EcoNAT Documentation

Логирование по протоколу NetFlow v9 (IPFIX) EcoNAT Documentation / Логирование абонентских сессий / Логирование по протоколу NetFlow v9 (IPFIX)

При логировании абонентских сессий по протоколу NetFlow v9 (IPFIX) передаётся только информация о сессиях. Логирование объёма трафика, переданного в ходе сессий, не ведётся.

Для работы логирования по протоколу NetFlow настройки должны быть такими, как указано ниже.

Параметр	Значение
log_format	netflow
log_on_release	on
log_individual_conn	on
use_hex_format	off
pack_msgs	on
log_servers	IP-адрес и порт NetFlow-сервера
ip_address	IP-адрес/маска подсети источника (при log_interface dedicated)
gateway	IP-адрес шлюза (при log_interface dedicated)

В таблицах ниже описаны используемые шаблоны сообщений при логировании по протоколу NetFlow. Подробное описание полей сообщения доступно по ссылке.

Шаблон сообщений для сессий IPv4 (NAT44)

Поле	Размер (бит)	IANA ID	Описание
observationTimeMilliseconds	64	323	Unix-время открытия или закрытия сессии в миллисекундах
sourceIPv4Address	32	8	Локальный IPv4-адрес отправителя
postNATSourceIPv4Address	32	225	Глобальный IPv4-адрес отправителя
protocolIdentifier	8	4	Идентификатор протокола (полная таблица идентификаторов доступна по ссылке)
sourceTransportPort	16	7	Локальный порт отправителя
postNAPTsourceTransportPort	16	227	Глобальный порт отправителя
destinationIPv4Address	32	12	Локальный IPv4-адрес получателя
postNATDestinationIPv4Address	32	226	Глобальный IPv4-адрес получателя
destinationTransportPort	16	11	Локальный порт получателя
postNAPTdestinationTransportPort	16	228	Глобальный порт получателя
natOriginatingAddressRealm	8	229	Направление сессии: 1 – исходящая, 2 – входящая
natEvent	8	230	Событие NAT: 1 – создание трансляции, 2 – удаление трансляции

Шаблон сообщений для сессий IPv6 (NAT64)

Поле	Размер (бит)	IANA ID	Описание
observationTimeMilliseconds	64	323	Unix-время открытия или закрытия сессии в миллисекундах
sourceIPv6Address	128	27	Локальный IPv6-адрес отправителя
postNATSourceIPv4Address	32	225	Глобальный IPv4-адрес отправителя
protocolIdentifier	8	4	Идентификатор протокола (полная таблица идентификаторов доступна по ссылке)
sourceTransportPort	16	7	Локальный порт отправителя
postNAPTsourceTransportPort	16	227	Глобальный порт отправителя
destinationIPv6Address	128	28	Локальный IPv6-адрес получателя
postNATDestinationIPv4Address	32	226	Глобальный IPv4-адрес получателя
destinationTransportPort	16	11	Локальный порт получателя
postNAPTdestinationTransportPort	16	228	Глобальный порт получателя
natOriginatingAddressRealm	8	229	Направление сессии: 1 – исходящая, 2 – входящая
natEvent	8	230	Событие NAT: 1 – создание трансляции, 2 – удаление трансляции

Если для приёма логов указано несколько серверов (параметр log_servers), то можно выбрать режим рассылки через параметр multiple_receivers:

mirror – параллельная рассылка (режим по умолчанию); рассылка логов ведётся на все доступные серверы из списка, т. е. каждый сервер будет получать информацию обо всех сессиях;
balance – режим балансировки; система будет распределять логи в зависимости от выбранного типа балансировки, который определяется параметром balance_type:
- round_robin – распределение между приёмниками по кругу в порядке очереди;
- hash_src_ip – распределение между приёмниками по IP-адресам источников. Система запоминает, на какой сервер был отправлен первый лог с определённым адресом источника, и в дальнейшем будет отправлять на этот сервер все логи, относящиеся к этому адресу;
- hash_5_tuple – распределение между приёмниками по набору данных 5-tuple (IP-адрес и порт источника, IP-адрес и порт назначения, протокол), по которому однозначно идентифицируется сессия. Система запоминает, на какой сервер был отправлен первый лог с определённым набором данных 5-tuple, и в дальнейшем будет отправлять на этот сервер все логи с таким 5-tuple.