Отображать статистику NetFlow на сетевом устройстве

Есть такая классная штука NetFlow. Проблема в том, что даже у самого Cisco далеко не все устройства поддерживают эту функцию. Ниже я расскажу, как можно решить эту задачу и получить NetFlow сервис практически на любом свитче, поддерживающим зеркалирование портов.

Что нам понадобится.
Свитч с функцией зеркалирования VLAN или портов, с подключенными к нему ПК. В моём случае это был cisco 3750. Нужен будет комп с Linux. Дистрибутив может быть почти любой, только по новее. Нужно будет установить дополнительно gcc, kernel-headers, libpcap, libpcap-devel. Я использовал SuSE ent server 11.

Подготавливаем свитч.
Выбираем на свитче один порт. К этому порту будет подключен наш ПК для сбора статистики. Порт этот нужно будет настроить как порт назначения в функции зеркалирования портов свитча. Вообще зеркалирование портов настраивается индивидуально для каждого устройства в зависимости от производителя. Для cisco 3750 это будет так:

core-switch>conf t
core-switch(config)#monitor session 1 source interface Gi1/0/1
core-switch(config)#monitor session 1 destination interface Gi1/0/2

destination для каждой из групп может быть только один, source соурсов может быть и больше. В качесте источника может быть порт или VLAN. Я поступил просто — запихал в одну группу все мои VLANs.

К зеркальному порту подключаем наш ПК. На него нужно установить NetFlow сенсор и NetFlow коллектор. В качестве сенсора я выбрал fprobe он прост в настройке и не сильно требователен к программному окружению. Хотя при сильной загруженности сети может быть прожорлив по части системных ресурсов. Скачиваем fprobe и компилируем самым простым способом.

root#./configure
root#make
root#make install

Запускаем fprobe.При запуске fprobe можно указать тучу параметров, но в большинстве случаев они не нужны.
Самый простой пример:
fprobe -i eth0 127.0.0.1:9996
Ключ -i устанавливает назване активного интерфейса. Далее идёт IP NetFlow коллектора и номер порта.

Как альтернативу fprobe могу предложить softflowd. Работает он практически так же, только ключи запуска не много другие. Ставится softflowd так же как и fprobe. Ниже пример запуска:
softflowd -i eth0 -n 1.2.3.4:9996

Softflowd включает в себя программу контроля softflowctl, с помощью которой можно проверить работоспособность softflow:

#softflowctl statistics
softflowd[40476]: Accumulated statistics:
Number of active flows: 2299
Packets processed: 268089
Fragments: 0
Ignored packets: 867 (867 non-IP, 0 too short)
Flows expired: 3103 (0 forced)
Flows exported: 6206 in 214 packets (0 failures)

Устанавливаем NetFlow коллектор.
Коллекторов существует превеликое множество. flow-tools на пример — вполне не плохое бесплатное решение. Мне же нравится Manageengine NetFlow Analyzer. Он, конечно платный, но вы же знаете что делать в таких случаях ;-)

Добавить комментарий

Ваш e-mail не будет опубликован.

Proudly powered by WordPress   Premium Style Theme by www.gopiplus.com