راه اندازی پروتکل NetFlow

راه اندازی پروتکل NetFlow

راه‌اندازی NetFlow سنتی

برای راه‌اندازی اولیۀ پروتکل NetFlow، سناریویی با ترتیب زیر را پی می‌گیریم.
• سه روتر و سه pc را در نظر می‌گیریم و تنظیمات اولیه را بر روی آنها اعمال می‌کنیم.
• پروتکل Netflow را بر روی روتر R2 پیکربندی می‌کنیم.
• پروتکل NetFlow را با استفاده از CLI آنالیز می‌کنیم.
در این سناریو NetFlow را به گونه‌ای تنظیم می‌کنیم که هم اطلاعات بسته‌های  ingress (incoming)و هم egress) (outcoming  ثبت شوند.

۱) طراحی سناریو و کانفیگ تنظیمات اولیه

در گام اول شبکه زیر را در یک محیط آزمایشی طراحی کردیم. آدرس‌های  Ip بر روی هر نود با توجه به اطلاعات موجود در تصویر ۱، بر روی روترها و pc ها تنظیم شده است. همچنین میان روترها، پروتکل مسیریابی ospf فعال شده است.

تنظیمات ip در سناریوی Netflow
شکل ۱تنظیمات ip در سناریوی Netflow

بر روی R3 یک local database ایجاد شد و نام کاربری و پسوردی با privilege level برابر با ۱۵ تعریف شد. همچنین سرویس HTTP بر روی آن فعال شد و کاربر HTTP با استفاده از local database احراز هویت می‌شود.
ارتباط دستگاه‌های مختلف با یکدیگر تست شد، به نحوی که هر دستگاه قادر به ارتباط با دستگاه دیگر باشد.

۲) کانفیگ Netflow بر روی روتر

در این بخش تنظیمات Netflow بر روی روتر R2 انجام شد. پروتکل Netflow همۀ ترافیک ingress و egress بر روی اینترفیس‌های روتر R2 را ثبت می‌کند.
دستور لازم برای تنظیم Netflow capture بر روی هر دو اینترفیس روتر R2 در تصویر ۲ نمایش داده شده است.

شکل ۲ تنظیم Netflow capture
شکل ۲ تنظیم Netflow capture

تنظیم Netflow export با استفاده از دستور موجود در تصویر۳ انجام شد.

شکل ۳ تنظیم Netflow export
شکل ۳ تنظیم Netflow export

پس از اجرای دستورات، صحت اعمال آنها بررسی شد.

شکل ۴ تایید فعال شدن Netflow capture
شکل ۴ تایید فعال شدن Netflow capture

 

 

شکل ۵ تایید فعال شدن Netflow export
شکل ۵ تایید فعال شدن Netflow export

۳) آنالیز پروتکل Netflow

ترافیکی از بسته‌ها، میان روتر R1 و R3 از طریق تلنت زدن از روتر R1 به روتر R3 ایجاد شد. از طرف R3 روتر R1 به صورت متوالی و برای دفعات محدود ping شد تا ترافیک ICMP ایجاد شود.
همانطور که در تصویر ۶ مشخص است، با استفاده از دستور show ip cache flow اطلاعاتی نظیر، سایز بسته، اطلاعات  flow، پروتکل‌های ثبت شده و فعال بودن/ نبودن اینترفیس نمایش داده شد.

 

شکل ۶ آمار به دست آمده از Netflow
شکل ۶ آمار به دست آمده از Netflow

راه‌اندازی Flexible Netflow

Flexible Netflow با استفاده از Netflow version 9 به کاربر اجازه خواهد داد که اطلاعات export شده را شخصی‌سازی کند. Flexible Netflow شامل سه جز است که عبارتند از:
• Flow Record
• Flow Exporter
• Flow Monitor
دستورات استفاده شده برای اجرای flexible Neflow با دستورات به کار گرفته شده در Netflow سنتی از تفاوت‌هایی برخوردار است. در ادامه دستورات لازم برای تنظیم flexible Netflow آورده شده است.

۱) تنظیم Flow Exporter

ایجاد Netflow Exporter :

R2(config)# flow exporter EXPORTER-1

 

تعیین آدرس ip سیستم مقصدِ exporter :

R2(config-flow-exporter)# destination 192.168.2.3

 

تعیین آدرس مبدا:

R2(config-flow-exporter)# source GigabitEthernet0/2

 

تعیین نسخه مورد استفاده:

R2(config-flow-exporter) # Export-protocol version-9

 

تعیین پورت مورد استفاده:

R2(config-flow-exporter) # transport udp 9996

 

۲) تنظیم Flow Record

ایجاد Flow Record:

R2 (config) # flow record NETFLOW-RECORD

نمونه‌ای از تنظیم نام application برای جمع آوری flow:

R2 (config-flow-record) # match ipv4 source address
R2 (config-flow-record) # match ipv4 destination address
R2 (config-flow-record) # match ipv4 protocol
R2 (config-flow-record) # match transport source-port
R2 (config-flow-record) # match transport destination-port
R2 (config-flow-record) # match ipv4 tos
R2 (config-flow-record) # match interface input
R2 (config-flow-record) # collect counter bytes
R2 (config-flow-record) # collect counter packets
R2 (config-flow-record) # collect interface output

۳) تنظیم Flow Monitor

ایجاد Flow Monitor :

R2 (config) # flow monitor NETFLOW-MONITOR
R2 (config-flow-monitor) # record NETFLOW-RECORD
R2 (config-flow-monitor) # exporter EXPORTER-1
R2 (config-flow-monitor) # cache timeout active 30
R2 (config-flow-monitor) # cache timeout inactive 15

۴) مشاهده آمار

به کار بستن Netflow Monitor بر روی اینترفیس‌های روتر:

R2 (config) # interface GigabitEthernet0/1
R2 (config-if) # ip flow monitor NETFLOW-MONITOR input

مشاهده اطلاعات flow export :

R2 # show flow exporter NETFLOW-EXPORTER

(که شامل اطلاعاتی نظیر نسخه پروتکل export، اینترفیس مبدا و آدرس ip، آدرس ip اینترفیس مقصد، نوع پروتکل transport و پورت آن می‌شود)
برای به دست آوردن اطلاعاتی نظیر تعداد بسته‌های ارسال شده و تعداد رکوردهای Netflow دستور زیر به کار می‌رود:

R2 # show flow exporter statistics