Nach dem Aktivieren von Netflow auf dem VMware SD-WAN Edge werden in regelmäßigen Abständen Nachrichten an den konfigurierten Collector gesendet. Die Inhalte dieser Meldungen werden mithilfe von Vorlagen definiert. Die IPFIX-Vorlagen (Internet Protocol Flow Information Export) verfügen über zusätzliche Parameter, die weitere Informationen zu den Datenverkehrsströmen bieten.
Weitere Themen zum Lesen
Nicht-NAT-Vorlage https://www.iana.org/assignments/ipfix/ipfix.xhtml
. Dies ist ein aggregierter Flow. Die Schlüssel für diesen Flow-Datensatz lauten: sourceIPv4Addres, destinationIPv4Address, destinationTransportPort, ingressVRFID, ApplicationID, protocolIdentifier. Der Quellport wird aggregiert.
NAT-Vorlage
Vorlage für FlowLink-Statistik Die Flow-Link-Statistik-Vorlage erfasst Flow-Statistiken aufgeschlüsselt nach Link.
Tunnelstatistikvorlage Ein Tunnel wird über einen Link eingerichtet und verfügt über die Kommunikation mit einem Peer. Bei einem Peer kann es sich um ein Gateway (Edge-zu-Cloud-Datenverkehr), einen Hub (Edge-zu-Datencenter-Datenverkehr) oder einen Edge (dynamischer Edge-zu-Edge-VPN-Datenverkehr) handeln. In der Tunnelstatistikvorlage wird die Statistik eines Tunnels erfasst und einmal pro Minute gesendet. Im Feld „linkUUID“ ist die für den Tunnel eingerichtete Verbindung angegeben. Das Feld „Schnittstellenindex (Interface Index)“ gibt an, mit welchem Peer der Tunnel kommuniziert.
Anwendungsoptionsvorlage https://tools.ietf.org/html/rfc6759 .
Die Anwendungsoptionsvorlage wird alle 5 Minuten oder bei Änderungen gesendet. Nur Anwendungen, die in Flows referenziert wurden, werden exportiert.
Vorlagen für Schnittstellenoptionen Schnittstellen im Netflow-Kontext von VMware können grob in zwei Typen unterteilt werden: Physisch und SD-WAN.
Vorlage für die Zuordnung zwischen VMware-Segment-ID und Segment Die Vorlage wird alle 10 Minuten gesendet und nutzt VRF als Nomenklatur zum Definieren eines Segments.
Link-Optionsvorlage Die Link-Optionsvorlage bietet eine Zuordnung zwischen linkUUID und dem Schnittstellenindex, auf den dieser Link verweist. Über die Link-Optionsvorlage kann auch der Link-Name erhalten werden, der ein konfigurierbares Feld in VMware SD-WAN Orchestrator ist.
Quelladresse und Segmentierung von NetFlow Die primäre IP-Adresse der Quellschnittstelle von NetFlow muss von VMware SASE Orchestrator stammen. Wenn keine optionale Konfiguration der Quellschnittstelle vorhanden ist, verbrauchen die Flow-Datensätze eine der aktiven und annoncierten LAN/Routed IP-Adressen als Quell-IP-Adresse. Damit Netflow funktioniert, muss mindestens eine aktive und annoncierte LAN-/geroutete Schnittstelle für das jeweilige Segment vorhanden sein. Die Benutzeroberfläche von Orchestrator muss entsprechend angepasst werden.
Definitionen für IPFIX-Informationselemente