Net Admin

NetFlow Konfigurationsvejledning – Sådan konfigureres NetFlow på Cisco-servere

NetFlow-konfigurationsvejledning



Under den forstyrrende indflydelse fra cloud computing og containeriseret teknologi er netværk blevet mere og mere uigennemsigtige. Moderne virksomheder bruger teknologi, der er mere kompleks og hurtigere. Alligevel er NetFlow, en teknologi udviklet i 1990'erne, trods alle disse ændringer forblevet en vigtig del af netværkssikkerhed og overvågning af servicekvalitet.

Hvad er NetFlow?

NetFlow er ennetværksprotokolog Cisco IOS-applikation, der blev udviklet af Cisco til at indsamle og overvåge trafikdata genereret af routere og switches (mange routere har en NetFlow-funktion, der automatisk registrerer NetFlow-data). Enheder, der er kompatible med NetFlow, producerer data, der kan eksporteres til en NetFlow-samler/softwareagent.



Efter eksport af NetFlow-data kan en administrator bruge en NetFlow trafikanalysator for at se visuelle repræsentationer af disse flowdata for at måle netværkets ydeevne. For eksempel, hvis der er en usædvanlig stigning i trafikken, vil en NetFlow Analyzer sende dig en advarsel.

At identificere unormale trafikniveauer er nyttigt til at diagnosticere cyberangreb som f.eks DDoS angreb, så brugeren kan tage skridt til at afbøde det ASAP. Med andre ord er brug af NetFlow en fantastisk måde at overvåge og fejlfinde dit netværk på.



Konfigurer og bekræft Cisco NetFlow med Cisco UCS Manager GUI

Cisco UCS-grænseflade

Mens Cisco7200,7500,7400,MGX, ogAS5800er alle kompatible med NetFlow-applikationen, skal du købe en funktionslicens for at kunne bruge NetFlow-funktionen.

Før du aktiverer NetFlow, skal du konfigurere din router til IP-routing, aktivere Cisco Express-videresendelse, distribueret Cisco Express-videresendelse eller hurtig skift. I dette eksempel skal vi konfigurere NetFlow gennem Cisco UCS Manager grafisk brugergrænseflade (GUI).

Cisco UCS Manager er et system, der bruges til at kommunikere med routere og switche på tværs af et netværk. Det inkluderer adaptere som Cisco UCS VIC 1225, Cisco UCS VIC 1240 og Cisco UCS VIC 1280. Sådan konfigureres NetFlow med UCS Manager:

  1. Gå tilOGfanen > NetFlow > Genereltside og tjekradioknap.Definer en flowregistrering
  2. Nu skal vi definere en flowregistrering. For at gøre dette skal du klikke påOGfanen > NetFlow-overvågning.
  3. Højreklik derefter påFlow Record Definitioner > Opret Flow Record Definition.
  4. Gå tilOpret Flow Record Definitiondialogboksen og indtast enNavnog enBeskrivelse. Gå nu tilDefiner nøglersektion og vælg en af ​​følgende:L2 nøgler,IPv4-nøgler, ellerIpv6 nøgler. Disse henviser til Layer 2 Switched, IPv4 og IPv6.
  5. Gå tilVælg Målte felter(ikke-nøgler)og marker de felter, du vil inkludere med flowdataene. Valgmuligheder omfatter;Tæller Bytes lang,Tællerpakker lange,Sys Uptime First, ogSys Oppetid Sidst.Definer en Flow Collector
  6. Når dette er gjort, er det tid til at definere enFlowsamler. For at gøre dette skal du gå tilOGfanen >NetFlow-overvågning > Flowsamlereog klik påTilføjeknap.
  7. Gå tilOpret flowsamlereboks og indtast enNavnogBeskrivelsetil flowsamleren. Indtast nuSamler IP,Havn,Eksportør Gateway IP, ogVLAN.Definer en floweksportør
  8. Efter dette skal vi definere enFlow eksportør. Gå tilOGfanen > Netværksovervågning > Floweksportører > Opret floweksportør. Indtast enNavnog enBeskrivelse. Udfyld nu resten af ​​formularindstillingerne:DSCP,Eksportør profil,Flowsamler,Timeout for skabelondata,Option Eksportørstatistik Timeout, ogOption Interfacetabel Timeout.Definer en flowmonitor
  9. Nu er det tid til at definere enFlow monitor. For at gøre dette gå tilLAN > NetFlow-overvågning > Flowmonitorer(ikon) og trykOpret flowmonitor. Indtast enNavnog enBeskrivelse. Indtast derefter aFlow definition,Floweksportør 1,Flow-eksportør 2, ogTimeout-politik.Definer en flowmonitorsession
  10. Efter at have defineret en Flow Monitor, skal viDefiner en flowmonitorsession. Vi kan gøre dette ved at gå tilLAN > Netværksovervågning > Flowovervågningssessioner. TrykkeOpret flowovervågningssession, og indtast derefter aNavnogBeskrivelse. UnderVærtsmodtagelsesretningsmonitor, vælg den flowmonitor, du vil bruge på listen, eller tryk påOpret flowmonitorhvis du vil oprette en.
  11. UnderVærtstransmissionsretningsovervågning 1parameter, vælg den flowmonitor, du vil bruge, fra listen eller brugOpret flowmonitormulighed for at oprette en. UdfyldVærtsmodtagelsesretningsmonitor 2ogVærtstransmissionsretningsmonitor 2parametre med eventuelle yderligere konfigurationer.Tildel en Flow Monitor-session til en vNIC
  12. Nu skal viTildel en flowmonitorsessiontil en vNIC. KlikLAN > NetFlow-overvågning > Flowovervågningssessionerog vælgFlowovervågningssessiondu vil konfigurere. IndstilFlow-eksportørprofilstandard og derefter gå tilEjendommeog udvidevNIC'ermulighed. Klik påTilføjeknappen, og vælg derefter hvilkenvNICdu vil bruge med flowmonitorsessionen.
  13. Gem ændringerne og afslut.

Konfigurer og bekræft Cisco NetFlow via en kommandolinjegrænseflade

Hvis du vil bruge Command Line Interface (CLI) til at konfigurere NetFlow på en grænseflade, er dette et andet alternativ til GUI. Processen til at konfigurere og verificere NetFlow er relativt enkel:

  1. For at aktivere EXEC-tilstand skal du indtaste følgende kommando:|_+_|
  2. Nu, gå indGlobal konfigurationstilstandved at indtaste kommandoen configure:|_+_|
  3. Vælg den grænseflade, du vil konfigurere til NetFlow, ved at indtaste tallet:|_+_|
  4. Dernæst skal viAktiver NetFlow-indgangogudgangpå grænsefladen. For at gøre det skal du indtaste disse to kommandoer:|_+_|
  5. Hvis du vil aktivere NetFlow på en anden grænseflade, skal du bruge følgende kommando for at vende tilbage til Global Configuration Mode:|_+_|
  6. Gentag derefter hele processen, indtil du har konfigureret alle de grænseflader, du har brug for.
  7. For at afslutte, brug End-kommandoen til at vende tilbage til EXEC-tilstand:|_+_|

Kontroller, at NetFlow er oppe og køre

For at sikre, at NetFlow er operationelt, kan du bruge vis IP-flow-grænsefladen, vise IP-cache-flow og vise IP-cache verbose flow-kommandoer:

  1. Brugvis IP flow interfacekommando for at se NetFlow-konfigurationen for grænsefladen:|_+_|
  2. Brug kommandoen show ip cache flow til at bekræfte, at NetFlow fungerer sammen med en oversigt over statistik:|_+_|
  3. Brugvis ip cache verbose flowkommando for at bekræfte, at NetFlow arbejder sammen med en oversigt over statistik. Det kan bruges til at seKildemaskeogSOM,Destination Port Mask AS,ToSogTCP,Strømningshastighed, og mere. For at bruge kommandoen skal du indtaste følgende:|_+_|

NetFlow-samlere og -analysatorer

Når du er færdig med at konfigurere NetFlow, er næste trin at vælge et flowindsamlingsværktøj. Selv efter at have fulgt trinene ovenfor, vil du ikke være i stand til at bruge NetFlow, medmindre du har en softwareagent/NetFlow-analysator til at indsamle de oplysninger, der genereres af dine enheder. Den gode nyhed er, at disse værktøjer er bredt tilgængelige. I dette afsnit skal vi se på to platforme:

SolarWinds NetFlow Traffic Analyzer (GRATIS PRØVE)

Solarwinds NetFlow Traffic Analyzer

SolarWinds NetFlow Traffic Analyzerer en NetFlow-trafikanalysator og båndbreddeovervågningsværktøj, som du kan bruge til at se NetFlow-output. Værktøjet giver dig mulighed for at se IPv4- og IPv6-flowdata. Det har også en GUI med ydeevne-dashboards, hvor du kan se NetFlow-kilder og en oversigt over Top Bandwidth Hogs i netværket.

For eksempel kan du slå navnet på en switch i dit netværk op og se Traffic In, Traffic Out, Last Received NetFlow og Last Received CBQOS for at se, om trafikken er normal.

Softwaren har et alarmsystem, så du modtager advarsler, når der er et udsving i trafikken, som du skal være opmærksom på. Du kan konfigurere, hvornår der genereres advarsler med brugerdefinerede parametre. Du kan f.eks. indstille en udløserbetingelse, som når applikationstrafik overstiger tærsklen, og derefter indstille en parameter for indgående trafik.

Fordele:

  • Fremragende brugergrænseflade, nem at navigere og forbliver overskuelig, selv når den bruges på højvolumenetværk
  • Understøtter flere netværksteknologier såsom Cisco Netflow, Juniper Networks J-Flow og Huawei Netstream, hvilket gør det til en hardware-agnostisk løsning
  • Forudbyggede skabeloner giver dig mulighed for at hente indsigt fra pakkeoptagelse med det samme
  • Installeres på Windows såvel som på flere varianter af Linux
  • Bygget til virksomheden og tilbyder SLA-sporings- og overvågningsfunktioner

Ulemper:

  • Bygget til virksomhedsvirksomheder, der behandler mange data, ikke det bedste til små LAN'er eller hjemmebrugere

Værktøjet starter ved en pris på (£1.475). Der er også en30 dages gratis prøveperiodeversion.

SolarWinds NetFlow Traffic Analyzer Download 30-dages GRATIS prøveversion

ManageEngine NetFlow Analyzer

ManageEngine NetFlow Analyzer

ManageEngine producerer sin NetFlow Analyzer som et supplement til dets hovednetværksovervågningssystem, som kaldes OpManager. Hvis du køber begge pakker, går de sammen.

NetFlow Analyzer er i stand til at forespørge switche og routere bygget af Cisco Systems ved at bruge NetFlow protokol. Værktøjet kan også kommunikere med Juniper Networks udstyr ved brug af J-Flow og med Huawei NetStream . Softwaren er også i stand til at kommunikere vha sFlow , IP-FIX , og AppFlow .

Brug dette overvågningssystem til at overvåge trafikmønstre på dit netværk. Du vil også kunne implementere QoS trafikformning til interaktive applikationer, såsom VoIP. Pakken har også Cisco NBAR funktioner indbygget i den til portgenkendelse.

Fordele:

  • Understøtter flere protokoller som NetFlow, fantastisk til overvågning af Cisco-udstyr
  • Begge værktøjer fungerer godt ved siden af ​​hinanden for at hjælpe med at se trafikmønstre og båndbreddeforbrug
  • Brugervenlig grænseflade fremhæver automatisk båndbredde-svin og andre afvigelser fra netværkstrafik
  • Kan proaktivt overvåge switch-portstatus for at identificere svigtende porte og fejlkonfigurationer

Ulemper:

  • Bygget til virksomhedsbrug, ikke designet til små hjemmenetværk

ManageEngine NetFlow Analyzer er en lokal pakke, der kører videre Windows Server og Linux . Du kan undersøge denne pakke på en 30 dages gratis prøveperiode .

Site24x7 netværksovervågning

Site24x7 NetFlow-enheder

Site24x7er en SaaS-platform, der tilbyder en række systemovervågnings- og administrationspakker. Netværksovervågning er Site24x7-tjenesten til trafikovervågning og -styring. Systemet kan overvåge netværksenhedsstatusser med SNMP og også spore trafikmønstre med NetFlow.

Værktøjet er i stand til at arbejde med multi-leverandør netværk, fordi det kan kommunikere med enheder leveret af Juniper Networks, D-Link, Dell, HP og Canon samt Cisco Systems. Faktisk kan overvågningsværktøjet udtrække trafikdata fra enheder produceret af en liste med 450 leverandører.

Samlet set Site24x7 netværksovervågning tjenesten vil overvåge switche, routere, firewalls, VPN'er, trådløse systemer, belastningsbalancere, WAN-acceleratorer, lagerservere og -enheder, UPS-enheder og printere.

Fordele:

  • Fleksibel cloud-baseret overvågningsmulighed
  • Tilbyder et væld af out-of-box overvågningsmuligheder og dashboardskabeloner til SQL-server
  • Giver administratorer mulighed for at se afhængigheder i applikationsstakken, godt til at bygge SLA'er og optimere oppetiden
  • Tilbyder årsagsanalyse forbedret af AI for at løse tekniske problemer hurtigere
  • Kan forene SQL-overvågning på tværs af multi-cloud-miljøer

Ulemper:

  • Site24x7 er en funktionsrig platform med muligheder, der strækker sig ud over databasestyring, kan kræve tid til at lære alle muligheder og funktioner

Som det er beboer på skyen , dette overvågningssystem er ikke begrænset til at se over ét netværk. Den kan overvåge flere netværk og forbindelser til cloud-platforme, uanset hvor de er placeret. Site24x7 netværksovervågning er tilgængelig på en 30 dages gratis prøveperiode .

Paessler PRTG netværksmonitor

PRTG netværksmonitor

PRTG netværksmonitorer et stykke netværksovervågningssoftware, der kan overvåge NetFlow-trafik. Det understøtter alle NetFlow-versioner og giver en GUI til at overvåge enheder. Du kan overvåge NetFlow med sensorer. Der er en NetFlow V5-sensor og en NetFlow V9-sensor.

Sensorerne måler netværkstrafik i kbit per sekund i en række forskellige formater (herunder, FTP/P2P, DHCP, DNS, Ident, ICMP, SNMP, IMAP, NetBIOS, SSH, Telnet, HTTP, HTTPS, UDP, TCP og mere) . Al trafik præsenteres i en grafisk oversigt, der viser en Top Talkers, Top Connections og Top Protocols sammen med en tidsperiode efter eget valg.

Fordele:

  • Designet til at være et infrastrukturovervågningsværktøj, der understøtter flere sensortyper såsom NetFlow, sFlow og J-Flow
  • Tilbyder yderligere overvågning på den samme platform, der understøtter overvågning af infrastruktur, netværk og applikationsydelse
  • Understøtter flere kanaler og integrationer til advarsler
  • Bruger letlæselige grafer til trafikvisualisering

Ulemper:

  • Meget detaljeret platform, tager tid at lære og fuldt ud udnytte alle de tilgængelige funktioner

Sensorerne kan konfigureres til at sende dig advarsler via e-mail og SMS, hvis trafikken når usædvanlige niveauer. Prisen på Paessler PRTG Network Monitor starter ved $1.600 (£1.232) for 500 sensorer og en serverinstallation. Der er også en 30 dages gratis prøveperiode version.

Håndtering af præstations- og sikkerhedshændelser med NetFlow-overvågning

Når NetFlow er konfigureret på dine enheder, vil du være i stand til at overvåge pakker, der sendes gennem dit netværk. NetFlow-overvågning er yderst nyttig som en del af din netværksovervågningsstrategi, fordi den giver dig mulighed for at se trafik og identificere cyberangreb som DoS eller DDoS.

Hvis du planlægger at bruge en NetFlow-overvågning til at overvåge dit netværk, er det en god idé at downloade en NetFlow-analysator. Det vil give dig en GUI til at overvåge trafikken og gøre det nemmere at identificere cyberangreb. Overvågning af trafik vil hjælpe dig med at holde et vågent øje med ydeevne og sikkerhedshændelser.

^