TroutTrout
All docs

Exportación de Netflow de FortiGate

Configure un firewall FortiGate para enviar datos NetFlow a Access Gate.

4 min read · Last updated 2026-05-02

Esta guía describe un ejemplo de configuración de un firewall FortiGate para exportar NetFlow a un puerto de monitoreo de Trout Access Gate.

Al finalizar este procedimiento:

  • Su FortiGate exportará NetFlow para las interfaces seleccionadas.
  • Trout Access Gate ingerirá esos flujos en su puerto de monitoreo.
  • Verá actividad de flujos y puertos en tiempo real dentro de la pestaña de Monitoreo de Trout.

Este documento asume un FortiGate con FortiOS 7.2.x (por ejemplo, un FortiGate 100F con 7.2.12) y un Trout Access Gate ya desplegado en el mismo sitio.

Descripción General de la Arquitectura

En esta configuración, Trout no está en línea y no reemplaza al FortiGate. El FortiGate continúa enrutando y filtrando el tráfico con normalidad. Trout simplemente recibe metadatos NetFlow del FortiGate a través de una conexión Ethernet independiente.

La configuración es la siguiente:

  • El FortiGate es el router/firewall principal del sitio.
  • Trout Access Gate tiene un puerto de monitoreo dedicado, conectado por cable a un puerto libre del FortiGate o del mismo switch.
  • El FortiGate envía registros NetFlow (UDP) a la dirección IP del puerto de monitoreo de Trout.
  • Trout ingiere esos flujos y los convierte en visibilidad e inteligencia en la pestaña de Monitoreo.
  • Ningún tráfico de producción pasa por el puerto de monitoreo de Trout; solo recibe telemetría NetFlow.

Requisitos Previos

Antes de comenzar, debe contar con:

  • Una dirección IP asignada al puerto de monitoreo de Trout (por ejemplo, 192.168.100.10).
  • Conectividad IP entre el FortiGate y esta IP de monitoreo (misma subred o enrutada).
  • Una decisión sobre qué interfaces del FortiGate desea observar (por ejemplo, port2 para LAN, port3 para red OT).

Habilitar la Ingestión de NetFlow en Trout Access Gate

Primero, asegúrese de que Trout esté listo para aceptar NetFlow antes de configurar el FortiGate.

  1. Inicie sesión en la interfaz de usuario de Trout Access Gate.
  2. Navegue a Settings → Device Port Configuration y configure qué puerto ejecutará el servicio de Monitor.
  3. Vaya a la página de Monitors y haga clic en "configure Netflow".
  4. Establezca su IP de escucha y puerto UDP (por ejemplo, 2055).
  5. Guarde y aplique los cambios.

Configurar la Exportación de NetFlow en el FortiGate

A continuación, configurará el FortiGate para exportar registros NetFlow al Access Gate en interfaces específicas.

Los comandos exactos pueden variar ligeramente según el modelo, pero para FortiOS 7.2.x la estructura es la que se muestra a continuación.

En este ejemplo:

  • IP de monitoreo de Trout: 192.168.253.10
  • IP de interfaz del FortiGate (misma subred, usada como origen): 192.168.253.1
  • Puerto UDP de NetFlow: 2055
  • Interfaces monitoreadas: port2 y port3

Definir el colector NetFlow

Conéctese a la CLI del FortiGate (SSH o consola) y ejecute:

config system netflow 
 config collectors 
   edit 1 
   set collector-ip "192.168.253.10" # Trout monitoring port IP 
   set collector-port 2055 # Must match Trout listener 
   set source-ip "192.168.253.1" # FortiGate IP appearing as exporter 
   set interface-select-method auto 
   next 
  end 
 end

Habilitar NetFlow en las interfaces seleccionadas

Definir un colector no es suficiente; debe habilitar explícitamente el muestreo en cada interfaz cuyo tráfico desee resumir y exportar.

Por ejemplo, para habilitar NetFlow en port2 y port3:

config system 
  interface edit "port2" 
    set netflow-sampler enable both 
  next 
  edit "port3" 
    set netflow-sampler enable both 
  next
end

Se está configurando port2 y port3 para exportar registros NetFlow de tráfico entrante y saliente al Access Gate.

Una vez aplicado, el FortiGate comenzará a exportar NetFlow v9 a Trout Access Gate.

Verificar que NetFlow Llega a Trout

Tras la configuración, es importante verificar que el tráfico fluye realmente desde el FortiGate hacia Trout y está siendo ingerido.

Verificar en el FortiGate

Use el comando de diagnóstico integrado:

diagnose test application netflowd 3

Esto debe mostrar el colector configurado, junto con contadores que indican cuántos flujos y paquetes se han enviado. Si el colector no aparece, probablemente haya un problema de configuración en el bloque config system netflow.

Verificar en Trout

En Trout Access Gate:

  • Abra la pestaña de Monitors.
  • Los datos deben comenzar a aparecer.

Los primeros flujos pueden tardar hasta un minuto en aparecer, según el volumen de tráfico en las interfaces monitoreadas.

Previous
Configurar Puerto de Monitoreo