А АSaturday, 2 October 2021

Используем Flexible NetFlow.

Всем привет.

Мы уже знаем что NetFlow позволяет нам отслеживать потоки (flow) трафика в сети. Мы можем использовать эту информацию для решения таких проблем, как обнаружение узких мест, определения того, какие приложения используются, какую пропускную способность они используют и т.д.

Flexible NetFlow - это гибкий инструмент мониторинга трафика для задач оптимизации использования ресурсов, планирования производительности сети, определения оптимального уровня обеспечения качества обслуживания (QoS), а также для обнаружения событий сетевой безопасности.

Преимущества Cisco IOS Flexible NetFlow:

  • Гибкость и масштабируемость данных о потоках по сравнению с традиционным NetFlow;
  • Тонкие настройки идентификации трафика;
  • Возможность сосредоточиться и контролировать конкретное сетевое поведение;
  • Возможность отслеживать более широкий спектр информации о пакетах, создавая новую информацию о поведении сети;
  • Улучшенное обнаружение сетевых аномалий и безопасности;
  • Объединение нескольких технологий учета в один учетный механизм.

Компоненты Flexible NetFlow:

  • Запись потока (Flow record) - потоки определяются множеством различных фрагментов информации о трафике; информация, используемая Flexible Netflow, может быть определена в пользовательских или стандартных записях.
  • Экспортер потока (Flow exporter) -  сервер/ы, на который/которые будет экспортироваться информация о потоках.
  • Монитор потока (Flow monitor) - компонент, который используется для обеспечения фактического мониторинга трафика на настроенном интерфейсе. Когда монитор потока применяется к интерфейсу, создается кэш монитора потока, который используется для сбора трафика на основе ключевых (key) и неключевых (nonkey) полей в настроенной записи.
  • Шаблон потока (Flow Sampler) используется, когда имеется большой объем трафика для анализа, который потенциально может повлиять на производительность контролируемого устройства. В этой ситуации можно использовать шаблон потока, чтобы ограничить количество пакетов, которые будут анализироваться монитором потока. Например, 1 из каждых 2 пакетов может быть захвачен и проанализирован.

Пользовательские определения по практикуму от SEDICOMM:

CUSTOM-OUT - пользовательская запись исходящего потока

COLLECTOR-HOST - экспортер потока

INBOUND-MONITOR - монитор входящего потока

OUTBOUND-MONITOR - монитор исходящего потока

1. Итак, создадим два вида записей потока: стандартный (ipv4 original-input) и пользовательский (CUSTOM-OUT). Для создания пользовательской записи необходимо выполнить настройки:

flow record CUSTOM-OUT

description Custom Flow Record for outbound traffic

# key items

match ipv4 destination address

match transport destination-port


# no key items

collect counter bytes

collect counter packets

exit


Проверяем:

show flow record CUSTOM-OUT


2. Теперь создадим экспортер потока на наш коллектор данных:

flow exporter COLLECTOR-HOST

destination 192.168.1.3

export-protocol netflow-v9

transport UDP 2055

exit

 

Проверяем:

show flow exporter COLLECTOR-HOST


3. Создадим монитор потока:

Для стандартной записи потока original-input:

flow monitor INBOUND-MONITOR

record netflow ipv4 original-input

cache timeout active 30

exporter COLLECTOR-HOST

exit


Для пользовательской записи потока CUSTOM-OUT:

flow monitor OUTBOUND-MONITOR

record CUSTOM-OUT

cache timeout active 30

exporter COLLECTOR-HOST

exit


Проверяем:

do show flow monitor


4. Привяжем интерфейс для сбора статистики по потокам:

interface g0/0

ip flow monitor INBOUND-MONITOR input

ip flow monitor OUTBOUND-MONITOR output

exit

 

Генерируем любой трафик на клиентском ПК и проверяем результат работы Flexible NetFlow:

show flow monitor INBOUND-MONITOR statistics

show flow monitor OUTBOUND-MONITOR statistics

show flow monitor INBOUND-MONITOR cache

show flow monitor OUTBOUND-MONITOR cache

 


Сводка команд для проверки работы Flexible NetFlow на маршрутизаторе:

show flow record CUSTOM-OUT

show flow exporter COLLECTOR-HOST

show flow monitor

show flow monitor INBOUND-MONITOR statistics

show flow monitor OUTBOUND-MONITOR statistics

show flow monitor INBOUND-MONITOR cache

show flow monitor OUTBOUND-MONITOR cache

Успехов.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное