Subskrybuj kanał RSS bloga
Monitorowanie ruchu na routerach Cisco przy pomocy NetFlow i programu ntop
O ile protokół SNMP dostarcza jednie podstawowych danych na temat wykorzystania łącza w postaci wartości Rx (dane odbierane) i Tx (dane wysyłane) dla danego interfejsu, o tyle NetFlow pozwala na w pełni kompleksowe obserwowanie ruchu z wyróżnieniem adresów oraz protokołów z których i przez które dane są przesyłane.
W tym artykule omówię wymaganą do użycia NetFlow konfigurację routera oraz konfigurację programu ntop, będącego przykładem programu kolektora i analizatora.
Co jest czym, czyli router, kolektor i analizator
NetFlow jest protokołem opracowanym przez Cisco w celu zbierania informacji o ruchu w sieci. Cały system monitorowania przy użyciu NetFlow składa się z trzech składników: routera, który wysyła informacje o ruchu przez niego przechodzącym, kolektora, zbierającego dane od routera (lub routerów) oraz analizatora wykorzystywanego do prezentacji danych.
Router generuje rekordy NetFlow, które przez pewien czas trzyma w swoim cache'u, aby następnie przesłać je do kolektora przy użyciu protokołu UDP lub SCTP. Zazwyczaj kolektory NetFlow działają na porcie 2055, 9555, lub 9995.
Chociaż między rekordami NetFlow w różnych wersjach są niewielkie różnice, to jednak generalnie pojedynczy rekord zawiera informacje o adresie nadawcy, adresie odbiorcy, porcie nadawcy, porcie odbiorcy, użytym protokole, czasie w jakim rekord był aktywny, ilości danych przesłanych w tym czasie oraz inne, jak np. wersja protokołu NetFlow.
Konfigurujemy router do eksportu NetFlow
Pierwszym krokiem jest aktywowanie NetFlow na danym interfejsie w trybie konfiguracji tegoż interfejsu:
Router(config-in)#ip route-cache flow
Poza ustawieniami interfejsu musimy ustawić adres kolektora, do którego router ma wysyłać dane:
Router(config)#ip flow-export adres_ip port_udp
Wyświetlanie informacji o ruchu na routerze
Zanim przejdziemy do omawiania funkcji kolektorów i analizatorów wspomnę tylko o możliwości wyświetlenia niektórych statystyk ruchu bezpośrednio na routerze. Służy do tego polecenie:
Router#show ip cache flow
Warto także wspomnieć o poleceniu do zerowania tych statystyk:
Router#clear ip flow stats
Konfigurujemy ntop-a
ntop jest w mojej opinii jednym z lepszych darmowych programów do monitorowania ruchu w sieci. Dostępny jest zarówno dla systemów Linxowych, *BSD jak i Windows. Program obsługuje się z poziomu przeglądarki - ntop uruchamia swój serwer Web na porcie 3000 umożliwiając dostęp do statystyk, jak i możliwości skonfigurowania go.
Konfiguracja ntop-a sprowadza się do skonfigurowania źródeł NetFlow. Aby to uczynić należy wejść do menu Plugins / NetFlow / Activate a następnie Plugins / NetFlow / Configure (lub link NetFlow w drugiej kolumnie tabelki, która się pojawi), gdzie możemy dodać nowe urządzenie, od którego ntop ma odbierać dane.
Klikamy więc "Add NetFlow Device" i wypełniamy formularz wpisując nazwę urządzenia (potrzebna do identyfikacji danego urządzenia na liście kart sieciowych - ntop traktuje każde urządzenie nadające rekordy NetFlow jako swój wirtualny interfejs), port odbioru danych, adres i maskę monitorowanej sieci oraz kilka innych ustawień, jak na przykład sposób agregacji. I jeszcze jedna uwaga: nie szukajcie przycisku zapisywania bo go tam nie ma - po wpisaniu każdej wartości trzeba kliknąć na przycisk koło wypełnianego pola.
Statystyki danych zebranych poprzez NetFlow możemy zobaczyć wchodząc w menu do Plugins / NetFlow /Statistics oraz w innych pozycjach menu, po uprzedniej zmianie aktywnego interfejsu poprzez menu Admin / Switch NIC (wybieramy interfejs o tej samej nazwie, którą wcześniej podaliśmy przy dopisywaniu urządzenia NetFlow).
To wszystko?
Nie, to dopiero początek. NetFlow jest na prawdę potężnym narzędziem z wieloma możliwościami konfiguracji. Jeśli chcesz wiedzieć więcej, poniżej zamieszczam kilka linków. Dwa z nich prowadzą do strony Cisco, gdzie omówione są m.in. opcje konfiguracji agregacji i cache, które mogą Cię zaciekawić.
Zapraszam także do komentowania :)
lukibest