TroutTrout
All docs

Export Netflow Fortigate

Configurez un pare-feu FortiGate pour envoyer des données NetFlow vers Access Gate.

4 min read · Last updated 2026-05-02

Ce guide décrit un exemple de configuration d'un pare-feu FortiGate pour exporter du NetFlow vers un port de surveillance Trout Access Gate.

À l'issue de cette procédure :

  • Votre FortiGate exportera du NetFlow pour les interfaces sélectionnées.
  • Trout Access Gate ingérera ces flux sur son port de surveillance.
  • Vous verrez l'activité des flux et des ports en temps réel dans l'onglet Surveillance de Trout.

Ce document suppose un FortiGate sous FortiOS 7.2.x (par exemple, un FortiGate 100F avec la version 7.2.12) et un Trout Access Gate déjà déployé sur le même site.

Présentation de l'architecture

Dans cette configuration, Trout n'est pas en ligne et ne remplace pas le FortiGate. Le FortiGate continue d'assurer le routage et le filtrage du trafic normalement. Trout reçoit simplement les métadonnées NetFlow du FortiGate via une connexion Ethernet dédiée.

La configuration est la suivante :

  • Le FortiGate est le routeur/pare-feu principal du site.
  • Trout Access Gate dispose d'un port de surveillance dédié, câblé sur un port disponible du FortiGate ou du même commutateur.
  • Le FortiGate envoie les enregistrements NetFlow (UDP) à l'adresse IP du port de surveillance de Trout.
  • Trout ingère ces flux et les transforme en visibilité et en renseignements dans l'onglet Surveillance.
  • Aucun trafic de production ne transite par le port de surveillance de Trout ; celui-ci reçoit uniquement la télémétrie NetFlow.

Prérequis

Avant de commencer, vous devez disposer des éléments suivants :

  • Une adresse IP assignée au port de surveillance de Trout (par exemple, 192.168.100.10).
  • Une connectivité IP entre le FortiGate et cette IP de surveillance (même sous-réseau ou routé).
  • Une décision concernant les interfaces FortiGate à observer (par exemple, port2 pour le LAN, port3 pour le réseau OT).

Activer l'ingestion NetFlow sur le Trout Access Gate

Assurez-vous d'abord que Trout est prêt à accepter du NetFlow avant de configurer le FortiGate.

  1. Connectez-vous à l'interface Trout Access Gate.
  2. Accédez à Paramètres → Configuration des ports du périphérique et configurez le port qui exécutera le service Monitor.
  3. Rendez-vous sur la page Monitors et cliquez sur « configure Netflow ».
  4. Définissez votre IP d'écoute et votre port UDP (par exemple, 2055).
  5. Enregistrez et appliquez les modifications.

Configurer l'export NetFlow sur le FortiGate

Vous allez maintenant configurer le FortiGate pour exporter les journaux NetFlow vers l'Access Gate sur des interfaces spécifiques.

Les commandes exactes peuvent varier légèrement selon le modèle, mais pour FortiOS 7.2.x la structure est celle présentée ci-dessous.

Dans cet exemple :

  • IP de surveillance Trout : 192.168.253.10
  • IP de l'interface FortiGate (même sous-réseau, utilisée comme source) : 192.168.253.1
  • Port UDP NetFlow : 2055
  • Interfaces surveillées : port2 et port3

Définir le collecteur NetFlow

Connectez-vous à la CLI du FortiGate (SSH ou console) et exécutez :

config system netflow 
 config collectors 
   edit 1 
   set collector-ip "192.168.253.10" # Trout monitoring port IP 
   set collector-port 2055 # Must match Trout listener 
   set source-ip "192.168.253.1" # FortiGate IP appearing as exporter 
   set interface-select-method auto 
   next 
  end 
 end

Activer NetFlow sur les interfaces sélectionnées

Définir un collecteur ne suffit pas ; vous devez activer explicitement l'échantillonnage sur chaque interface dont vous souhaitez que le trafic soit résumé et exporté.

Par exemple, pour activer NetFlow sur port2 et port3 :

config system 
  interface edit "port2" 
    set netflow-sampler enable both 
  next 
  edit "port3" 
    set netflow-sampler enable both 
  next
end

Nous configurons port2 et port3 pour exporter les journaux NetFlow du trafic entrant et sortant vers l'Access Gate.

Une fois appliqué, le FortiGate commencera à exporter du NetFlow v9 vers le Trout Access Gate.

Vérifier que NetFlow atteint Trout

Après la configuration, vérifiez que le trafic circule effectivement du FortiGate vers Trout et qu'il est bien ingéré.

Vérification sur le FortiGate

Utilisez la commande de diagnostic intégrée :

diagnose test application netflowd 3

Cette commande doit afficher le collecteur configuré, ainsi que des compteurs indiquant le nombre de flux et de paquets envoyés. Si le collecteur n'apparaît pas, il y a probablement un problème de configuration dans le bloc config system netflow.

Vérification sur Trout

Sur le Trout Access Gate :

  • Ouvrez l'onglet Monitors
  • Les données doivent se remplir

Les premiers flux peuvent mettre jusqu'à une minute à apparaître, selon le volume de trafic sur les interfaces surveillées.

Previous
Configurer le port de surveillance