Меню

Настройка netflow cisco 3945

Настройка протокола netflow на оборудовании cisco.

Netflow – протокол, разработанный изначально компанией Cisco для учёта сетевого трафика. В настоящий момент его сфера применения выходит далеко за пределы устройств этой компании, существуют свободные реализации, многие производители добавляют поддержку netflow в свои устройства. Существует несколько версий этого протокола, наиболее распространены версии 5 и 9, при этом функциональные отличия между версиями невелики.

В рамках netflow подразумевается три роли, в которых могут выступать устройства:

В статистике, собираемой на коллекторе учитывается не каждый пакет индивидуально – это было бы слишком ресурсоёмко, а потоки. Поток (flow) – это группа пакетов, у которых совпадают:

Таким образом, группа пакетов, у которых эти параметры совпали называется потоком, а в пределах потока можно посчитать, сколько в нём передано пакетов, сколько байт информации и другую статистику. Маршрутизатор собирает эту информацию и передаёт её коллектору.

Статистика по потокам отправляется на коллектор и частично может быть просмотрена локально на самом маршрутизаторе. Приведём конкретный перечень того, что отправляется на коллектор:

Настройка протокола netflow достаточно проста. Необходимо выбрать интерфейсы, на которых мы хотим организовать сбор статистики и направление трафика, который мы хотим мониторить (на вход, на выход или оба). Например:

Соответственно, ingress заставляет мониторить входящий на интерфейс Fa0/1 трафик, а egress – исходящий. Второй элемент настройки – указание адреса коллектора и номера UDP порта, на котором он готов получать от нас статистику. Кроме того, можно указать версию протокола netflow, которая будет понятна коллектору. Это ещё две строчки конфига:

Для отладки хорошо использовать две команды: show ip cache flow – выдаёт локальную статистику netflow прямо на маршрутизаторе, без коллектора; show ip flow export – отображает статистику по взаимодействию с коллектором (сколько потоков отправлено, сколько пакетов ушло на коллектор, ошибки при взаимодействии с коллектором и т.п.).

Как видно из данной статьи, настройка протокола Netflow на оборудовании cisco дело достаточно простое, я бы сказал, что сложнее настроить коллектор. Что может выступать в качестве коллектора? Во-первых, многие биллинг-системы работают с этим протоколом. Через него они получают статистику, какой ip адрес сколько скачал из интернета, а через SNMP отправляют на маршрутизатор команды по изменению списков контроля доступа, чтобы запретить выход тем пользователям, кто пересидел свой лимит. Во-вторых, есть платное ПО, которое выступает в качестве коллектора и анализатора, например, Scrutinizer NetFlow Analyzer от Plixer International. В-третьих, есть бесплатные коллекторы. В частности, под Ubuntu и Debian линуксом я пользовался отличным пакетом flow-tools. Минус последнего варианта заключается в том, что анализатор пришлось писать самому.

Читайте также:  Можно ли посмотреть комментарии скрытые настройками приватности

Источник

Настройка сервера NetFlow на Windows и настройка маршрутизаторов Cisco

Рейтинг статьи: 2.576/5 (203 голосов).

Понадобилось мне собирать статистику со своих маршрутизаторов. Решил использовать NetFlow. Так как в офисе все под винду, да и с линуксом не дружат, поставил NetFlow под Windows.

Спонсор этой страницы:

Установка сервера NetFlow

Была использована версия 5.0.0 от 2006 года. Если кому надо, ищите свежее, а кого устраивает, можете скачать тут.

Распаковываем и запускаем ManageEngine_NetFlowAnalyzer.exe

Далее как обычно. все настройки по умолчанию, запускать в виде сервиса и т.д.

Я только указал путь установки на d:\NetFlow. Но тут скорее политическое. не люблю я на C: большой софт ставить.

После чего убеждаемя, что NetFlow зависает на запуске. Шкала фисит на 0% и не двигается.

Захотим в список процессов, находим ManageEngine NetFlow Analyzer 5 и останавливаем его.

Идем в папку NetFlow\bin (у меня это D:\NetFlow\bin) и запускае run.bat

В консольном окне будет предложены разные варианты запуска. я выбрат тот, где просили указать файл лицензий.

Вписал имя SHOCKIE и указал путь и файлу D:\install\netflow\AdventNetLicense.xml

После того, как установиласть лицензия и NetFlow в окошке запустился, окно можно закрыть и стартануть сервис (ранее остановленный).

На этом установку сервера можно считать законченной.

Настройка маршрутизаторов CISCO

Я настраивал NetFlow на маршрутизаторах Cisco 1721, 2811, 2821, 7206.

Настройка везде почти одинаковая. Думаю по аналогии можно настроить на всех.

Указываем версию 5

ip flow-export version 5

Далее указваем от имени какого интерфейса маршрутизатор будет посылать пакеты.
(Так как иначе маршрутизатор будет посылать от имени интерфейса, через который уходят пакеты, и, если несколько каналов, то в статистике маршрутизатор сдублируется)

ip flow-export source FastEthernet0/1.200

Ну и осталось указать адрес NetWlow сервера, куда посылать пакеты

ip flow-export destination 192.168.1.96 9996

Оснавная настройка закончена, остались нюансы

На интерфейсах маршрутизатора Cisco серии 1700 (хотя может это зависит от версии IOS) достаточно написать

ip route-cache flow

На маршрутизаторах серии 2800 и серии 7200 на интерфейсах прописываем

ip flow ingress
ip flow egress

egress Контролировать исходящий трафик ingress Контролировать входящий трафик

Далее прописываем SNMP для досупа с сервера

access-list 96 permit 192.168.1.96
snmp-server community public RO 96

После чего мы можем наблюдать статистику.

Заходим на сервер по HTTP порт 8080 http://192.168.1.96:8080

Имя и пароль по умолчанию admin admin

Убеждаемя, что в списке All Devices появились маршрутизаторы, на которых ма прописали сбор статистики.

Если они не появились, значит необходимо проверить, разрешен ли трафик UDP 9996

Читайте также:  Настройка sendmail dovecot freebsd

В общем все. Не буду описывать, что можно заводить новых пользоватенлей, создавать группы маршрутизаторов, это уже на вкус по мере работы.

В 9-й версии NetFlow Analyzer добавили NBAR.

Для того, чтобы маршрутизатор передавал эти данные, необходимо на контролируемых портах прописать.

Источник

NetFlow, Cisco и мониторинг трафика

Определимся с основными понятиями

NetFlow — проприетарный открытый протокол, разработанный Cisco для мониторинга трафика в сети. Netflow предоставляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP.
Архитектура системы строится на сенсоре, коллекторе и анализаторе:
— Сенсор собирает статистику по проходящему через него трафику. Сенсоры имеет смысл ставить в «узловых точках» сети, например, на граничных маршрутизаторах сегментов сети.
— Коллектор осуществляет сбор информации от сенсоров. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.
— Анализатор, или система обработки, считывает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором [1]. В современных системах коллектор и анализатор часто объединены в одну систему.

Обычно коллектор и анализатор являются частями одного программного комплекса, работающего на сервере. Разновидностей ПО коллектор/анализатор множество, платные и бесплатные, под Windows и Unix-системы.
В статье я не буду затрагивать эту область, рассмотрю только принципы работы NetFlow и настройку сенсора на Cisco.
Нужно сразу уяснить — коллектор и стоящий за ним анализатор являются «пассивными» элементами системы. Сенсор шлет на коллектор отчеты о трафике, коллектор принимает, анализатор анализирует, и заполняет свою базу данных на сервере. По сути, при поднятом сервере, нам не нужно вручную подключать устройства, подпадающие под мониторинг, на сервере. Пока сенсор шлет отчеты, коллектор их принимает, анализатор регистрирует. Если сенсор выключен, он «исчезает» из текущей «он-лайн» статистики.

Описание протокола

Собственно, настройка

Разберем конфигурацию сенсора при настройке на Cisco:

Router_NF# conf t
Router_NF(config)# ip flow-export destination 192.168.0.1 9996
Router_NF(config)# ip flow-export destination 10.10.0.1 9996
Router_NF(config)# ip flow-export version 9

Router_NF(config)# ip flow-cache timeout active 1

Router_NF(config)# ip flow-cache timeout inactive 15

Router_NF(config)# ip flow-export source FastEthernet 0/0
Router_NF(config)# ip flow-export source vlan4
Router_NF(config)# ip flow-export source Port-channel1.2

!
ip access-list standard iacl-snmp
remark ACL for SNMP access to device
permit 192.168.0.1
permit 10.10.0.1
deny any log
!

!
snmp-server group snmp v1 access iacl-snmp
snmp-server group snmp v2c access iacl-snmp
snmp-server community ******** **** iacl-snmp
snmp-server ifindex persist
snmp-server trap-source Loopback0
snmp-server enable traps tty
!

Router_NF(config)# interface FastEthernet 0/0
Router_NF(config-if)# ip flow egress
Router_NF(config-if)# ip flow ingress

Router_NF(config-if)# ip route-cache flow

«ip route-cache flow» может использоваться только для основного интерфейса, а «ip flow ingress» — это расширение для использования для сабинтерфесов. Функционал NetFlow Subinterface Support позволяет включать NetFlow для каждого сабинтерфейса. В сценарии, когда ваша сеть содержит множество сабинтерфейсов, а вам необходимо собирать записи только с некоторых, вы можете тонко настроить сбор информации только с определенных сабинтерфейсов

Читайте также:  Герои 6 настройки артмани

Что можно посмотреть на сенсоре:

Router_NF# show ip cache verbose flow

Router_NF# show ip flow interface

Router_NF# show ip flow export

Router_NF# show ip flow top-talkers

Информация о чемпионах, представлена категорийно, вплоть до самых посещаемых интернет — ресурсов
По основной настройке все, полезные ссылки для более полного просветления [4], [5] и [6].

Ложка дегтя

Рисунок взят из [7].
Однако с течением времени доля трафика, попадающего в раздел «Other», растет, в связи с ростом числа приложений, использующих динамические, случайно сгенерированные порты.
В документе [8], обозревающем NetFlow, вскользь упоминается проблема, хорошо проиллюстрированная на рисунке


Конечно, хотелось бы, чтобы самый разный трафик четко описывался в отчетах, например:

Категория трафика Порты Протокол прикладного уровня
Mail 25, 109, 110, 113, 143 smtp, pop2, pop3, ident, imap
Web 80, 8080, 443 http, https
data 20, 21, 3306, 66, 1521, 1526, 1524 ftp, MySQL, sqlnet, Oracle, Ingres
Network management 53, 137, 138, 139, 445, 161, 123, 783, 8200 domain, netbios, snmp, ntp, spamassassin, GoToMyPC
Interactive 22, 23, 513, 543 ssh, telnet, rlogin, klogin
nntp 119 nntp
Chat 194, 6891–6901, 1863, 5050, 5190 irc, msn messenger, yahoo messenger, ICQ
streaming 554, 1755, 1220, 8000–8005, 7070, 7071, 6970 rtsp, ms-streaming, Apple quicktime, internet radio (shoutcast), Real Audio & Video
Malware & games 1433, 1434, 666, 1999, 31337, 12345, 12346, 20034, 1024, 1025, 31338, 31339, 3127, 27015, 27016, 26000, 27001, 27960, 3724 Ms-sql-s, ms-sql-m, backdoor, Back Orifice, NetBus, netspy, myDoom, HalfLife, Quake, QuakeWorld, QuakeIII, WarCraft
p2p 411, 412, 1214, 3531, 4111, 4661–4665, 4672, 6346, 6347, 6669,6881–6889, 23302, 32285, 59049, 41170, 57990 Direct Connect, Fasttrack, Kazaa, eDonkey, Gnutella, Napster, BitTorrent, Ares, Mp2p, Azureus
Others

Прогресс не стоит на месте, технологии идут вперед, и шеф получит полный отчет проблему нераспознанного трафика решают разными интересными способами, например с помощью технологии NBAR.
Во время поисков было найдено обсуждение [11] и интересная презентация [12]. Дальше в дебри не пойду, ибо юн, горяч и неопытен.

Источник