1. Monitorowanie ruchu na routerach Cisco przy pomocy NetFlow i programu ntop

   17 maja 2007 20:50 | Odsłon: 24676 | Permalink

   O ile protokół SNMP dostarcza jednie podstawowych danych na temat wykorzystania łącza w postaci wartości Rx (dane odbierane) i Tx (dane wysyłane) dla danego interfejsu, o tyle NetFlow pozwala na w pełni kompleksowe obserwowanie ruchu z wyróżnieniem adresów oraz protokołów z których i przez które dane są przesyłane.

   W tym artykule omówię wymaganą do użycia NetFlow konfigurację routera oraz konfigurację programu ntop, będącego przykładem programu kolektora i analizatora.

   Co jest czym, czyli router, kolektor i analizator

   NetFlow jest protokołem opracowanym przez Cisco w celu zbierania informacji o ruchu w sieci. Cały system monitorowania przy użyciu NetFlow składa się z trzech składników: routera, który wysyła informacje o ruchu przez niego przechodzącym, kolektora, zbierającego dane od routera (lub routerów) oraz analizatora wykorzystywanego do prezentacji danych.

   Router generuje rekordy NetFlow, które przez pewien czas trzyma w swoim cache'u, aby następnie przesłać je do kolektora przy użyciu protokołu UDP lub SCTP. Zazwyczaj kolektory NetFlow działają na porcie 2055, 9555, lub 9995.

   Chociaż między rekordami NetFlow w różnych wersjach są niewielkie różnice, to jednak generalnie pojedynczy rekord zawiera informacje o adresie nadawcy, adresie odbiorcy, porcie nadawcy, porcie odbiorcy, użytym protokole, czasie w jakim rekord był aktywny, ilości danych przesłanych w tym czasie oraz inne, jak np. wersja protokołu NetFlow.

   Konfigurujemy router do eksportu NetFlow

   Pierwszym krokiem jest aktywowanie NetFlow na danym interfejsie w trybie konfiguracji tegoż interfejsu:

   Router(config-in)#ip route-cache flow

   Poza ustawieniami interfejsu musimy ustawić adres kolektora, do którego router ma wysyłać dane:

   Router(config)#ip flow-export adres_ip port_udp

   Wyświetlanie informacji o ruchu na routerze

   Zanim przejdziemy do omawiania funkcji kolektorów i analizatorów wspomnę tylko o możliwości wyświetlenia niektórych statystyk ruchu bezpośrednio na routerze. Służy do tego polecenie:

   Router#show ip cache flow

   Warto także wspomnieć o poleceniu do zerowania tych statystyk:

   Router#clear ip flow stats

   Konfigurujemy ntop-a

   ntop jest w mojej opinii jednym z lepszych darmowych programów do monitorowania ruchu w sieci. Dostępny jest zarówno dla systemów Linxowych, *BSD jak i Windows. Program obsługuje się z poziomu przeglądarki - ntop uruchamia swój serwer Web na porcie 3000 umożliwiając dostęp do statystyk, jak i możliwości skonfigurowania go.

   Konfiguracja ntop-a sprowadza się do skonfigurowania źródeł NetFlow. Aby to uczynić należy wejść do menu Plugins / NetFlow / Activate a następnie Plugins / NetFlow / Configure (lub link NetFlow w drugiej kolumnie tabelki, która się pojawi), gdzie możemy dodać nowe urządzenie, od którego ntop ma odbierać dane.

   Klikamy więc "Add NetFlow Device" i wypełniamy formularz wpisując nazwę urządzenia (potrzebna do identyfikacji danego urządzenia na liście kart sieciowych - ntop traktuje każde urządzenie nadające rekordy NetFlow jako swój wirtualny interfejs), port odbioru danych, adres i maskę monitorowanej sieci oraz kilka innych ustawień, jak na przykład sposób agregacji. I jeszcze jedna uwaga: nie szukajcie przycisku zapisywania bo go tam nie ma - po wpisaniu każdej wartości trzeba kliknąć na przycisk koło wypełnianego pola.

   Statystyki danych zebranych poprzez NetFlow możemy zobaczyć wchodząc w menu do Plugins / NetFlow /Statistics oraz w innych pozycjach menu, po uprzedniej zmianie aktywnego interfejsu poprzez menu Admin / Switch NIC (wybieramy interfejs o tej samej nazwie, którą wcześniej podaliśmy przy dopisywaniu urządzenia NetFlow).

   To wszystko?

   Nie, to dopiero początek. NetFlow jest na prawdę potężnym narzędziem z wieloma możliwościami konfiguracji. Jeśli chcesz wiedzieć więcej, poniżej zamieszczam kilka linków. Dwa z nich prowadzą do strony Cisco, gdzie omówione są m.in. opcje konfiguracji agregacji i cache, które mogą Cię zaciekawić.
   Zapraszam także do komentowania :)

   Zobacz także

   • Cisco IOS NetFlow Introduction
   • Configuring NetFlow
   • Strona programu ntop

   Wpisy o podobnej tematyce

   • Konfiguracja serwera DHCP na routerach Cisco
   • The Dude - genialny monitor sieci
   • Konfiguracja protokołu RIP na routerach Cisco
   • Routing statyczny na routerach Cisco
   • Network Magic

Ta strona jest częcią archiwum luktom.net i nie jest już aktualizowana, nie można do niej dodawać komentarzy, nie zawiera obrazków oraz nie istnieje tutaj rozbudowana nawigacja.

Jeśli szukasz aktualnej treści, zapraszam do nowej wersji luktom.net.

Przejdź do strony głownej luktom.net »