AppFlow und IPFIX
AppFlow und IPFIX sind Flow-Exportstandards zur Identifizierung und Erfassung von Anwendungs- und Transaktionsdaten in der Netzwerkinfrastruktur. Diese Daten geben eine bessere Einsicht in die Auslastung und Leistung des Anwendungsdatenverkehrs.
Die gesammelten Daten, sogenannte Flow Records, werden an einen oder mehrere IPv4- oder IPv6-Collector übertragen. Die Kollektoren aggregieren die Flow-Datensätze und generieren Echtzeit- oder historische Berichte.
AppFlow
AppFlow exportiert Daten nur für HDX/ICA-Verbindungen. Sie können entweder TCP nur für HDX-Dataset-Vorlage oder die HDX-Dataset-Vorlage aktivieren. Das TCP nur für HDX-Dataset bietetMulti-Hop-Daten. Das HDX-Dataset bietetHDX Einblick Daten.
Hinweis
Die HDX-Vorlage ist nur für Citrix SD-WAN PE-Edition und Zwei-Box-Appliances verfügbar. Sie sollte auf der Rechenzentrum-Appliance aktiviert sein.
AppFlow Collectors wie Splunk und Citrix ADM verfügen über Dashboards, um diese Vorlagen zu interpretieren und zu präsentieren.
IPFIX
IPFIX ist ein Collector-Exportprotokoll, das zum Exportieren von Flow-Level-Daten für alle Verbindungen verwendet wird. Für jede Verbindung können Sie Informationen wie Paketanzahl, Byteanzahl, Diensttyp, Flussrichtung, Routingdomäne, Anwendungsname usw. anzeigen. IPFIX-Flows werden über die Management-Schnittstelle übertragen. Die meisten Collectors können IPFIX-Flow-Datensätze empfangen, müssen jedoch möglicherweise ein benutzerdefiniertes Dashboard erstellen, um die IPFIX-Vorlage zu interpretieren.
Die IPFIX-Vorlage definiert die Reihenfolge, in der der Datenstrom interpretiert werden soll. Der Collector erhält einen Vorlagendatensatz, gefolgt von den Datensätzen. Citrix SD-WAN verwendet die Vorlagen 611 und 613 zum Exportieren von IPv4-IPFIX-Flussdaten, 615 und 616, um IPv6-IPFIX-Flussdaten zusammen mit der Optionsvorlage 612 zu exportieren.
Application Flow Info (IPFIX) exportiert Datensätze gemäß Vorlagen 611 für IPv4-Flüsse, 615 für IPv6-Flüsse und 612-Optionsvorlage mit Anwendungsinformationen.
Basic Properties (IPFIX) exportiert Datensätze gemäß Vorlagen 613 für IPv4-Flüsse und 616 für IPv6-Flüsse.
Die folgenden Tabellen enthalten eine detaillierte Liste der Flow-Daten, die jeder IPFIX-Vorlage zugeordnet sind.
Anwendungsfluss-Info (IPFIX) - V10-Vorlagen
Vorlagen-ID - 611
| Infoelement (IE) | IE Name & ID | Typ und len | Beschreibung |
|---|---|---|---|
| Beobachtungspunkt-ID | observationPointId, 138 | Unsigned32, 4 | |
| Prozess-ID exportieren | exportingProcessId, 144 | Unsigned32, 4 | |
| Flow-ID | flowId, 148 | Unsigned64, 8 | |
| Ipv4 SRC IP | sourceIPv4Address, 8 | Ipv4address, 4 | |
| Ipv4 DST IP | destinationIpv4Addres, 12 | Ipv4address, 4 | |
| Ipversion | ipVersion, 60 | Unsigned8, 1 | Stellen Sie auf 4 ein. |
| IP-Protokollnummer | protocoldentifier,4 | Unsigned8, 1 | |
| Padding | Nicht zutreffend | Unsigned16, 2 | |
| SRC-Port | sourceTransportPort, 7 | Unsigned16, 2 | |
| DST-Port | destinationTransportPort,11 | Unsigned16, 2 | |
| Pkt Count | packetDeltaCount, 2 | Unsigned64, 8 | |
| Byte-Anzahl | octetDeltaCount, 1 | Unsigned64, 8 | |
| Zeit für den ersten Pkt in Mikrosekunden | flowStartMicroseconds, 154 | dateTimeMicroseconds, 8 | |
| Zeit für lastpkt in Mikrosekunden | flowEndMicroseconds, 155 | dateTimeMicroseconds, 8 | |
| IP ToS | ipClassOfService, 5 | Unsigned8, 1 | |
| Flow-Flags | tcpControlBits, 6 | Unsigned8, 2 | Derzeit auf 0 eingestellt. |
| Fließrichtung | flowDirection, 61 | Unsigned8, 1 | 0x00: ingress flow0x01: egress flowWAN-WAN und LAN-LAN flows sind in SDWAN möglich |
| Eingangsschnittstelle | ingressInterface, 10 | Unsigned32, 4 | Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen. |
| Ausgabe-Schnittstelle | egressInterface, 14 | Unsigned32, 4 | Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen. |
| Eingabe-Vlan-ID | vlanId, 58 | Unsigned16, 2 | |
| Ausgabe-Vlan-ID | postVlanId, 59 | Unsigned16, 2 | |
| VRF ID | ingressVRFID, 234 | Unsigned32, 4 | |
| Flow Key Indikator | flowKeyIndicator, 173 | Unsigned64, 8 | Stellen Sie auf 0x1E037F. |
| Anwendungs-ID | applicationId, 95 | octetArray, variable | Die Anwendungs-ID ist identisch mit der ID der Anwendungen, die vom DPI-Modul klassifiziert werden. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für benutzerdefinierte domänennamenbasierte Anwendungen ändern sich mit jedem Konfigurationsupdate. |
Template-ID — 615 (IPv6-Flüsse)
|Infoelement (IE)|Name und ID des IE|Typ und len|Kommentar| |-|-|-|-| |Beobachtungspunkt-ID|observationPointId, 138|Unsigned32, 4| |Prozess-ID exportieren|exportingProcessId, 144|Unsigned32, 4| |Flow-ID|flowId, 148|Unsigned64, 8| |IPv6-SRC IP|sourceIPv6Address, 27|Ipv6address, 16| |Ipv6 DST IP|destinationIpv6Addres, 28|Ipv6address, 16| |Ipversion|ipVersion, 60|Unsigned8, 1|Set to 6| | |IP protocol number|protocoldentifier, 4|Unsigned8, 1| | |Padding|N/A|Unsigned16, 2| | |SRC Port|sourceTransportPort, 7|Unsigned16, 2| | |DST Port|destinationTransportPort, 11|Unsigned16, 2| | |Pkt Count|packetDeltaCount, 2|Unsigned64, 8| | |Byte Count|octetDeltaCount, 1|Unsigned64, 8| | |Time for first pkt in microseconds|flowStartMicroseconds, 154|dateTimeMicroseconds, 8| | |Time for lastpkt in microseconds|flowEndMicroseconds, 155|dateTimeMicroseconds, 8| | |IP ToS|ipClassOfService, 5|Unsigned8, 1| | |Flow Flags|tcpControlBits, 6|Unsigned8, 2|Currently set to 0.| |Flow Direction|flowDirection, 61|Unsigned8, 1|0x00: ingress flow0x01: egress flowWAN-WAN and LAN-LAN flows are a possibility in SDWAN| |Input Interface|ingressInterface, 10|Unsigned32, 4| Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Output Interface|egressInterface, 14|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Input Vlan ID|vlanId, 58|Unsigned16, 2| | |Output Vlan ID|postVlanId, 59|Unsigned16, 2| | |VRF ID|ingressVRFID, 234|Unsigned32, 4| | |Flow Key Indicator|flowKeyIndicator, 173|Unsigned64, 8|Set to 0x1E037F.| |Application ID|applicationId, 95|octetArray, variable|The Application ID is same as the ID of the applications classified by the DPI engine. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für auf benutzerdefinierten Domänennamen basierenden Anwendungen ändern sich bei jedem Konfigurationsupdate. |
Vorlage 612 (Vorlage für Optionen)
| Infoelement (IE) | IE Name & ID | Typ | Kommentar |
|---|---|---|---|
| Anwendungs-ID | applicationId, 95 | octetArray | Die Anwendungs-ID ist identisch mit der ID der Anwendungen, die vom DPI-Modul klassifiziert werden. Die Anwendungs-IDs bleiben konstant. Die Anwendungs-IDs für benutzerdefinierte domänennamenbasierte Anwendungen ändern sich mit jedem Konfigurationsupdate. |
| Anwendungsname | applicationName, 96 | string | Gibt den Namen der Citrix SDWAN-spezifischen proprietären Anwendung an. |
| Beschreibung der Anwendung | applicationDescription, 94 | string | Gibt die Beschreibung der Anwendung an. |
Basic Properties (IPFIX) — V9-konforme Vorlage - Vorlage 613 (IPv4-Flüsse)
| Infoelement (IE) | IE Name & ID | Typ und len | Kommentar |
|---|---|---|---|
| Ipv4 SRC IP | sourceIPv4Address, 8 | Ipv4address, 4 | |
| Ipv4 DST IP | destinationIpv4Addres, 12 | Ipv4address, 4 | |
| Ipversion | ipVersion, 60 | Unsigned8, 1 | |
| IP-Protokollnummer | protocoldentifier, 4 | Unsigned8, 1 | |
| IP ToS | ipClassOfService, 5 | Unsigned8, 1 | |
| Fließrichtung | flowDirection, 61 | Unsigned8, 1 | 0x00: ingress flow0x01: egress flowWAN-WAN und LAN-LAN flows sind in SDWAN möglich |
| SRC-Port | sourceTransportPort, 7 | Unsigned16, 2 | |
| DST-Port | destinationTransportPort, 11 | Unsigned16, 2 | |
| Pkt Count | packetDeltaCount, 2 | Unsigned64, 8 | |
| Byte-Anzahl | octetDeltaCount, 1 | Unsigned64, 8 | |
| Eingangsschnittstelle | ingressInterface, 10 | Unsigned32, 4 | Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen. |
| Ausgabe-Schnittstelle | egressInterface, 14 | Unsigned32, 4 | Citrix SD-WAN -Lastenausgleich Datenflüsse über mehrere Elementpfade, daher kann ein einzelner Datenfluss mehrere Eingabe-/Ausgabe-Schnittstellenkombinationen aufweisen. |
| Eingabe-Vlan-ID | vlanId, 58 | Unsigned16, 2 | |
| Ausgabe-Vlan-ID | postVlanId, 59 | Unsigned16, 2 |
Template-ID — 616 (IPv6-Flüsse)
|Infoelement (IE)|Name und ID des IE|Typ und len|Kommentar| |-|-|-|-| |IPv6-SRC IP|sourceIPv6Address, 27|Ipv6address, 16| |Ipv6 DST IP|destinationIpv6Addres, 28|Ipv6address, 16| |Ipversion|ipVersion, 60|Unsigned8, 1|Set to 6| | |IP protocol number|protocoldentifier,4|Unsigned8, 1| | |IP ToS|ipClassOfService, 5|Unsigned8, 1| | |Flow Direction|flowDirection, 61|Unsigned8, 1|0x00: ingress flow0x01: egress flowWAN-WAN and LAN-LAN flows are a possibility in SDWAN| |SRC Port|sourceTransportPort, 7|Unsigned16, 2| | |DST Port|destinationTransportPort, 11|Unsigned16, 2| | |Pkt Count|packetDeltaCount, 2|Unsigned64, 8| | |Byte Count|octetDeltaCount, 1|Unsigned64, 8| | |Input Interface|ingressInterface, 10|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Output Interface|egressInterface, 14|Unsigned32, 4|Citrix SD-WAN load balances data flows through multiple member paths, hence a single data flow can have multiple input/output interface combinations.| |Input Vlan ID|vlanId, 58|Unsigned16, 2| | |Output Vlan ID|postVlanId, 59|Unsigned16, 2| |
Einschränkungen
- AppFlow unterstützt keine IPv6-Collector- und Flow-Datensätze.
- Das Exportintervall für Net Flow wird von 15 Sekunden auf 60 Sekunden erhöht.
- AppFlow/IPFIX Flows werden über UDP übertragen, bei Verbindungsverlust werden nicht alle Daten erneut übertragen. Wenn das Exportintervall auf X Minuten festgelegt ist, speichert die Appliance nur X Minuten Daten. Das wird nach X Minuten Verbindungsverlust erneut übertragen.
- In Citrix SD-WAN Version 10, Version 2, werden die AppFlow Einstellungen für jede Appliance lokal vorgenommen, während in den vorherigen Versionen eine globale Einstellung war. Wenn die SD-WAN-Software-Version auf eine der vorherigen Versionen herabgestuft wird und AppFlow auf einer der Appliances konfiguriert ist, wird sie global auf alle Allianzen angewendet.
Konfigurieren von AppFlow/IPFIX
Sie können AppFlow /IPFIX auf einzelnen SD-WAN-Appliances konfigurieren oder im SD-WAN Center konfigurieren und die Konfiguration auf eine Gruppe von Appliances übertragen.
So konfigurieren Sie AppFlow /IPFIX auf SD-WAN-Appliances:
- Navigieren Sie in der Citrix SD-WAN SE/PE-Webschnittstelle zu Konfiguration > AppFlow/IPFIX.
-
Klicken Sie auf Aktivieren.
-
Geben Sie im Feld Datenaktualisierungsintervall das Zeitintervall in Minuten an, ab dem die Flow-Berichte in den AppFlow/IPFIX-Collector exportiert werden. Das maximale Intervall beträgt 10 Minuten.
- Wählen Sie die AppFlow Datenmengenvorlage aus. Sie können eine der folgenden Datenmengenvorlagen auswählen:
- TCP nur für HDX (AppFlow): Die AppFlow-Datenmengenvorlage zum Sammeln und Senden von Multi-Hop-Daten von ICA-Verbindungen an den AppFlow-Kollektor.
- HDX (AppFlow): Die AppFlow Datenmengenvorlage zum Sammeln und Senden von HDX Insight-Daten von ICA-Verbindungen an AppFlow Collector.
Hinweis
Die HDX-Vorlage ist nur für Citrix SD-WAN PE- und Two Box-Appliances verfügbar.
-
Sie können bis zu vier AppFlow/IPFIX-Kollektoren konfigurieren. Geben Sie für jeden Kollektor die folgenden Parameter an:
- IP-Adresse: DieIP-Adresse des externen AppFlow /IPFIX-Kollektorsystems.
-
Port: Die Portnummer, auf der das externe AppFlow /IPFIX-Kollektorsystem wartet. Der Standardwert ist 4739. Sie können die Portnummer je nach verwendetem Kollektor ändern.
-
Application Flow Info (IPFIX): Sendet Flow-Datensätze gemäß IPFIX-Vorlagen 611, 615 und 612 an IPFIX-Kollektoren.
-
Grundlegende Eigenschaften (IPFIX): Sendet Flow-Datensätze gemäß IPFIX-Vorlage 613 und 616 an IPFIX-Sammler.
- Citrix ADM: Wählen Sie diese Option aus, um Citrix ADM als AppFlow -Kollektor zu verwenden.
Hinweis
- Citrix ADM unterstützt derzeit keine IPFIX-Sammlung.
- Citrix ADM unterstützt keine IPv6-Adressen für AppFlow und IPFIX.
-
Citrix ADM Benutzer: Benutzername des Citrix ADM -Kollektors
-
Kennwort: Citrix ADM Collector-Kennwort.
Der Benutzername und das Kennwort werden verwendet, um sich nahtlos bei Citrix ADM anzumelden und Flussdaten zu speichern.
- Klicken Sie auf Einstellungen anwenden.
So konfigurieren Sie AppFlow /IPFIX-Kollektor mit Citrix SD-WAN Center:
- Navigieren Sie in der Verwaltungsschnittstelle von Citrix SD-WAN Center zu Konfiguration > Appliance-Einstellungen.
- Navigieren Sie zum Abschnitt AppFlow /IPFIX und wählen Sie In Datei einschließen .
-
Wählen Sie IPFIX/AppFlow -Sammlung aktivieren aus.
- Geben Sie im Feld Datenaktualisierungsintervall das Zeitintervall in Minuten an, ab dem die AppFlow Berichte in den Kollektor AppFlow/IPFIX exportiert werden.
- Wählen Sie die AppFlow Datenmengenvorlage aus. Sie können eine der folgenden Datenmengenvorlagen auswählen:
- TCP nur für HDX: Die AppFlow-Datenmengenvorlage zum Sammeln und Senden von MultiHop-Daten von ICA-Verbindungen an den AppFlow-Kollektor.
- HDX: Die AppFlow Datenmengenvorlage zum Sammeln und Senden von HDX Insight Daten von ICA-Verbindungen an AppFlow Collector.
Hinweis
Die HDX-Vorlage ist nur für Citrix SD-WAN PE- und Two Box-Appliances verfügbar.
-
Sie können bis zu vier AppFlow/IPFIX-Kollektoren konfigurieren. Geben Sie für jeden Kollektor die folgenden Parameter an:
- IPFIX/AppFlow Collector: Die IP-Adresse des externen AppFlow/IPFIX-Kollektorsystems.
- Port: Die Portnummer, auf der das externe AppFlow /IPFIX-Kollektorsystem wartet. Der Standardwert ist 4739. Sie können die Portnummer je nach verwendetem Kollektor ändern.
- Application Flow Info: Sendet Flow-Datensätze gemäß IPFIX-Vorlagen 611, 615 und 612 an IPFIX-Sammler.
- Grundlegende Eigenschaften (IPFIX): Sendet Flow-Datensätze gemäß IPFIX-Vorlage 613 und 616 an IPFIX-Sammler.
-
Citrix ADM: Wählen Sie diese Option aus, um Citrix ADM als AppFlow -Kollektor zu verwenden.
Hinweis
Citrix ADM unterstützt derzeit keine IPFIX-Sammlung.
- Citrix ADM Benutzer: Benutzername des Citrix ADM -Sammlers.
-
Kennwort: Citrix ADM Collector-Kennwort.
Der Benutzername und das Kennwort werden verwendet, um sich nahtlos bei Citrix ADM anzumelden und Flussdaten zu speichern.
- Speichern und Exportieren der Konfiguration in die verwalteten Appliances.
Hinweis
Wenn die SD-WAN Center-Version niedriger als 10.2 ist und die SD-WAN-Appliances Version 10.2 und höher ist, können Sie die folgenden Bedingungen beachten.
- Wenn lokale Kollektoren auf den Appliances aktiviert sind, wirkt sich die AppFlow /IPFIX-Konfiguration, die vom SD-WAN-Center übertragen wurde, nicht auf die vorhandene Konfiguration aus.
- Wenn lokale Kollektoren auf den Appliances nicht aktiviert sind, wird die AppFlow/IPFIX-Konfiguration, die vom SD-WAN-Center übertragen wurde, auf die Appliance angewendet.
- Wenn die globale AppFlow/IPFIX-Konfiguration in der SD-WAN Center-Konfiguration aktiviert ist, sind alle lokalen Kollektoren auf den Appliances aktiviert.
Protokolldateien
Zur Behebung von Problemen im Zusammenhang mit AppFlow /IPFIX-Exportprotokollen können Sie die SDWAN_export.log-Dateien anzeigen und herunterladen. Navigieren Sie zu Konfiguration > Protokollierung/Überwachung und wählen Sie die Dateien SDWAN_export.log aus.
