O ile protokół SNMP dostarcza jednie podstawowych danych na temat wykorzystania łącza w postaci wartości Rx (dane odbierane) i Tx (dane wysyłane) dla danego interfejsu, o tyle NetFlow pozwala na w pełni kompleksowe obserwowanie ruchu z wyróżnieniem adresów oraz protokołów z których i przez które dane są przesyłane.

W tym artykule omówię wymaganą do użycia NetFlow konfigurację routera oraz konfigurację programu ntop, będącego przykładem programu kolektora i analizatora.

Co jest czym, czyli router, kolektor i analizator

NetFlow jest protokołem opracowanym przez Cisco w celu zbierania informacji o ruchu w sieci. Cały system monitorowania przy użyciu NetFlow składa się z trzech składników: routera, który wysyła informacje o ruchu przez niego przechodzącym, kolektora, zbierającego dane od routera (lub routerów) oraz analizatorawykorzystywanego do prezentacji danych.

Router generuje rekordy NetFlow, które przez pewien czas trzyma w swoim cache’u, aby następnie przesłać je do kolektora przy użyciu protokołu UDP lub SCTP. Zazwyczaj kolektory NetFlow działają na porcie 2055, 9555, lub 9995.

Chociaż między rekordami NetFlow w różnych wersjach są niewielkie różnice, to jednak generalnie pojedynczy rekord zawiera informacje o adresie nadawcy, adresie odbiorcy, porcie nadawcy, porcie odbiorcy, użytym protokole, czasie w jakim rekord był aktywny, ilości danych przesłanych w tym czasie oraz inne, jak np. wersja protokołu NetFlow.

Konfigurujemy router do eksportu NetFlow

Pierwszym krokiem jest aktywowanie NetFlow na danym interfejsie w trybie konfiguracji tegoż interfejsu:

Router(config-in)#ip route-cache flow

Poza ustawieniami interfejsu musimy ustawić adres kolektora, do którego router ma wysyłać dane:

Router(config)#ip flow-export adres_ip port_udp

Wyświetlanie informacji o ruchu na routerze

Zanim przejdziemy do omawiania funkcji kolektorów i analizatorów wspomnę tylko o możliwości wyświetlenia niektórych statystyk ruchu bezpośrednio na routerze. Służy do tego polecenie:

Router#show ip cache flow

Warto także wspomnieć o poleceniu do zerowania tych statystyk:

Router#clear ip flow stats

Konfigurujemy ntop-a

ntop jest w mojej opinii jednym z lepszych darmowych programów do monitorowania ruchu w sieci. Dostępny jest zarówno dla systemów Linxowych, *BSD jak i Windows. Program obsługuje się z poziomu przeglądarki – ntop uruchamia swój serwer Web na porcie 3000 umożliwiając dostęp do statystyk, jak i możliwości skonfigurowania go.

Konfiguracja ntop-a sprowadza się do skonfigurowania źródeł NetFlow. Aby to uczynić należy wejść do menu Plugins / NetFlow / Activate a następnie Plugins / NetFlow / Configure (lub link NetFlow w drugiej kolumnie tabelki, która się pojawi), gdzie możemy dodać nowe urządzenie, od którego ntop ma odbierać dane.

Klikamy więc „Add NetFlow Device” i wypełniamy formularz wpisując nazwę urządzenia (potrzebna do identyfikacji danego urządzenia na liście kart sieciowych – ntop traktuje każde urządzenie nadające rekordy NetFlow jako swój wirtualny interfejs), port odbioru danych, adres i maskę monitorowanej sieci oraz kilka innych ustawień, jak na przykład sposób agregacji. I jeszcze jedna uwaga: nie szukajcie przycisku zapisywania bo go tam nie ma – po wpisaniu każdej wartości trzeba kliknąć na przycisk koło wypełnianego pola.

Statystyki danych zebranych poprzez NetFlow możemy zobaczyć wchodząc w menu do Plugins / NetFlow /Statistics oraz w innych pozycjach menu, po uprzedniej zmianie aktywnego interfejsu poprzez menu Admin / Switch NIC (wybieramy interfejs o tej samej nazwie, którą wcześniej podaliśmy przy dopisywaniu urządzenia NetFlow).

To wszystko?

Nie, to dopiero początek. NetFlow jest na prawdę potężnym narzędziem z wieloma możliwościami konfiguracji. Jeśli chcesz wiedzieć więcej, poniżej zamieszczam kilka linków. Dwa z nich prowadzą do strony Cisco, gdzie omówione są m.in. opcje konfiguracji agregacji i cache, które mogą Cię zaciekawić.
Zapraszam także do komentowania :)