教程篇(7.2) 06. 监控 & FortiSwitch ❀ Fortinet网络安全专家 NSE6

  在本课中，你将了解FortiSwitch上可用的一些监控技术。

  在这节课中，你将学习上图显示的主题。

  通过展示SNMP的能力，你将能够使用最广泛使用的监视协议来监视你的FortiSwitch堆栈。

  FortiSwitch支持SNMP版本1、2c和3。支持SNMP请求和陷阱。然而，对于陷阱，仅支持v1和v2c。对于SNMP请求，实现是只读的，这意味着你只能通过SNMP从FortiSwitch轮询信息。

　　托管FortiSwitch堆栈的典型SNMP设置涉及以下步骤：

　　1. 在FortiGate上：

　　a. 为FortiSwitch配置SNMP设置。如果你想使用SNMPv3，请确保至少配置一个SNMP用户用于SNMPv3身份验证和加密目的。

　　b. 在FortiSwitch内部接口上启用SNMP访问。你可以修改正在使用的本地访问配置文件，也可以创建一个新的配置文件。

　　c. 配置防火墙策略以允许传入的SNMP请求和传出的SNMP陷阱。你必须使用FortiGate CLI，因为你必须在配置中引用FortiLink接口，并且FortiLink接口不会显示在FortiGate GUI上。上图展示了FortiGate上允许交换机堆栈中的SNMP请求和陷阱所需的防火墙策略示例。

　　2. 在SNMP服务器上：

　　a. 从FortiSwitch GUl或support.fortinet.com下载FortiSwitch MIB。上图显示了FortiSwitch GUI页面的屏幕截图，你可以在其中下载MIB。

　　b. 将FortiSwitch MIB加载到SNMP服务器。

　　c. 在MIB文件中找到需要监控的OID。

　　d. 配置轮询和陷阱服务。

  上图的表格列出了FortiSwitch支持的不同SNMP陷阱。当超过配置的阈值时，FortiSwitch以硬编码的15秒间隔发送CPU和内存陷阱。然而，默认情况下，温度陷阱每隔30分钟发送一次。你可以在FortiGate上配置CPU和内存陷阱的阈值，但温度陷阱的阈值必须直接在FortiSwitch上配置。

　　当接口IP地址更改或从交换机中移除或插入物理设备时，FortiSwitch还会发送陷阱。例如，如果删除或添加PSU，则发送实体配置更改陷阱。

  FortiSwitch遵循与FortioS相同的SNMP配置方法。因此，如果你熟悉FortiOS上的SNMP配置，那么你可能知道如何为托管交换机配置SNMP。

　　你可以使用FortiGate CLl为托管交换机配置SNMP，如上图所示。第一步是通过更改默认的本地访问配置文件或创建新配置文件来启用内部接口上的SNMP访问。上图显示的示例更改了默认的本地访问配置文件。

　　第二步是启用SNMP代理并配置SNMP通用设置，如上图所示。

  启用SNMP代理并配置SNMP公共设置后，你必须创建一个或多个SNMP社区。上图的示例显示了培训社区的配置。如果你计划使用SNMP陷阱，请确保配置至少一个SNMP主机来发送陷阱，并选择一个或多个SNMP事件进行监控。SNMP主机还定义了接受SNMP请求的源IP地址。如果没有配置SNMP主机，FortiSwitch接受来自任何来源的SNMP请求，但不会发送任何SNMP陷阱。

  要使SNMPv3请求在FortiSwitch上工作，你必须配置一个SNMP用户，该用户定义了在SNMPv3请求期间用于身份验证和加密的安全设置。上图的示例显示了学生SNMP用户的配置。请注意，配置的身份验证和加密（或隐私）协议分别是sha和aes。

　　你可能还想更改CPU、内存和温度事件的默认阈值。请注意，你可以在FortiGate CLI上为CPU和内存设置新的阈值。然而，对于温度，你需要直接在FortiSwitch CLI上设置阈值。请注意，FortiSwitch仅支持SNMP版本1和2c的SNMP陷阱。

  你还可以覆盖每个FortiSwitch的全局SNMP设置，如上图所示。你首先指示要覆盖的SNMP配置，然后配置本地设置以应用于交换机。

  答案：B

  答案：A

  非常好！现在你已经了解了SNMP。接下来你将将了解sFlow。

  通过展示sFlow的能力，你应该能够了解FortiSwitch如何通过执行数据包采样来提供有关通过你网络的流量的更多详细信息。

  另一种可用于监控通过交换机的流量的方法是采样流（sFlow）。当你在FortiSwitch接口上启用sFlow时，交换机会在接口上捕获随机数据包（称为数据包采样），然后将采样数据包封装在发送到已配置的sFlow收集器的sFlow数据报中。FortiSwitch还向sFlow收集器发送定期接口计数器，称为计数器采样。收到sFlow数据后，收集器会提供实时流量分析和报告。请注意，FortiSwitch支持sFlow版本5。

　　由于数据包采样，sFlow可能比SNMP更集中CPU。然而，sFlow为你提供有关网络中流量的详细信息，而不是像SNMP那样为你提供整体流量统计信息。sFlow也是SPAN、RSPAN和ERSPAN的故障排除替代方案，因为你可以使用sFlow捕获交换机接口上接收或发送的数据包。然而，与不能在主干上使用的SPAN、RSPAN和ERSPAN不同，主干上支持sFlow。

　　托管FortiSwitch堆栈的典型sFlow设置包括以下步骤：

　　1. 在FortiGate上：

　　a. 为FortiSwitch配置sFlow收集器设置。

　　b. 在FortiSwitch接口上启用数据包采样进行监控，然后设置数据包采样速率、接口计数器间隔和要监控的流量。

　　c. 与SNMP一样，也需要配置防火墙策略，允许sFlow数据报发送到采集器。

　　2. 在sFlow采集器上，确认已接收到流。

　　上图的图像显示了来自FortiSwitch的sFlow数据报，它封装了一个采样的LLDP帧。

  与SNMP一样，FortiSwitch遵循与FortiOS相同的sFlow配置方法。

　　你可以使用FortiGate CLl为托管交换机配置sFlow，如上图所示。第一步是配置sFlow收集器IP地址和端口。默认端口是6343。

　　第二步是在交换机接口上启用sFlow，然后配置相应的sFlow采样设置：

　　● 数据包采样率：默认设置为512。也就是说，每512个数据包中就有1个被采样。采样率越低，CPU使用率就越高。512的速率大部分时间都有效，但你可能希望在处理大量流量的高速接口上提高速率。

　　● 计数器采样间隔：这定义了计数器采样的间隔。默认设置为0，这意味着不会发送定期接口计数器。如果您希望您的sFlow收集器准确跟踪端口上的利用率，那么建议将间隔设置在20到30秒之间。

　　● 采样方向：这定义了你是要为流量的两个方向启用sFlow，还是仅为发送或接收方向启用sFlow。默认情况下，两者都设置为。

  答案：A

  答案：B

  非常好！你已经了解了sFlow。接下来你将了解流量跟踪和导出。

  通过展示流量跟踪和导出能力，你应该能够了解FortiSwitch如何执行流量采样，并使用NetFlow或IPFIX frmat将采样流量导出到收集器。

  FortiSwitch还可以跟踪单个流，并使用不同的格式将其信息导出到收集器。与sFlow不同，sFlow在端口上接收或传输的样本数据包（数据包采样），在单个流上跟踪样本数据包（流量采样）。流量采样比数据包采样更准确，因为所有流量都是平等采样的，而使用数据包采样，突发流量的采样速率高于非爆裂流量，这导致流量统计的准确性较低。使用流采样的一个缺点是，它不像sFlow那样将采样数据包封装在发送到收集器的流中。这可以防止流采样被用作数据包捕获的替代品。

　　当你启用流跟踪和导出时，你还可以使用NetFlow或协议流信息导出（IPFIX）格式导出采样流的信息。NetFlow由思科开发，FortiSwitch支持版本1、5和9。IPFIX是NetFlow的行业标准版本，基于NetFlow版本9。

　　托管FortiSwitch堆栈的典型流量跟踪和导出设置涉及以下步骤：

　　1. 在FortiGate上：

　　a. 配置FortiSwitch的采集器设置。

　　b. 选择本地、周边或设备入口三种采样方式。

　　c. 配置防火墙策略，允许NetFlow或IPFIX流进入采集器。

　　2. 在采集器上，确认已接收到流。

　　上图的图像显示了来自FortiSwitch的NetFlow版本9数据包，其中包含有关采样DNS流的信息。请注意，仅提供了流的网络连接摘要，并且没有封装数据包。

  当你在托管的FortiSwitch堆栈上配置流量跟踪和导出时，所有配置都在config switch-controller flow-tracking下完成。

　　在采样模式下，有以下选项：

　　● local：FortiGate在FortiSwitch上打开流采样，但不会更改接口的现有采样设置。管理员可以配置以下端口级采样设置：数据包采样器、数据包采样率和采样方向。

　　● perimeter：FortiGate将FortiSwitch配置为对所有交换机接口执行入口采样，ICL和ISL接口除外。进入FortiLink中继的流量也被采样。目标是采样进入FortiSwitch堆栈周边的流量。将FortiSwitch堆栈周长视为连接端点（包括FortiGate）的交换机端口。

　　● device-ingress：FortiGate配置FortiSwitch对所有交换机接口进行入接口采样。目标是对FortiSwitch堆栈上的所有流量进行采样。这是南北和东西方向的交通。

　　数据包采样率：与sFlow具有相同的目的，只是该速率适用于单个流量，而不是像sFlow那样适用于端口上的所有流量。

　　格式：在NetFlow v1、v2和v9以及IPFIX之间进行选择。

　　收集器IP：设置收集器的IP地址。只有在你设置收集器IP地址后，FortiSwitch才会开始执行流量采样。将IP设置为0.0.0.0以关闭流量采样。

　　传输：设置用于流量的传输协议。通常，UDP适用于大多数部署。

　　上图显示了管理员调整的最常见的设置。有关可用设置的完整列表，请参阅docs.fortinet.com上的FortiSwitch—Managed by FortiOS文档。

  上图展示了如何使用FortiGate CLI显示FortiSwitch当前正在采样的流。对于每个流，都会显示常见的网络参数，例如源和目标IP地址、源和目标端口。

　　此外，每个流都分配了一个到期计时器。FortiSwitch为流采样数据包，直到流过期，此时流被导出到收集器。如果您希望FortiSwitch立即将流导出到收集器，你可以通过在FortiSwitch CLl上运行诊断sys flow-export expire-flows-all命令来手动过期FortiSwitch上的所有流。

  答案：B

  答案：B

  恭喜！你已经完成了本课。现在，你将回顾本课中涵盖的目标。

  通过掌握本课涵盖的目标，你了解了FortiSwitch上可用于监控通过托管堆栈的流量的不同选项，以及这些选项的运行状况。

---