Мы уже знаем что NetFlow позволяет нам отслеживать потоки (flow) трафика в сети. Мы можем использовать эту информацию для решения таких проблем, как обнаружение узких мест, определения того, какие приложения используются, какую пропускную способность они используют и т.д.
Flexible NetFlow - это гибкий инструмент мониторинга трафика для задач оптимизации использования ресурсов, планирования производительности сети, определения оптимального уровня обеспечения качества обслуживания (QoS), а также для обнаружения событий сетевой безопасности.
Преимущества Cisco IOS Flexible NetFlow:
- Гибкость и масштабируемость данных о потоках по сравнению с традиционным NetFlow;
- Тонкие настройки идентификации трафика;
- Возможность сосредоточиться и контролировать конкретное сетевое поведение;
- Возможность отслеживать более широкий спектр информации о пакетах, создавая новую информацию о поведении сети;
- Улучшенное обнаружение сетевых аномалий и безопасности;
- Объединение нескольких технологий учета в один учетный механизм.
Компоненты Flexible NetFlow:
- Запись потока (Flow record) - потоки определяются множеством различных фрагментов информации о трафике; информация, используемая Flexible Netflow, может быть определена в пользовательских или стандартных записях.
- Экспортер потока (Flow exporter) - сервер/ы, на который/которые будет экспортироваться информация о потоках.
- Монитор потока (Flow monitor) - компонент, который используется для обеспечения фактического мониторинга трафика на настроенном интерфейсе. Когда монитор потока применяется к интерфейсу, создается кэш монитора потока, который используется для сбора трафика на основе ключевых (key) и неключевых (nonkey) полей в настроенной записи.
- Шаблон потока (Flow Sampler) используется, когда имеется большой объем трафика для анализа, который потенциально может повлиять на производительность контролируемого устройства. В этой ситуации можно использовать шаблон потока, чтобы ограничить количество пакетов, которые будут анализироваться монитором потока. Например, 1 из каждых 2 пакетов может быть захвачен и проанализирован.
Пользовательские определения по практикуму от SEDICOMM:
CUSTOM-OUT - пользовательская запись исходящего потока
COLLECTOR-HOST - экспортер потока
INBOUND-MONITOR - монитор входящего потока
OUTBOUND-MONITOR - монитор исходящего потока
1. Итак, создадим два вида записей потока: стандартный (ipv4 original-input) и пользовательский (CUSTOM-OUT). Для создания пользовательской записи необходимо выполнить настройки:
flow record CUSTOM-OUT
description Custom Flow Record for outbound traffic
# key items
match ipv4 destination address
match transport destination-port
# no key items
collect counter bytes
collect counter packets
exit
Проверяем:
show flow record CUSTOM-OUT
2. Теперь создадим экспортер потока на наш коллектор данных:
flow exporter COLLECTOR-HOST
destination 192.168.1.3
export-protocol netflow-v9
transport UDP 2055
exit
Проверяем:
show flow exporter COLLECTOR-HOST
3. Создадим монитор потока:
Для стандартной записи потока original-input:
flow monitor INBOUND-MONITOR
record netflow ipv4 original-input
cache timeout active 30
exporter COLLECTOR-HOST
exit
Для пользовательской записи потока CUSTOM-OUT:
flow monitor OUTBOUND-MONITOR
record CUSTOM-OUT
cache timeout active 30
exporter COLLECTOR-HOST
exit
Проверяем:
do show flow monitor
4. Привяжем интерфейс для сбора статистики по потокам:
interface g0/0
ip flow monitor INBOUND-MONITOR input
ip flow monitor OUTBOUND-MONITOR output
exit
Генерируем любой трафик на клиентском ПК и проверяем результат работы Flexible NetFlow:
show flow monitor INBOUND-MONITOR statistics
show flow monitor OUTBOUND-MONITOR statistics
show flow monitor INBOUND-MONITOR cache
show flow monitor OUTBOUND-MONITOR cache
Сводка команд для проверки работы Flexible NetFlow на маршрутизаторе:
show flow record CUSTOM-OUT
show flow exporter COLLECTOR-HOST
show flow monitor
show flow monitor INBOUND-MONITOR statistics
show flow monitor OUTBOUND-MONITOR statistics
show flow monitor INBOUND-MONITOR cache
show flow monitor OUTBOUND-MONITOR cache
Успехов.
No comments:
Post a Comment
А что вы думаете по этому поводу?