IPFIX (Internet Protocol Flow Information Export) ist ein Standard für das Format und den Export von Netzwerk-Flow-Informationen. Sie können IPFIX für Switches und Firewalls konfigurieren. Der Netzwerk-Flow auf VIFs (virtuellen Schnittstellen) und pNICs (physischen Netzwerkkarten) wird für Switches exportiert. Für Firewalls wird der durch die verteilte Firewallkomponente verwaltete Netzwerk-Flow exportiert.

Hinweis zu NSX Cloud: Wenn Sie NSX Cloud verwenden, finden Sie unter Verwendung von NSX-T Data Center-Funktionen mit der Public Cloud eine Liste der automatisch generierten logischen Elemente, unterstützten Funktionen und Konfigurationen, die für NSX Cloud erforderlich sind.

Wenn Sie IPFIX aktivieren, senden alle konfigurierten Hosttransportknoten IPFIX-Nachrichten an die IPFIX-Collectors über Port 4739. Bei ESXi öffnet NSX-T Data Center Port 4739 automatisch. Bei KVM ist Port 4739 geöffnet, wenn die Firewall nicht aktiviert ist. Sollte die Firewall aber aktiviert sein, müssen Sie sicherstellen, dass der Port geöffnet ist, da NSX-T Data Center den Port nicht automatisch öffnet.

IPFIX tastet Tunnelpakete auf ESXi und KVM auf unterschiedliche Weise ab. Auf ESXi werden Tunnelpakete als zwei Einträge abgetastet:

  • Äußerer Paketeintrag mit einigen Informationen zum inneren Paket
    • SrcAddr, DstAddr, SrcPort, DstPort und Protocol beziehen sich auf das äußere Paket.
    • Beinhaltet einige Unternehmenseinträge zur Beschreibung des inneren Pakets.
  • Innerer Paketeintrag
    • SrcAddr, DstAddr, SrcPort, DstPort und Protocol beziehen sich auf das innere Paket.

Auf KVM werden Tunnelpakete als ein Eintrag abgetastet:

  • Innerer Paketeintrag mit einigen Informationen zum äußeren Tunnel
    • SrcAddr, DstAddr, SrcPort, DstPort und Protocol beziehen sich auf das innere Paket.
    • Beinhaltet einige Unternehmenseinträge zur Beschreibung des äußeren Pakets.

Voraussetzungen

  • Installieren Sie mindestens einen IPFIX-Collector.
  • Stellen Sie sicher, dass die IPFIX-Collectors über Netzwerkkonnektivität zu den Hypervisors verfügen.
  • Stellen Sie sicher, dass alle relevanten Firewalls, einschließlich der ESXi-Firewall, den Datenverkehr auf den IPFIX-Collector-Ports zulassen.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://nsx-manager-ip-address mit Administratorrechten bei einem NSX Manager an.
  2. Wählen Sie im Navigationsbereich die Option Tools > IPFIX aus.
  3. Klicken Sie für die Switch-IPFIX-Konfiguration auf die Registerkarte Switch-IPFIX-Collectors.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie einen Namen und optional eine Beschreibung ein.
  6. Klicken Sie auf Hinzufügen und geben Sie die IP-Adresse und den Port eines Collectors ein.
    Sie können bis zu 4 Collectors hinzufügen.
  7. Klicken Sie auf Speichern.