再见,
我们使用 Fortigate 设备已有多年,现在我们需要检查每个协议的带宽使用情况,但这是不可能的。我们进行了以下测试:
1) 所有策略日志选项 - 记录所有会话 2) 启用 forticloud 3) 设置两个 syslogd 服务器(配置 syslogd 过滤器全部启用) 4) 从 Internet 计算机执行 FTP 访问我们内部 LAN 中的 FTP 服务器(使用 VIP NAT)。在大约 50 分钟内传输了一个文件,大小为 670.347.264 字节
查看 syslogd,我们发现只有 6 条日志记录与 FTP 流量有关,总发送字节和接收字节少于 400.000 字节。Forticloud 当天的顶级源 IP 流量显示另一台主机(不是 ftp 服务器)的流量为 2mb。因此,没有任何地方记录通过 fortigate 的 600Mb 流量。我们向 Fortinet 开具了一张票据,他们回复我们:“您观察到的情况没有任何问题。会话由其启动时间和结束时间定义,它不会向您提供您到底在做什么的信息 - 上传/下载以及您传输/下载的文件有多大。”
这对我们来说意味着:fortigate 生成的日志字段 sentbyte 和 rcvdbyte 不可靠,使用这些字段的第三方软件(如 ManageEngine Firewall Analyzer)无法用于 Fortigate 流量分析。甚至 Forticloud 报告的带宽使用统计数据也不可靠,因为很多流量被遗漏了。
问候 Luca
答案1
我不太清楚您的问题到底是什么(因为我找不到任何问题?),但根据我的理解,我会提供一些线索。
要检查每个协议的带宽使用情况,您可能需要考虑网络流协议。
该协议能够深入分析网络流量并报告直至应用层的使用情况。
由于 NetFlow 是 Cisco 协议,而我们讨论的是 Fortinet,您可以使用 NetFlow 的替代方案,称为流控制。
自 FortiOS 4.0MR2 起Fortinet 支持 sFlow 协议. 可以在所有接口上启用,也可以只在单一接口上启用。
与 NetFlow 相反,sFlow 的问题在于,sFlow 需要轮询间隔,因此您可能会错过一些流量。
另外,由于您正在谈论特定产品(ManageEngine),这里有一个可能很有趣的链接。
关于带宽使用情况,仅说一句:
我没有在 Fortigate 设备上启用 sFlow,但我已经使用 SNMP 和 Cacti 在每个 Fortigate 接口上实现了带宽使用情况监控,遵循本文档。
我必须说,我图表中得到的结果是相关的。我没有您所说的不可靠的统计数据。
我使用 OID:1.3.6.1.2.1.2.2.1(iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry)来获取统计数据:
- 如果输入八位字节数 = 1.3.6.1.2.1.2.2.1.10
- 如果输出八位字节数 = 1.3.6.1.2.1.2.2.1.16
假设接口的索引号为 57:
- 如果InOctets.57 = 1.3.6.1.2.1.2.2.1.10.57
- 如果输出八字节.57 = 1.3.6.1.2.1.2.2.1.16.57
祝你好运 !