راهاندازی NetFlow سنتی
برای راهاندازی اولیۀ پروتکل NetFlow، سناریویی با ترتیب زیر را پی میگیریم.
• سه روتر و سه pc را در نظر میگیریم و تنظیمات اولیه را بر روی آنها اعمال میکنیم.
• پروتکل Netflow را بر روی روتر R2 پیکربندی میکنیم.
• پروتکل NetFlow را با استفاده از CLI آنالیز میکنیم.
در این سناریو NetFlow را به گونهای تنظیم میکنیم که هم اطلاعات بستههای ingress (incoming)و هم egress) (outcoming ثبت شوند.
۱) طراحی سناریو و کانفیگ تنظیمات اولیه
در گام اول شبکه زیر را در یک محیط آزمایشی طراحی کردیم. آدرسهای Ip بر روی هر نود با توجه به اطلاعات موجود در تصویر ۱، بر روی روترها و pc ها تنظیم شده است. همچنین میان روترها، پروتکل مسیریابی ospf فعال شده است.
بر روی R3 یک local database ایجاد شد و نام کاربری و پسوردی با privilege level برابر با ۱۵ تعریف شد. همچنین سرویس HTTP بر روی آن فعال شد و کاربر HTTP با استفاده از local database احراز هویت میشود.
ارتباط دستگاههای مختلف با یکدیگر تست شد، به نحوی که هر دستگاه قادر به ارتباط با دستگاه دیگر باشد.
۲) کانفیگ Netflow بر روی روتر
در این بخش تنظیمات Netflow بر روی روتر R2 انجام شد. پروتکل Netflow همۀ ترافیک ingress و egress بر روی اینترفیسهای روتر R2 را ثبت میکند.
دستور لازم برای تنظیم Netflow capture بر روی هر دو اینترفیس روتر R2 در تصویر ۲ نمایش داده شده است.
تنظیم Netflow export با استفاده از دستور موجود در تصویر۳ انجام شد.
پس از اجرای دستورات، صحت اعمال آنها بررسی شد.
۳) آنالیز پروتکل Netflow
ترافیکی از بستهها، میان روتر R1 و R3 از طریق تلنت زدن از روتر R1 به روتر R3 ایجاد شد. از طرف R3 روتر R1 به صورت متوالی و برای دفعات محدود ping شد تا ترافیک ICMP ایجاد شود.
همانطور که در تصویر ۶ مشخص است، با استفاده از دستور show ip cache flow اطلاعاتی نظیر، سایز بسته، اطلاعات flow، پروتکلهای ثبت شده و فعال بودن/ نبودن اینترفیس نمایش داده شد.
راهاندازی Flexible Netflow
Flexible Netflow با استفاده از Netflow version 9 به کاربر اجازه خواهد داد که اطلاعات export شده را شخصیسازی کند. Flexible Netflow شامل سه جز است که عبارتند از:
• Flow Record
• Flow Exporter
• Flow Monitor
دستورات استفاده شده برای اجرای flexible Neflow با دستورات به کار گرفته شده در Netflow سنتی از تفاوتهایی برخوردار است. در ادامه دستورات لازم برای تنظیم flexible Netflow آورده شده است.
۱) تنظیم Flow Exporter
ایجاد Netflow Exporter :
R2(config)# flow exporter EXPORTER-1
تعیین آدرس ip سیستم مقصدِ exporter :
R2(config-flow-exporter)# destination 192.168.2.3
تعیین آدرس مبدا:
R2(config-flow-exporter)# source GigabitEthernet0/2
تعیین نسخه مورد استفاده:
R2(config-flow-exporter) # Export-protocol version-9
تعیین پورت مورد استفاده:
R2(config-flow-exporter) # transport udp 9996
۲) تنظیم Flow Record
ایجاد Flow Record:
R2 (config) # flow record NETFLOW-RECORD
نمونهای از تنظیم نام application برای جمع آوری flow:
R2 (config-flow-record) # match ipv4 source address
R2 (config-flow-record) # match ipv4 destination address
R2 (config-flow-record) # match ipv4 protocol
R2 (config-flow-record) # match transport source-port
R2 (config-flow-record) # match transport destination-port
R2 (config-flow-record) # match ipv4 tos
R2 (config-flow-record) # match interface input
R2 (config-flow-record) # collect counter bytes
R2 (config-flow-record) # collect counter packets
R2 (config-flow-record) # collect interface output
۳) تنظیم Flow Monitor
ایجاد Flow Monitor :
R2 (config) # flow monitor NETFLOW-MONITOR
R2 (config-flow-monitor) # record NETFLOW-RECORD
R2 (config-flow-monitor) # exporter EXPORTER-1
R2 (config-flow-monitor) # cache timeout active 30
R2 (config-flow-monitor) # cache timeout inactive 15
۴) مشاهده آمار
به کار بستن Netflow Monitor بر روی اینترفیسهای روتر:
R2 (config) # interface GigabitEthernet0/1
R2 (config-if) # ip flow monitor NETFLOW-MONITOR input
مشاهده اطلاعات flow export :
R2 # show flow exporter NETFLOW-EXPORTER
(که شامل اطلاعاتی نظیر نسخه پروتکل export، اینترفیس مبدا و آدرس ip، آدرس ip اینترفیس مقصد، نوع پروتکل transport و پورت آن میشود)
برای به دست آوردن اطلاعاتی نظیر تعداد بستههای ارسال شده و تعداد رکوردهای Netflow دستور زیر به کار میرود:
R2 # show flow exporter statistics
