Citrix SD-WAN

Mehrere Net Flow Kollektoren

Net Flow Collectors erfassen IP-Netzwerkverkehr, wenn er in eine SD-WAN-Schnittstelle eintritt oder diese verlässt. Durch die Analyse der von Net Flow bereitgestellten Daten können Sie die Quelle und das Ziel des Datenverkehrs, die Serviceklasse und die Ursachen für Verkehrsstaus ermitteln. Citrix SD-WAN-Geräte können so konfiguriert werden, dass sie grundlegende statistische Daten der Net Flow-Version 5 an den konfigurierten Net Flow-Collector senden. Citrix SD-WAN bietet Net Flow-Unterstützung für Verkehrsflüsse, die durch das transportzuverlässige Protokoll verdeckt werden. Geräte am WAN-Rand der Lösung verlieren die Fähigkeit, Net Flow-Datensätze zu sammeln, da nur die mit SD-WAN gekapselten UDP-Pakete angezeigt werden. Net Flow wird auf den Citrix SD-WAN Standard und Premium (Enterprise) Edition-Appliances unterstützt.

So konfigurieren Sie Net Flow-Hosts:

Navigieren Sie zur Seite Konfiguration > Appliance-Einstellungen > Net Flow Netflow-Host-Einstellungen. Klicken Sie auf das KontrollkästchenNetFlow aktivieren, geben Sie dieIP-Adresseund diePortnummernfür bis zu drei Net Flow-Hosts ein und klicken Sie dann aufEinstellungen anwenden, um die Änderungen zu speichern.

Netflow-Einstellungen

NetFlow-Export

Net Flow-Daten werden vom Management-Port des SD-WAN-Geräts exportiert. In Ihrem Net Flow Collector-Tool werden die SD-WAN-Geräte als konfigurierte Management-IP-Adresse aufgeführt, wenn SNMP nicht konfiguriert ist. Die Schnittstellen werden als eine für eingehende und eine zweite für ausgehende (Virtual Path Traffic) aufgeführt.

Netflow-Export in Echtzeit

Netflow-Verkehrsanalyse

NetFlow-Einschränkungen

  • Wenn Netflow auf SD-WAN Standard und Premium (Enterprise) Edition-Appliances aktiviert ist, werden Virtual Path-Daten zu den ausgewiesenen Netflow-Collectors gestreamt. Eine Einschränkung besteht darin, dass man nicht unterscheiden kann, welche physische WAN-Verbindung von SD-WAN verwendet wird, da die Lösung aggregierte Virtual Path Informationen meldet (Ein virtueller Pfad kann aus mehreren unterschiedlichen WAN-Pfaden bestehen), gibt es keine Möglichkeit, die Netflow-Datensätze nach den unterschiedlichen WAN-Pfaden zu filtern.

  • TCP-Steuerungsbits melden sich als N/A, was darauf hinweist, dass SD-WAN nicht dem Internetstandard für Netflow-Exporte folgt, der auf RFC 7011 basiert und die Element-ID 6 für TcpControlBits (IANA) hat. Ohne TCP-Flags ist die Berechnung der Roundtrip-Zeit (RTT), Latenz, Jitter und anderer Leistungsmetriken in den Flussdaten nicht möglich. Auf der Sicherheitsseite kann der Net Flow-Collector ohne TCP-Flags nicht feststellen, ob FIN, ACK/RST oder SYN-Scans auftreten.

Mehrere Net Flow Kollektoren