Налаштування протоколу netflow на устаткуванні cisco, CiscoTips

Netflow – протокол, розроблений спочатку компанією Cisco для обліку мережевого трафіку. На даний момент його сфера застосування виходить далеко за межі пристроїв цієї компанії, існують вільні реалізації, багато виробників додають підтримку netflow у свої пристрої. Існує кілька версій цього протоколу, найбільш поширені версії 5 і 9, причому функціональні відмінності між версіями невеликі.

У рамках netflow мається на увазі три ролі, в яких можуть виступати пристрої:

  1. Сенсор - пристрій, що збирає статистику про трафік і передає її колектору. Як сенсор може бути маршрутизатор або комутатор третього рівня cisco.
  2. Колектор – програма, що працює на сервері, що збирає та зберігає статистику, отриману від сенсорів.
  3. Аналізатор – додаток, що аналізує та обробляє збережену колектором статистику, надає різні звіти, графіки тощо.

У статистиці, що збирається на колекторі, враховується не кожен пакет індивідуально – це було б надто ресурсоємно, а потоки. Потік (flow) – це група пакетів, у яких збігаються:

  • Адреса відправника;
  • Адреса одержувача;
  • Порт джерела (для TCP чи UDP);
  • Порт одержувача (для TCP чи UDP);
  • Тип та код повідомлення (для ICMP);
  • протокол, інкапсульований в IP (поле заголовка IP «protocol»);
  • Значення поля ToS;
  • Інтерфейс, у якому з'явився пакет.

Таким чином, група пакетів, у яких ці параметри збіглися, називається потоком, а в межах потоку можна порахувати, скільки в ньому передано пакетів, скільки байт інформації та іншу статистику. Маршрутизатор збирає цюінформацію та передає її колектору.

  • Версія протоколу;
  • Порядковий номер запису про потік;
  • Час початку та закінчення потоку;
  • Кількість байт та пакетів у потоці;
  • Інтерфейси, якими здійснювалася передача;
  • Адреса одержувача та відправника;
  • Порти одержувача та відправника;
  • номер протоколу, інкапсульованого в IP;
  • Значення ToS;

Налаштування протоколу netflow досить просте. Необхідно вибрати інтерфейси, на яких ми хочемо організувати збір статистики та напрямок трафіку, який ми хочемо моніторити (на вхід, на вихід або обидва). Наприклад:

Для налагодження добре використовувати дві команди:show ip cache flow- видає локальну статистику netflow прямо на маршрутизаторі, без колектора;show ip flow export– відображає статистику взаємодії з колектором (скільки потоків відправлено, скільки пакетів пішло на колектор, помилки при взаємодії з колектором тощо).