Всем привет.
Для анализа работы сети полезно анализировать трафик проходящий через маршрутизаторы сети. Полагаю у вас есть парочка пограничных Cisco. Сами Cisco придумали технологию NetFlow. NetFlow представляет собой продвинутую систему сбора статистики о трафике на интерфейсах оборудования
Cisco.
Для анализа потоков NetFlow я выбрал
NetFlow Analyzer. Система NetFlow Analyzer состоит из http-сервера, работающего по умолчанию на порту TCP 8080, к нему подсоединяются браузером для просмотра отчётов и администрирования, и сервера для сбора статистики, работающего по умолчанию на порту UDP 9996.
Для того чтобы сервер смог собирать статистику с оборудования прежде всего на каждом из устройств Cisco нужно настроить NetFlow-экспорт данных трафика. Эта процедура состоит из двух шагов.
1. На каждом сетевом интерфейсе, с которого будет осуществляться сбор статистики, нужно прописать следующее (предполагается, что мы уже зашли командами conf t/ interface {interface} {interface_number}):
router(conf-if)#ip route-cache flow
router(conf-if)#bandwidth
router(conf-if)#exit
Лучше всего сконфигурировать это сразу на двух интерфейсах роутера, тогда ManageEngine
NetFlow Analyzer будет корректно показывать и входящий, и исходящий трафик. Команда bandwidth, указывающая пропускную способность в килобитах/сек не обязательна, но желательна - она используется в дальнейшем для построения %-ных отчётов и графиков загрузки канала интерфейса.
2. Настройка для роутера в целом сервера сбора трафика на сервер на котором пашет NetFlow Analyzer. Для этого в конфигурацию добавляются следующие команды:
router(config)#ip flow-export destination 192.168.1.10 9996
Здесь 192.168.1.10 как раз указывают на мой сервер NetFlow Analyzer.
router(config)#ip flow-export version 5
При этом можно использовать параллельно и общепринятый трансфер логов в Syslog сервер. Настройка Syslog-логирования в Cisco не менее простая.
router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
router(config)#logging trap debugging
Можно указать другой уровень логирования, например только ошибки 3.
router(config)#logging facility local2
Желательно чтобы local2 был свободен на сервере Syslog-a.
router(config)#logging 192.168.1.11
Здесь 192.168.1.11 как раз указывают на мой сервер Syslog-a. Для теста я взял простой Visual Syslog Server.
router(config)#exit
Теперь собираем информацию по нашим маршрутизаторам, строим отчеты, анализируем. На сегодня все.