Cisco NetFlow сбор статистики, основа
Решил поэкспериментировать с NetFlow на Cisco. Раньше я использовал лишь вывод топов, чтобы иметь оперативную информацию по загрузке сетевых интерфейсов. Более подробную статистику я получал с прокси-сервера. Как ни как для корпоративного сектора прокси это более оптимальное решение, чем сбор статистики с портов роутера. Стоимость программного обеспечения в рассчёт брать не будем, так как можно найти бесплатные решения. Есть бесплатное ПО для проксирования и для мониторинга NetFlow с Cisco.
Заранее хочу предупредить о том, что эта функция довольно ресурсоёмкая. Если запустить подобный мониторинг на нагруженном канале, то можно заметить дополнительную нагрузку на процессор и расход памяти. Эксперимент проводился на роутере небольшой конторы, я бы сказал миниатюрной.
На мой взгляд это очень удобное решение для небольших контор, где нет возможности выделить сервер под прокси. Для мониторинга и хранения подойдёт средний компьютер или виртуальный сервер. Большинство бесплатных решений для хранения и обработки работают под FreeBSD или Linux, но есть бесплатные решения для Windows. Мне понравилась программа NetFlow Analyzer от Zoho Corporation. Это платное решение, но есть возможность установить в бесплатном режиме. Ограничение бесплатного режима заключается в том, что можно контролировать только два интерфейса. Для маленького офиса это нормальное ограничение, так как контролю подвергается только один интерфейс.
На тему NetFlow можно написать огромное количество статей, но я дам лишь старт для ознакомления. Остальное можно почерпнуть в технической документации от компании Cisco.
Для начала необходимо определиться с ПО для хранения и анализа отчётов. Далее необходимо оценить структуру сети и определиться с тем какие порты будут мониториться. Вопрос о мониторинге портов кажется простым, а для начинающих он может оказаться не тривиальным и привести к проблемам с подсчётом траффика. Так же у Cisco произошло изменение в командах. Ранее необходимо было дать команду ip route-cache flow на аппаратном порту, а на всех контроллируемых сабинтерфейсах необходимо дать команду ip flow ingress. Потом политика поменялась и начиная с IOS 12.4Т команда ip route-cache flow на аппаратном порту превращается в ip flow ingress. Так как мы рассматриваем небольшую сеть, то в нашем распоряжении небольшой роутер с одним портом смотрящим в локальную сеть, либо одним VLAN образующим сеть.
Со стороны железа необходимо будет провести минимальные настройки.
configure terminal ip flow-export version 9 ip flow-export destination 192.168.30.50 9996 ip flow-export source FastEthernet0/1 interface FastEthernet0/1 ip flow ingress end write
Можно разобрать по строчкам.
ip flow-export version 9 эта команда включает NetFlow и указывает версию экспорта. Так как используемая мной программа воспринимает девятую версию, то я указал именно её.
ip flow-export destination ADDRESS PORT сия команда указывает адрес и порт выгрузки данных NetFlow. На принимающей стороне нужно установить такие же параметры. Таких конструкций может быть две. Эту функцию используют редко, но она позволит резервировать канал для статистики.
ip flow-export source FastEthernet0/1 указание на то, какой интерфейс слушать.
ip flow ingress на каждом контроллируемом интерфейсе указываем эту команду.
Всё готово. Можно снимать данные и анализировать траффик.
Отредактировано:2020-09-09 16:19:02