau IP lorsqu’il entre ou quitte une interface SD-WAN. En analysant les données fournies par Net Flow, vous pouvez déterminer la source et la destination du trafic, la classe de service et les causes de la congestion du trafic. Les périphériques Citrix SD-WAN peuvent être configurés pour envoyer des données statistiques de base Net Flow version 5 au collecteur Net Flow configuré. Citrix SD-WAN prend en charge Net Flow pour les flux de trafic qui sont masqués par le protocole fiable de transport. Les périphériques situés à la périphérie WAN de la solution perdent la capacité de collecter des enregistrements Net Flow puisque seuls les paquets UDP encapsulés SD-WAN sont affichés. Net Flow est pris en charge sur les appliances Citrix SD-WAN Standard et Premium (Enterprise) Edition.

Pour configurer les hôtes Net Flow :

Accédez à la page Configuration > Paramètres du matériel > Net Flow Paramètres de l’hôte Netflow . Cochez la caseActiver NetFlow, puis saisissez l’adresse IPet les numéros deportpour un maximum de trois hôtes de flux réseau, puis cliquez surAppliquer les paramètres pour enregistrer les modifications.

Paramètres Netflow

Exportation NetFlow

Les données Net Flow sont exportées à partir du port de gestion du périphérique SD-WAN. Sur votre outil de collecteur Net Flow, les périphériques SD-WAN sont répertoriés comme adresse IP de gestion configurée, si SNMP n’est pas configuré. Les interfaces sont répertoriées comme une pour les entrées et une seconde pour les sorties (trafic Virtual Path).

Exportation Netflow en temps réel

Analyse du trafic Netflow

Limitations de NetFlow

  • Lorsque Netflow est activé sur les appliances SD-WAN Standard et Premium Edition, les données Virtual Path sont diffusées vers les collecteurs Netflow désignés. Une limitation est que l’on ne peut pas différencier le lien WAN physique utilisé par SD-WAN, car la solution rapporte des informations agrégées de chemin virtuel (un chemin virtuel peut comprendre plusieurs chemins WAN distincts), il n’y a aucun moyen de filtrer les enregistrements Netflow pour les chemins WAN distincts.

  • Les bits de contrôle TCP indiquent N/A, ce qui indique que le SD-WAN ne respecte pas la norme Internet pour les exportations Netflow basées sur la RFC 7011 qui a l’ID d’élément 6 pour TCPControlBits (IANA). Sans indicateurs TCP, il n’est pas possible de calculer le temps aller-retour (RTT), la latence, la gigue et d’autres mesures de performance dans les données de flux. Du côté de la sécurité, sans drapeaux TCP, le collecteur Net Flow ne peut pas déterminer s’il y a des analyses FIN, ACK/RST ou SYN.

Collecteurs de flux net multiples