Развёртывание NetFlow на маршрутизаторе:
Шаг 1. Настройка сбора данных NetFlow — NetFlow собирает данные из входящих и исходящих пакетов.
Шаг 2. Настройка экспорта данных NetFlow — необходимо указать IP-адрес или имя узла сборщика данных NetFlow, а также порт UDP, прослушиваемый сборщиком NetFlow.
Шаг 3. Проверка работоспособности и статистики NetFlow — после настройки NetFlow экспортированные данные можно проанализировать на рабочей станции, используя такие приложения, как SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer или Cisco NetFlow Collector (NFC). В качестве минимального варианта можно использовать выходные данные ряда команд show на самом маршрутизаторе.
В число обстоятельств, учитываемых при настройке NetFlow, входят следующие:
- Новые модели маршрутизаторов Cisco, например маршрутизаторы серии ISR G2, поддерживают как NetFlow, так и Flexible NetFlow.
- Новые модели коммутаторов Cisco, например коммутаторы серии 3560-X, поддерживают Flexible NetFlow; однако существуют модели коммутаторов Cisco, например коммутаторы Cisco серии 2960, которые не поддерживают ни NetFlow, ни Flexible NetFlow.
- NetFlow потребляет дополнительный объём памяти. Если сетевое устройство Cisco имеет ограничения памяти, можно предварительно настроить размер кэша NetFlow, так чтобы в нем помещалось меньшее число записей. Размер кэша по умолчанию зависит от платформы.
- Требования к ПО NetFlow для сборщика данных NetFlow могут различаться. Например, для ПО NetFlow Scrutinizer на узле Windows требуется 4 Гбайт ОЗУ и 50 Гбайт дискового пространства.
Примечание. Основное внимание в рамках данного курса уделяется настройке первоначального протокола NetFlow (в документации по продуктам Cisco он называется просто NetFlow) на маршрутизаторе Cisco. Настройка Flexible Netflow в рамках данного курса не рассматривается.
Поток NetFlow является однонаправленным. Это означает, что одно подключение пользователя к приложению существует в качестве двух потоков NetFlow, по одному для каждого направления. Чтобы определить данные для сбора с помощью протокола NetFlow в режиме настройки интерфейса, выполните следующие действия:
- Используйте команду интерфейса ip flow ingress, чтобы определить сбор данных NetFlow для наблюдения за входящими пакетами.
- Используйте команду интерфейса ip flow egress, чтобы определить сбор данных NetFlow для наблюдения за исходящими пакетами.
Чтобы разрешить отправку данных NetFlow сборщику данных NetFlow, необходимо настроить на маршрутизаторе несколько элементов в режиме глобальной конфигурации:
- IP-адрес и номер порта UDP сборщика NetFlow — используйте команду ip flow-export destination ip-address udp-port. Сборщик данных может иметь один или несколько портов по умолчанию для сбора данных NetFlow. С помощью программного обеспечения администратор может определять, какой порт или порты будут принимать данные NetFlow. Чаще всего для этого назначаются порты UDP 99, 2055 и 9996.
- (Дополнительно) Версия NetFlow, которую следует использовать при форматировании записей NetFlow, отправляемых сборщику: используйте команду ip flow-export version version. NetFlow экспортирует данные в UDP в одном из пяти форматов (1, 5, 7, 8 и 9). Версия 9 — это наиболее универсальный формат экспорта данных, однако он не совместим с предыдущими версиями. Версия 1 — это версия, назначаемая по умолчанию, если не указана версия 5. Версию 1 следует применять, только если это единственная версия формата экспорта данных NetFlow, поддерживаемая программным обеспечением сборщика данных NetFlow.
- (Дополнительно) Интерфейс источника, который будет использоваться в качестве источника пакетов, отправляемых сборщику — используйте команду ip flow-export source typenumber.
На рисунке представлена базовая настройка NetFlow. Маршрутизатору R1 назначен IP-адрес 192.168.1.1 на интерфейсе G0/1. Сборщику NetFlow назначен IP-адрес 192.168.1.3, и он настроен для сбора данных через порт UDP 2055. Осуществляется наблюдение за входящим и исходящим трафиком через интерфейс G0/1. Данные NetFlow отправляются в формате версии 5.