Tải bản đầy đủ

Netflow (autorecovered)

Introduction
Monitoring an operational network can provide a network administrator with information to proactively manage the
network and to report network usage statistics to others. Link activity, error rates, and link status are a few of the
factors that help a network administrator determine the health and usage of a network. Collecting and reviewing this
information over time enables a network administrator to see and project growth, and may enable the administrator to
detect and replace a failing part before it completely fails.
This chapter covers three protocols that a network administrator can use to monitor the network. Syslog, SNMP, and
NetFlow are popular protocols with different strengths and weaknesses. Together, they provide a good toolset for
understanding what is happening on a network. The Network Time Protocol (NTP) is used to synchronize time across
devices, which is especially important when trying to compare log files from different devices.

Giới thiệu
Giám sát mạng lưới hoạt động có thể cung cấp cho quản trị viên mạng thông tin để
chủ động quản lý mạng và báo cáo thống kê sử dụng mạng cho người khác. Liên
kết hoạt động, tỷ lệ lỗi, và tình trạng liên kết là một vài trong số các yếu tố giúp
một quản trị mạng xác định sức khỏe và sử dụng mạng. Thu thập và xem lại thông
tin này qua thời gian cho phép quản trị viên mạng xem và phát triển dự án và có thể
cho phép quản trị viên phát hiện và thay thế một phần không thành công trước khi
hoàn toàn không thành công.
Chương này bao gồm ba giao thức mà một quản trị viên mạng có thể sử dụng để
giám sát mạng. Syslog, SNMP, và NetFlow là các giao thức phổ biến với các điểm

mạnh và điểm yếu khác nhau. Cùng nhau, họ cung cấp một bộ công cụ tốt để hiểu
những gì đang xảy ra trên mạng. Giao thức Thời gian Mạng (NTP) được sử dụng
để đồng bộ hóa thời gian giữa các thiết bị, điều này đặc biệt quan trọng khi cố gắng
so sánh tệp nhật ký từ các thiết bị khác nhau.

Introducing NetFlow
NetFlow is a Cisco IOS technology that provides statistics on packets flowing through a Cisco router or multilayer
switch. NetFlow is the standard for collecting IP operational data from IP networks.
Historically, NetFlow technology was developed because networking professionals needed a simple and efficient
method for tracking TCP/IP flows in the network, and SNMP was not sufficient for these purposes. While SNMP
attempts to provide a very wide range of network management features and options, NetFlow is focused on providing
statistics on IP packets flowing through network devices.
NetFlow provides data to enable network and security monitoring, network planning, traffic analysis to include
identification of network bottlenecks, and IP accounting for billing purposes. For example, in the figure, PC 1 connects
to PC 2 using an application such as HTTPS. NetFlow can monitor that application connection, tracking byte and
packet counts for that individual application flow. It then pushes the statistics over to an external server called a
NetFlow collector.
NetFlow has become a monitoring standard, and is now widely supported in the networking industry.


Flexible NetFlow is the latest NetFlow technology. Flexible NetFlow improves on “original NetFlow” by adding the
capability to customize the traffic analysis parameters for the specific requirements of a network administrator.
Flexible NetFlow facilitates the creation of more complex configurations for traffic analysis and data export through the
use of reusable configuration components.
Flexible NetFlow uses the Version 9 export format. The distinguishing feature of the NetFlow Version 9 export format
is that it is template-based. Templates provide an extensible design to the record format, a feature that allows future
enhancements to NetFlow services without requiring concurrent changes to the basic flow-record format. It is
important to note that many useful Flexible NetFlow commands were introduced with Cisco IOS Release 15.1.

Giới thiệu NetFlow
NetFlow là một công nghệ Cisco IOS cung cấp số liệu thống kê về các gói tin đi
qua một bộ định tuyến của Cisco hoặc bộ chuyển mạch nhiều lớp. NetFlow là
chuẩn để thu thập dữ liệu hoạt động IP từ các mạng IP.
Về mặt lịch sử, công nghệ NetFlow đã được phát triển bởi vì các chuyên gia mạng
cần một phương pháp đơn giản và hiệu quả để theo dõi các luồng TCP / IP trong
mạng, và SNMP không đủ cho các mục đích này. Trong khi SNMP cố gắng cung
cấp một loạt các tính năng quản lý mạng và các tùy chọn, NetFlow tập trung cung
cấp số liệu thống kê về các gói tin IP chảy qua các thiết bị mạng.
NetFlow cung cấp dữ liệu để cho phép giám sát mạng và an ninh, lập kế hoạch
mạng, phân tích giao thông bao gồm xác định tắc nghẽn mạng, và tính toán IP cho


các mục đích thanh toán. Ví dụ, trong hình, máy PC 1 kết nối với PC 2 sử dụng một
ứng dụng như HTTPS. NetFlow có thể giám sát kết nối ứng dụng, theo dõi byte và
gói tin cho mỗi luồng ứng dụng đó. Sau đó đẩy dữ liệu thống kê đến một máy chủ
bên ngoài gọi là bộ sưu tập NetFlow.
NetFlow đã trở thành một tiêu chuẩn giám sát, và hiện đang được hỗ trợ rộng rãi
trong ngành công nghiệp mạng.
NetFlow linh hoạt là công nghệ NetFlow mới nhất. NetFlow linh hoạt cải thiện
"NetFlow ban đầu" bằng cách thêm khả năng tùy chỉnh các tham số phân tích lưu
lượng cho các yêu cầu cụ thể của người quản trị mạng. NetFlow linh hoạt tạo điều
kiện cho việc tạo ra các cấu hình phức tạp hơn cho phân tích lưu lượng và xuất dữ
liệu thông qua việc sử dụng các thành phần cấu hình có thể tái sử dụng.
NetFlow linh hoạt sử dụng định dạng xuất khẩu Phiên bản 9. Tính năng phân biệt
của định dạng xuất NetFlow Phiên bản 9 là nó dựa trên mẫu. Mẫu cung cấp một
thiết kế mở rộng cho định dạng bản ghi, một tính năng cho phép cải tiến trong
tương lai cho các dịch vụ NetFlow mà không cần phải có sự thay đổi đồng thời với


định dạng lưu lượng cơ bản. Cần lưu ý rằng nhiều lệnh Flexible NetFlow hữu ích
đã được giới thiệu với Cisco IOS Release 15.1.

Understanding NetFlow
There are many potential uses of the statistics that NetFlow provides; however, most organizations use NetFlow for
some or all of the following important data collection purposes:



Measuring who is using what network resources for what purpose.



Accounting and charging back according to the resource utilization level.



Using the measured information to do more effective network planning so that resource allocation and
deployment is well-aligned with customer requirements.



Using the information to better structure and customize the set of available applications and services to meet
user needs and customer service requirements.

When comparing the functionality of SNMP to NetFlow, an analogy for SNMP might be remote-control software for an
unmanned vehicle; whereas an analogy for NetFlow is a simple, yet detailed phone bill. Phone records provide callby-call and aggregated statistics that enable the person paying the bill to track long calls, frequent calls, or calls that
should not have been made.
In contrast to SNMP, NetFlow uses a “push-based” model. The collector simply listens for NetFlow traffic, and the
networking devices are in charge of sending NetFlow data to the collector, based on changes in their flow cache.
Another difference between NetFlow and SNMP is that NetFlow only gathers traffic statistics, as shown in the figure,
whereas SNMP can also collect many other performance indicators, such as interface errors, CPU usage, and
memory usage. On the other hand, the traffic statistics collected using NetFlow have a lot more granularity than the
traffic statistics that can be collected using SNMP.
Note: Do not confuse NetFlow’s purpose and results with that of packet capture hardware and software. Whereas
packet captures record all possible information exiting or entering a network device for later analysis, NetFlow targets
specific statistical information.
When Cisco sought out to create NetFlow, two key criteria provided guidance in its creation:



NetFlow should be completely transparent to the applications and devices in the network.



NetFlow should not have to be supported and running on all devices in the network to function.

Achieving these design criteria ensured that NetFlow is very easy to implement in the most complex modern
networks.
Note: Although NetFlow is simple to implement and transparent to the network, it does consume additional memory
on the Cisco device, because NetFlow stores record information in “cache” on the device. The default size of this
cache varies based on the platform, and the administrator can adjust this value.

Tìm hiểu NetFlow


Có nhiều cách sử dụng tiềm năng của các thống kê mà NetFlow cung cấp; tuy
nhiên, hầu hết các tổ chức sử dụng NetFlow cho một số hoặc tất cả các mục đích
thu thập dữ liệu quan trọng sau đây:
- Đo lường những người đang sử dụng những nguồn tài nguyên mạng
cho những gì mục đích.
- Kế toán và tính phí lại theo mức sử dụng tài nguyên.
- Sử dụng các thông tin đo để lập kế hoạch mạng hiệu quả hơn để phân
bổ và triển khai nguồn lực phù hợp với yêu cầu của khách hàng.
- Sử dụng thông tin để cấu trúc tốt hơn và tùy chỉnh các ứng dụng và
dịch vụ hiện có để đáp ứng nhu cầu của người sử dụng và yêu cầu dịch
vụ khách hàng.
Khi so sánh chức năng của SNMP với NetFlow, một sự tương tự cho SNMP có thể
là phần mềm điều khiển từ xa cho một chiếc xe không người lái; trong khi một sự
tương đồng cho NetFlow là một hóa đơn điện thoại đơn giản nhưng chi tiết. Hồ sơ
điện thoại cung cấp các số liệu thống kê tổng hợp và cuộc gọi cho phép người trả
hóa đơn theo dõi các cuộc gọi dài, cuộc gọi thường xuyên, hoặc các cuộc gọi không
nên được thực hiện.
Trái ngược với SNMP, NetFlow sử dụng mô hình "push-based". Người thu gom
đơn giản lắng nghe lưu lượng NetFlow, và các thiết bị mạng có trách nhiệm gửi dữ
liệu NetFlow đến bộ thu, dựa trên sự thay đổi trong bộ nhớ cache lưu lượng. Một
điểm khác biệt giữa NetFlow và SNMP là NetFlow chỉ tập hợp số liệu thống kê lưu
lượng truy cập, như thể hiện trong hình, trong khi SNMP có thể thu thập nhiều chỉ
số hiệu suất khác, chẳng hạn như lỗi giao diện, sử dụng CPU và sử dụng bộ nhớ.
Mặt khác, thống kê lưu lượng truy cập được thu thập bằng cách sử dụng NetFlow
có mức độ chi tiết hơn nhiều so với số liệu thống kê lưu lượng truy cập có thể được
thu thập bằng cách sử dụng SNMP.

Lưu ý: Không nhầm lẫn mục đích và kết quả của NetFlow với phần mềm và phần
mềm chụp gói. Trong khi packet capture ghi lại tất cả các thông tin có thể có trong
thiết bị mạng để phân tích sau đó, NetFlow nhắm đến các thông tin thống kê cụ thể.

Khi Cisco tìm ra NetFlow, hai tiêu chí chính cung cấp hướng dẫn trong việc tạo ra
nó:


- NetFlow phải hoàn toàn minh bạch cho các ứng dụng và thiết bị trong
mạng.
- NetFlow không cần phải được hỗ trợ và chạy trên tất cả các thiết bị
trong mạng để hoạt động.
Đạt được các tiêu chí thiết kế này đảm bảo rằng NetFlow rất dễ thực hiện trong các
mạng hiện đại phức tạp nhất.
Lưu ý: Mặc dù NetFlow đơn giản để thực hiện và minh bạch đối với mạng, nhưng
nó sẽ chiếm bộ nhớ bổ sung trên thiết bị Cisco bởi vì NetFlow lưu trữ thông tin ghi
lại trong "bộ nhớ cache" trên thiết bị. Kích thước mặc định của bộ nhớ cache thay
đổi dựa trên nền tảng, và quản trị viên có thể điều chỉnh giá trị này.

Network Flows
NetFlow breaks down TCP/IP communications for statistical record keeping using the concept of a flow. A flow is a
unidirectional stream of packets between a specific source system and a specific destination. The figure demonstrates
the flow concept.
For NetFlow, which is built around TCP/IP, the source and destination are defined by their network layer IP addresses
and their transport layer source and destination port numbers.
NetFlow technology has seen several generations that provide more sophistication in defining traffic flows, but
“original NetFlow” distinguished flows using a combination of seven fields. Should one of these fields vary in value
from another packet, the packets could be safely determined to be from different flows:



Source IP address



Destination IP address



Source port number



Destination port number



Layer 3 protocol type



Type of Service (ToS) marking



Input logical interface

The first four of the fields NetFlow uses to identify a flow should be familiar. The source and destination IP addresses,
plus the source and destination ports, identify the connection between source and destination application. The Layer 3
protocol type identifies the type of header that follows the IP header (usually TCP or UDP, but other options include
ICMP). The ToS byte in the IPv4 header holds information about how devices should apply quality of service (QoS)
rules to the packets in that flow.


Flexible NetFlow supports more options with flow data records. Flexible NetFlow enables an administrator to define
records for a Flexible NetFlow flow monitor cache by specifying the user-defined optional and required fields to
customize the data collection to suit specific requirements. When defining records for a Flexible NetFlow flow monitor
cache, they are referred to as user-defined records. The values in optional fields are added to flows to provide
additional information about the traffic in the flows. A change in the value of an optional field does not create a new
flow.

Lưu lượng mạng

NetFlow chia nhỏ các giao tiếp TCP / IP để lưu giữ hồ sơ thống kê sử dụng khái
niệm dòng chảy. Dòng chảy là một luồng gói tin đơn hướng giữa một hệ thống
nguồn cụ thể và đích đến cụ thể. Hình minh họa khái niệm dòng chảy.

Đối với NetFlow, được xây dựng xung quanh TCP / IP, nguồn và đích được xác
định bởi các địa chỉ IP lớp mạng và nguồn lớp vận chuyển và số cổng đích của
chúng.

Công nghệ NetFlow đã chứng kiến một vài thế hệ cung cấp sự tinh tế hơn trong
việc xác định lưu lượng giao thông, nhưng "NetFlow gốc" phân biệt dòng chảy
bằng cách sử dụng kết hợp bảy trường. Nếu một trong các trường này khác nhau về
giá trị từ một gói tin khác, các gói có thể được xác định một cách an toàn từ các
dòng khác nhau:
-

Nguồn Địa chỉ IP
Địa chỉ IP đích
Số cổng nguồn
Số cổng đích
Loại giao thức lớp 3
Dấu hiệu Dịch vụ Loại Dịch vụ (ToS)
Nhập vào giao diện logic

Bốn trong bốn lĩnh vực đầu tiên của NetFlow sử dụng để xác định một dòng chảy
nên được quen thuộc. Địa chỉ IP nguồn và đích, cộng với cổng nguồn và đích, xác
định kết nối giữa ứng dụng nguồn và đích. Loại giao thức lớp 3 xác định loại tiêu
đề đi theo tiêu đề IP (thường là TCP hoặc UDP, nhưng các tùy chọn khác bao gồm
ICMP). Các byte ToS trong tiêu đề IPv4 giữ thông tin về cách các thiết bị phải áp
dụng các quy tắc chất lượng dịch vụ (QoS) vào các gói trong luồng đó.


NetFlow linh hoạt hỗ trợ nhiều tùy chọn hơn với các bản ghi dữ liệu luồng.
NetFlow linh hoạt cho phép quản trị viên định nghĩa các bản ghi cho bộ nhớ cache
dòng chảy NetFlow linh hoạt theo dõi bằng cách xác định các trường bắt buộc và
bắt buộc do người dùng xác định để tùy chỉnh việc thu thập dữ liệu cho phù hợp
với yêu cầu cụ thể. Khi định nghĩa các bản ghi cho một bộ nhớ cache dòng chảy
NetFlow linh hoạt theo dõi, chúng được gọi là các bản ghi do người dùng định
nghĩa. Các giá trị trong trường tùy chọn được thêm vào các dòng chảy để cung cấp
thêm thông tin về lưu lượng truy cập trong các luồng. Sự thay đổi giá trị của trường
tùy chọn không tạo ra một luồng mới.
Step 1. Configure NetFlow data capture - NetFlow captures data from ingress (incoming) and egress (outgoing)
packets.
Step 2. Configure NetFlow data export - The IP address or hostname of the NetFlow collector must be specified
and the UDP port to which the NetFlow collector listens.
Step 3. Verify NetFlow, its operation and statistics - After configuring NetFlow, the exported data can be analyzed
on a workstation running an application, such as SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer, or Cisco
NetFlow Collector (NFC). Minimally, one can rely on the output from a number of showcommands on the router itself.
Some NetFlow configuration considerations include:



Newer Cisco routers, such as the ISR G2 series, support both NetFlow and Flexible NetFlow.



Newer Cisco switches, such as the 3560-X series switches, support Flexible NetFlow; however, some Cisco
switches, such as Cisco 2960 Series switches, do not support NetFlow or Flexible NetFlow.



NetFlow consumes additional memory. If a Cisco networking device has memory constraints, the size of the
NetFlow cache can be pre-set so that it contains a smaller number of entries. The default cache size depends
on the platform.



NetFlow software requirements for the NetFlow collector vary. For example, the Scrutinizer NetFlow software
on a Windows host requires 4 GB of RAM and 50 GB of drive space.

Note: The focus here is on Cisco router configuration of the original NetFlow (referred to simply as NetFlow in the
Cisco documentation). The configuration of Flexible Netflow is beyond the scope of this course.
A NetFlow flow is unidirectional. This means that one user connection to an application exists as two NetFlow flows,
one for each direction. To define the data to be captured for NetFlow in interface configuration mode:



Capture NetFlow data for monitoring incoming packets on the interface using the ip flow
ingress command.



Capture NetFlow data for monitoring outgoing packets on the interface using the ip flow
egress command.

To enable the NetFlow data to be sent to the NetFlow collector, there are several items to configure on the router in
global configuration mode:




NetFlow collector’s IP address and UDP port number - Use the ip flow-export destination ipaddress udp-portcommand. The collector has one or more ports, by default, for NetFlow data capture. The
software allows the administrator to specify which port or ports to accept for NetFlow capture. Some common
UDP ports allocated are 99, 2055, and 9996.



(Optional) NetFlow version to follow when formatting the NetFlow records sent to the collector - Use
the ip flow-export version version command. NetFlow exports data in UDP in one of five formats (1,
5, 7, 8, and 9). Version 9 is the most versatile export data format, but it is not backward compatible with
previous versions. Version 1 is the default version if the version is not specified with Version 5. Version 1 should
be used only when it is the only NetFlow data export format version that is supported by the NetFlow collector
software.



(Optional) Source interface to use as the source of the packets sent to the collector - Use the ip
flow-export sourcetypenumber command.

The figure shows a basic NetFlow configuration. Router R1 has IP address 192.168.1.1 on the G0/1 interface. The
NetFlow collector has the IP address of 192.168.1.3 and is configured to capture the data on UDP port 2055. Ingress
and egress traffic through G0/1 is monitored. NetFlow data is sent in Version 5 format.

Bước 1. Cấu hình việc thu thập dữ liệu NetFlow - NetFlow thu thập dữ liệu từ các
gói tin đi vào và đến (gửi đi).

Bước 2. Cấu hình việc xuất dữ liệu NetFlow - Địa chỉ IP hoặc tên máy chủ của bộ
sưu tập NetFlow phải được chỉ rõ và cổng UDP mà bộ thu NetFlow lắng nghe.

Bước 3. Xác minh NetFlow, hoạt động và thống kê của nó - Sau khi cấu hình
NetFlow, dữ liệu được xuất ra có thể được phân tích trên một máy trạm đang chạy
một ứng dụng, chẳng hạn như SolarWinds NetFlow Traffic Analyzer, Plixer
Scrutinizer hoặc Cisco NetFlow Collector (NFC). Tối thiểu, người ta có thể dựa
vào đầu ra từ một số lệnh show trên router.

Một số cân nhắc về cấu hình NetFlow bao gồm:

Các router Cisco mới hơn, chẳng hạn như dòng ISR G2, hỗ trợ cả NetFlow và
Flexible NetFlow.
Các thiết bị chuyển mạch mới của Cisco, chẳng hạn như thiết bị chuyển mạch dòng
3560-X, hỗ trợ Flex NetFlow; tuy nhiên, một số thiết bị chuyển mạch của Cisco,


chẳng hạn như thiết bị chuyển mạch Cisco 2960 Series, không hỗ trợ NetFlow hoặc
Flexible NetFlow.
NetFlow tiêu thụ bộ nhớ bổ sung. Nếu thiết bị mạng Cisco có những hạn chế về bộ
nhớ, kích thước của bộ nhớ cache NetFlow có thể được thiết lập trước để nó có
chứa một số mục nhỏ hơn. Kích thước bộ nhớ cache mặc định phụ thuộc vào nền
tảng.
Các yêu cầu về phần mềm NetFlow cho bộ thu NetFlow khác nhau. Ví dụ: phần
mềm Scrutinizer NetFlow trên máy chủ Windows yêu cầu 4 GB bộ nhớ RAM và
50 GB không gian ổ đĩa.
Lưu ý: Trọng tâm ở đây là cấu hình router Cisco của NetFlow ban đầu (gọi tắt là
NetFlow trong tài liệu của Cisco). Cấu hình của Netflow linh hoạt vượt quá phạm
vi của khóa học này.

Luồng NetFlow là một hướng. Điều này có nghĩa là một kết nối người dùng đến
một ứng dụng tồn tại như hai luồng NetFlow, một cho mỗi hướng. Để xác định dữ
liệu cần được capture cho NetFlow trong chế độ cấu hình giao diện:

Chụp dữ liệu NetFlow để theo dõi các gói tin đến trên giao diện sử dụng lệnh ip
flow ingress.
Chụp dữ liệu NetFlow để theo dõi các gói tin gửi đi trên giao diện sử dụng lệnh ip
flow egress.
Để cho phép NetFlow dữ liệu được gửi đến bộ sưu tập NetFlow, có một số mục để
cấu hình trên router trong chế độ cấu hình toàn cầu:

Địa chỉ IP của nhà sưu tập NetFlow và số cổng UDP - Sử dụng lệnh ip flow-export
đích đến ip-address udp-port. Người thu gom có một hoặc nhiều cổng, theo mặc
định, để thu thập dữ liệu NetFlow. Phần mềm cho phép quản trị viên xác định cổng
hoặc cổng nào chấp nhận cho việc chụp NetFlow. Một số cổng UDP thông thường
được phân bổ là 99, 2055 và 9996.


(Tùy chọn) Phiên bản NetFlow để theo dõi khi định dạng các bản ghi NetFlow gửi
tới bộ thu - Sử dụng lệnh ip flow-export version. NetFlow xuất dữ liệu trong UDP
theo một trong năm định dạng (1, 5, 7, 8 và 9). Phiên bản 9 là định dạng dữ liệu
xuất khẩu linh hoạt nhất nhưng không tương thích ngược với các phiên bản trước
đó. Phiên bản 1 là phiên bản mặc định nếu phiên bản không được chỉ định với
Phiên bản 5. Phiên bản 1 chỉ nên được sử dụng khi nó là phiên bản định dạng xuất
dữ liệu NetFlow duy nhất được hỗ trợ bởi phần mềm thu NetFlow.
(Tùy chọn) Giao diện nguồn để sử dụng như là nguồn của các gói tin được gửi tới
bộ thu - Sử dụng lệnh nhập số liệu xuất nhập khẩu ip flow-export.
Hình này thể hiện cấu hình NetFlow cơ bản. Router R1 có địa chỉ IP 192.168.1.1
trên giao diện G0 / 1. Bộ thu NetFlow có địa chỉ IP 192.168.1.3 và được cấu hình
để nắm bắt dữ liệu trên cổng UDP 2055. Lưu lượng truy cập và lưu thông qua G0 /
1 được theo dõi. Dữ liệu NetFlow được gửi ở định dạng Phiên bản 5.

http://mysunitsecurity.blogspot.com/2010/10/netflow-snmp.html

"NETFLOW" Hay " SNMP "
Sáng nay rãnh rỗi ngồi uống cafe cùng bạn tôi, ngồi bàn chuyện bạn gái của 2 thằng, lại như tít cũ 2
thằng lại bắt đầu quay trở lại bàn chuyện công nghệ. Bạn tôi tần ngần nói " Cty tao hiện đang sử tất cả
thiết bị bằng cisco, và đã dùng công cụ để monitor như Nagios, MRTG, PRTG... nhưng các tool này
không thể monitor được ai đã gửi gói dữ liệu lớn, ai đang download...." . Lý do là gì, hiện chúng ta đang
sử dụng giao thức kết nối đến các thiết bị bằng SNMP hoặc giao thức ping (ICMP)? Chắc Cty các bạn
cũng đang sử dụng một trong số công cụ monitor nào đó đúng không. Nếu chúng ta sử dụng qua hai giao
thức này chúng ta chỉ biết được trạng thái down, up của thiết bị mà không thể monitor được dữ liệu đi qua
các các port hoặc tình trạng download, mạng nghẽn từ đâu, để giải quyết vấn đề đó chúng ta phải sử
dụng giao thức kết nối Netflow. Hôm nay mình xin giới thiệu về giao thức Netflow này của Cisco:

Netflow
Phần 1. Khái niệm và các chức năng của Netflow
NetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân tích hoạt động của mạng.Đây
là công cụ không thể thiếu cho người quản trị mạng chuyên nghiệp.Để đáp ứng lại các đòi hỏi và nhu cầu
cấp bách của hệ thống mạng,việc tìm hiểu xem quá trình hoạt động của mạng ra sao là rất quan trọng.
NetFlow của Cisco có thể đáp ứng tất cả những yêu cầu trên.Nó tạo ra một môi trường mà người quản trị
mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông
của lưu lượng mạng.Khi mà hoạt động của mạng được nắm vững thì hiệu quả của hệ thống mạng sẽ
tăng lên rất nhiều.
Tầm quan trọng của việc nhận thức hoạt động mạng


Sự kiểm tra bằng SNMP truyền thống: Các khách hàng truyền thống thường hay sử dụng giao thức
SNMP để kiểm tra hoạt động của băng thông. Mặc dù có một số ưu điểm nhất định nhưng SNMP khó có
thể phân tích được sự lưu thông của các ứng dụng và mô hình trên mạng mà điều đó là rất cần thiết để
biết được hệ thống mạng hỗ trợ công việc thế nào.Việc tìm hiểu cách thức sử dụng băng thông là một
điểu rất quan trọng trong hệ thống mạng IP ngày nay.
Tầm quan trọng của NetFlow : khả năng phân tích lưu lượng IP và nắm được cách thức và địa điểm lưu
thông của nó là rất quan trọng đối với việc quản trị mạng.Việc kiểm tra dòng lưu lượng IP sẽ đảm bảo tài
nguyên mạng được sử dụng một cách hợp lí hơn.Nó giúp người quản trị nhận biết được chất lượng dịch
vụ(QoS),nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS),việc phát
tán virus, cũng như hàng loạt các sự cố khác.NetFlow có thể giải quyết nhiều vấn đề đặt ra đối với một
người quản trị chuyên nghiệp
Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng
mạng mới ví dụ như VoIP chẳng hạn…
Giảm sự quá tải của lưu lượng WAN
Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
Phát hiện các lưu lượng WAN trái phép
Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
Định nghĩa về luồng IP :Một luồng được định nghĩa như một dòng các packet,mỗi packet khi chuyển qua
router hoặc switch đều được kiểm tra bằng một tập các thuộc tính IP.Các thuộc tính này giúp định dạng
và phân nhóm các packet vào các luồng khác nhau một cách rõ ràng.Thông thường một luồng IP dựa
trên một tập từ 5 đến 7 thuộc tính của packet IP
Địa chỉ IP nguồn
Địa chỉ IP đích
Port nguồn
Port đích
Loại giao thức lớp 3
ToS byte( loại dịch vụ)
Giao diện Router hoặc Switch
NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng đang
hoạt động.NetFlow cache được xây dựng trước hết bằng cách xử lý packet đầu tiên của một luồng thông
qua một đường chuyển mạch chuẩn.Một bản ghi về luồng được duy trì bởi NetFlow cache cho tất cả
luồng hoạt động.Mỗi một bản ghi luồng trong NetFlow cache chứa các trường thuộc tính có thể được sử
dụng sau đó để xuất dữ liệu tới một thiết bị thu thập dữ liệu.Mỗi một bản ghi luồng được tạo ra bằng cách
so sánh thuộc tính của các packet và đếm số packet và số byte của mỗi luồng.
Tạo một luồng trên NetFlow cache
Ví dụ về một NetFlow cache


Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng


Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng



Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng



Port cho biết loại ứng dụng đang sử dụng lưu lượng



Lớp dịch vụ chiếm quyền ưu tiên lưu lượng



Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng



Kiểm tra packet và byte cho biết độ lớn của lưu lượng




Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có thế biết tính toán được
số packet và byte truyền đi trong mỗi giây.
Địa chỉ IP hop kế tiếp



Subnet mask của địa chỉ nguồn và đích



TCP flag.






Cách truy cập dữ liệu tạo ra bởi NetFlow : có 2 phương pháp chính để truy cập dữ liệu của NetFlow.
Thứ nhất đó là chế độ dòng lệnh CLI(Command Line Interface).Chế độ này có thế giúp phát hiện
ra những thay đổi tức thì của mạng,điều đó rất có lợi cho việc xử lí sự cố xảy ra trong mạng
Thứ hai đó là chế độ chuyển các thông tin NetFlow tới một reporting server gọi là “NetFlow
collector”.NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng lại để tạo ra một
report về vấn đề lưu lượng cũng như phân tích an ninh mạng.Không giống như SNMP,NetFlow thường
xuyên gửi thông tin một cách định kỳ tới NetFlow reporting collector.NetFlow cache liên tục được lấp đầy
bởi các luồng và phần mềm trong router hoặc switch sẽ tìm trong cache những luồng đã kết thúc và
những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc.
Lượng dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong router.Những ghi nhận chi
tiết của NetFlow về từng packet cung cấp một cái nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã
chuyển qua router hoặc switch.Sau đây là các bước cơ bản để thực hiện một report của NetFlow:
NetFlow được cấu hình để bắt luồng vào NetFlow cache§ NetFlow export được cấu hình để để
gửi các luồng tới Collector
§ NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server.
§ Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.
§ Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ liệu
Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow Collector: một luồng sẵn sàng
được export khi nó ko hoạt động trong một khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động)
vượt quá thời gian hoạt động cho phép.Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt động hay
tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong 15s,còn thời gian mặc định giới hạn
cho hoạt động của một luồng là 30 phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu
lượng mạng.
Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung tâm bởi tất cả lưu lượng mạng
từ các site remote khác đều được phân tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc
vào cấu trúc mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất để cài đặt
NetFlow chình là ở gấn server đó.
Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới collector bao gồm một header và tuần
tự các bản ghi tiếp theo.Phần header chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các
bản ghi luồng chứa thông tin về luồng,ví dụ như địa chỉ IP,port,thông tin định tuyến.Có các version khác
nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu có sự khác nhau.


Nội dung của một bản ghi của NetFlow
Lựa chọn version NetFlow phù hợp:
Version 9
Sử dụng khi cần xuất dữ liệu từ nhiều cồng nghệ khác nhau như Multicast,DoS,IPv6,BGP nexthop,…Định
dạng có tính tương thích và mở rộng rất cao.Version 9 hỗ trợ xuất dữ liệu từ cả main cache và
aggregation cache.
Version 8
Chỉ hỗ trợ xuất dữ liệu từ aggregation cache
Version 5
Chỉ hỗ trợ xuất dữ liệu từ main cache.Hầu hết các thiết bị truyền thống đều hỗ trợ định dạng nàyàcũng
được dùng phổ biến
Version 1
Chỉ nên sử dụng khi hệ thống chỉ hỗ trợ version này.Nếu không nên sử dụng version 9 hoặc 5.
Ứng dụng NetFlow: phần mềm Cisco IOS NetFlow là một phần của họ các sản phẩm,tiện ích quản lí của
Cisco.Các phần mềm được thiết kế đồng bộ kết hợp chặt chẽ với nhau để có thể quản lí kiểm tra giám
sát hệ thống mạng một cách tốt nhất.
Phần 2. Cấu hình NetFlow
Cấu hình NetFlow theo mô hình sau và cài đặt chương trình NetFlow Analyzer trên PC 192.168.2.156 :
Test thử các dịch vụ giữa 2 PC ,xem báo cáo trên NetFlow Analyzer
Các bước cấu hình trên Router(NetFlow version 5)
Ø Bật NetFlow export trên các cổng của router:
§ interface {interface} {interface_number}
§ ip flow ingress (tương đương lệnh ip route-cache flow)
§ ip flow egress
bandwith
exit
§ Ví dụ: router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit
Hoặc
router-2621(config)#interface FastEthernet 0/1
router-2621(config-if)# ip flow ingress


router-2621(config-if)# ip flow egress
router-2621(config-if)#exit
Ø Các lệnh để xuất dữ liệu NetFlow tới server chạy NetFlow analyzer
§ ip flow-export destination {hostname|ip_address} 9996 : Xuất các dữ liệu trong NetFlow cache tới một
địa chỉ IP xác định.Sử dụng địa chỉ IP của NetFlow collector(chạy NetFlow Analyzer hoặc các chương
trình NetFlow khác) và cổng lắng nghe kèm theo.Cổng mặc định của NetFlow Analyzer là 9996 tuy nhiên
có thể thay đổi tùy theo người sử dụng.
§ ip flow-export source {interface} {interface_number} : Thiết lập địa chỉ nguồn của các gói dữ liệu
NetFlow gửi tới NetFlow Analyzer.Dựa vào địa chỉ này NetFlow Analyzer có thể biết được nó đang nhận
dữ liệu từ router nào gửi đến và nó có thể gửi các truy vấn SNMP tới router đó theo địa chỉ này.Ta có thể
đặt source là các cổng giao tiếp của router( ví dụ int fa0/0) nhưng thường nên đặt địa chỉ source đó là địa
chỉ loopback của router( ví dụ loopback 0).Điều đó làm cho những người muốn tấn công hệ thống mạng
của bạn bởi vì địa chỉ IP cổng loopback của router không dễ bị dò ra như địa chỉ IP của các cổng vật lí
khác của router.
§ ip flow-export version 5 [peer-as | origin-as] : Chọn version NetFlow để sử dụng( ở đây là version
5).NetFlow Analyzer chỉ hỗ trợ NetFlow version 5,7,9.Thông thường các router series 2600 thường chỉ hỗ
trợ 3 loại version là :1,5,9.Version 1 chỉ nên sử dụng nếu phần mềm NetFlow chỉ hỗ trợ version
này.Version 5 thường được sử dụng nhiều hơn và các trường thông tin của nó đầy đủ hơn.Version 9 có
định dạng các gói thông tin NetFlow rất linh hoạt và có thế thay đổi tùy theo ý muốn người sử dụng.
§ ip flow-cache timeout [active minute | inactive seconds ] : Thiết lập thời hạn cho các luồng
· Active: thiết lập thời hạn tồn tại (theo phút) của một luồng đang chứa trong cache .Thời hạn này từ 1 đến
60 phút. (khuyến cáo để là 1)
· Inactive: thiết lập thời hạn tồn tại (theo s) của các luồng không hoạt động chứa trong cache.Thời hạn
này từ 10 đến 600 s. (khuyến cáo để là 15)
§ snmp-server ifindex persist: đảm bảo thông tin về các cổng vẫn duy trì khi thiết bị reboot.
Ø Kiểm tra cấu hình NetFlow
§ Show ip flow export
§ Show ip cache flow
§ Show ip case verbose flow
Ø Tắt NetFlow
§ no ip flow-export destination {hostname|ip_address} {port_number}
§ interface {interface} {interface_number}
§ no ip route-cache flow
Cấu hình NetFlow nâng cao( sử dụng version 8 hoặc version 9)
Ø NetFlow main cache là cache mặc định được sử dụng để lưu trữ dữ liệu tạo ra bởi NetFlow.Khi lượng
dữ liệu trao đổi trên mạng lớn thì lượng dữ liệu NetFlow gửi đi cũng càng nhiềuà tốn kém tài nguyên,hệ
thống collector hoạt động chậm


Ø NetFlow aggregation cache là cache đặc biệt cho phép một số lượng hạn chế các luồng dữ liệu
NetFlow kết hợp với nhau trên router.Tùy chọn kết hợp sẽ quyết định loại dữ liệu nào được gửi đi.
Ø NetFlow aggregation cho phép tổng hợp dữ liệu NetFlow ngay trên router trước khi dữ liệu đó được
chuyển đi tới một NetFlow collectorà đòi hỏi ít băng thông hơn,giảm sự quá tải của collector.
Ø Các lệnh cấu hình
§ Router(config)# ip flow-aggregation cacheàtạo cache và các thuộc tính kèm theo để định dạng dữ liệu
§ Router(config-flow-cache)# cache entries 2048àsố lượng entry trong cache(mặc định là 4096)
§ Router(config-flow-cache)# cache timeout [active minute/inactive second]
§ Router(config-flow-cache)# export destination {{ip-address | hostname}udp-port}
§ Router(config-flow-cache)# export version 9
§ Router(config-flow-cache)# enabledà enable aggregation cache
§ Router(config-if)# exit
§ Còn lại trên các interface cấu hình NetFlow giống như version 5
Sử dụng phần mềm NetFlow Analyzer(version 4,hiện mới nhất là version 6):
Ø Khởi động:
§ Chạy NetFlow Analyzer server trước
§ Chạy NetFlow Analyzer web client để quản lí
§ Giao diện chính:
o Group Management: quản lí các thiết bị (router) theo nhóm
o User Menagement: quản lí người dùng truy nhập NetFlow Analyzer để xem thông tin
o Application Mapping: Các dịch vụ và cổng kèm theo mà NetFlow Analyzer hỗ trợ.Có thể thêm các dịch
vụ mới để NetFlow Analyzer có thể nhận biết ví dụ yahoo…
o Runtime Administration: chỉnh sửa setting của NetFlow server
Phần 3. Một số phần mềm NetFlow của các hãng khác
v Một số phần mềm phân tích NetFlow
o Phiên bản thương mại:
o Phiên bản free:
Một số hình ảnh minh họa các phần mềm NetFlow phổ biến
o NetFlow Analyzer của Advendnet:
o Orion NetFlow Traffic Analyzer:
o Scrutinizer NetFlow Analyzer:

SNMP


Phần 1. Giới thiệu và các khái niệm về SNMP
Cốt lõi của SNMP là một tập hợp đơn giản các hoạt động giúp nhà quản trị mạng có thể quản lý, thay đổi
trạng thái của mạng. Ví dụ chúng ta có thể dùng SNMP để tắt một interface nào đó trên router của mình,
theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo khi nhiệt độ quá
cao.
IETF (Internet Engineering Task Force) là tổ chức đã đưa ra chuẩn SNMP thông qua các RFC.
o SNMP version 1 chuẩn của giao thức SNMP được định nghĩa trong RFC 1157 và là một chuẩn đầy đủ
của IETF. Vấn đề bảo mật của SNMP v1 dựa trên nguyên tắc cộng đồng, không có nhiều password, chuổi
văn bản thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên SNMP có thể hiểu các chuổi này để có
thể truy cập vào các thiết bị quản lý. Có 3 tiêu chuẩn trong: read-only, read-write và trap.
o SNMP version 2: phiên bản này dựa trên các chuổi “community”. Do đó phiên bản này được gọi là
SNMPv2c, được định nghĩa trong RFC 1905, 1906, 1907, và đây chỉ là bản thử nghiệm của IETF. Mặc dù
chỉ là thử nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm.
o SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ. Nó được khuyến nghị làm bản
chuẩn, được định nghĩa trong RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC
2574 và RFC 2575. Nó hổ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể.
Trong SNMP có 3 vấn đề cần quan tâm: Manager, Agent và MIB (Management Information Base). MIB là
cơ sở dữ liệu dùng phục vụ cho Manager và Agent.
o Manager là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng.
Manager có thể xem như là NMS (Network Manager Stations). NMS có khả năng thăm dò và thu thập các
cảnh báo từ các Agent trong mạng. Thăm dò trong việc quản lý mạng là “nghệ thuật” đặt ra các câu truy
vấn đến các agent để có được một phần nào đó của thông tin. Các cảnh báo của agent là cách mà agent
báo với NMS khi có sự cố xảy ra. Cảnh bảo của agent được gửi một cách không đồng bộ, không nằm
trong việc trả lời truy vấn của NMS. NMS dựa trên các thông tin trả lời của agent để có các phương án
giúp mạng hoạt động hiệu quả hơn. Ví dụ khi đường dây T1 kết nối tới Internet bị giảm băng thông
nghiêm trọng, router sẽ gửi một thông tin cảnh báo tới NMS. NMS sẽ có một số hành động, ít nhất là lưu
lại giúp ta có thể biết việc gì đã xảy ra. Các hành động này của NMS phải được cài đặt trước.
o Agent là một phần trong các chương trình chạy trên các thiết bị mạng cần quản lý. Nó có thể là một
chương trình độc lập như các deamon trong Unix, hoặc được tích hợp vào hệ điều hành như IOS của
Cisco trên router. Ngày nay, đa số các thiết bị hoạt động tới lớp IP được cài đặt SMNP agent. Các nhà
sản xuất ngày càng muốn phát triển các agent trong các sản phẩm của họ công việc của người quản lý
hệ thống hay quản trị mạng đơn giản hơn. Các agent cung cấp thông tin cho NMS bằng cách lưu trữ các
hoạt động khác nhau của thiết bị. Một số thiết bị thường gửi một thông báo “tất cả đều bình thường” khi
nó chuyển từ một trạng thái xấu sang một trạng thái tốt. Điều này giúp xác định khi nào một tình trạng có
vấn đề được giải quyết.
Mối quan hệ giữa NMS và agent:
Không có sự hạn chế nào khi NMS gửi một câu truy vấn đồng thời agent gửi một cảnh báo.
o MIB có thể xem như là một cơ sở dữ liệu của các đối tượng quản lý mà agent lưu trữ được. Bất kỳ
thông tin nào mà NMS có thẻ truy cập được đều được định nghĩa trong MIB. Một agent có thể có nhiều
MIB nhưng tất cả các agent đều có một lọa MIB gọi là MIB-II được định nghĩa trong RFC 1213. MIB-I là
bản gốc của MIB nhưng ít dùng khi MIB-II được đưa ra. Bất kỳ thiết bị nào hổ trợ SNMP đều phải hổ trợ


MIB-II. MIB-II định nghĩa các tham số như tình trạng của interface (tốc độ của interface, MTU, các octet
gửi, các octet nhận. ...) hoặc các tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ
thống, ...). Mục đích chính của MIB-II là cung cấp các thông tin quản lý theo TCP/IP. Có nhiều
kiểu MIB giúp quản lý cho các mục đích khác nhau:
§ • ATM MIB (RFC 2515)
• Frame Relay DTE Interface Type MIB (RFC 2115)
• BGP Version 4 MIB (RFC 1657)
• RDBMS MIB (RFC 1697)
• RADIUS Authentication Server MIB (RFC 2619)
• Mail Monitoring MIB (RFC 2249)
• DNS Server MIB (RFC 1611)
Nhưng nhà sản xuất cũng như người dùng có thể định nghĩa các biến MIB riêng cho họ trong từng tình
huống quản lý của họ.
Quản lý Host Resource cũng là một phần quan trọng của quản lý mạng. Trước đây, sự khác nhau giữa
quản lý hệ thống kiểu cũ và quản lý mạng không được xác định, nhưng bây giờ đã được phân biệt rõ
ràng. RFC 2790 đưa ra Host Resource với định nghĩa tập hợp cá đối tượng cần quản lý trong hệ thống
Unix và Window. Một số đối tượng đó là: dung lượng đĩa, số user của hệ thống, số tiến trình đang chạy
của hệ thống và các phần mềm đã cài vào hệ thống. Trong một thế giới thương mại điện tử, các dịch vụ
như web ngày càng trở nên phổ biến nên việc đảm bảo cho các server hoạt động tốt là việc hết sức quan
trọng
RMON (Remote Monitoring) hay còn gọi là RMON v1 được định nghĩa trong RFC 2819. RMON v1 cung
cấp cho NMS các thông tin dạng packet về các thực thể trong LAN hay WAN. RMON v2 được xây dựng
trên RMON v1 bởi những nhà cung cấp mạng và cung cấp thông tin ở lớp application. Thông tin có thể
thu được bằng nhiều cách.. Một cách trong đó là đặt một bộ phận thăm dò của RMON trên mỗi phân
đoạn mạng muốn theo dõi. RMON MIB được thiết kế để các RMON có thể chạy khi không kết nối logic
giữa NMS và agent, có thể lấy được thông tin mà không cần chờ truy vấn của NMS. Sau đó, khi NMS
muốn truy vấn, RMON sẽ trả lời bằng các thông tin thu thập được. Một đặc tính khác là ta có thể đặt
ngưỡng cho một loại lỗi nào đó, và khi lỗi vượt quá ngưỡng đặt ra, RMON gửi một cảnh báo cho NMS.
Hoạt động của SNMP theo sơ đồ sau:
- get
- get-next
- get-bulk (cho SNMP v2 và SNMP v3)
- set
- get-response
- trap (cảnh báo)
- notification (cho SNMP v2 và SNMP v3)
- inform (cho SNMP v2 và SNMP v3)
- report (cho SNMP v2 và SNMP v3)
”get”: ”get” được gửi từ NMS yêu cầu tới agent. Agent nhận yêu cầu và xử lý với khả năng tốt nhất có thể.
Nếu một thiết bị nào đó đang bận tải nặng, như router, nó không có khả năng trả lời yêu cầu nên nó sẽ
hủy lời yêu cầu này. Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, nó gửi lại cho NMS một
”get-response”:
Để agent hiểu được NMS cần tìm thông tin gì, nó dựa vào một mục trong ”get” là ”variable binding” hay
varbind. Varbind là một danh sách các đối tượng của MIB mà NMS muốn lấy từ agent. Agent hiểu câu hỏi
theo dạng: OID=value để tìm thông tin trả lời. Câu hỏi truy vấn cho trường hợp trong hình vẽ trên


”get-next”: ”get-next” đưa ra một dãy các lệnh để lấy thông tin từ một nhóm trong MIB. Agent sẽ lần lượt
trả lời tất cả các đối tượng có trong câu truy vấn của ”get-next” tương tự như ”get”, cho đến khi nào hết
các đối tượng trong dãy
”get-bulk”: ”get-bulk” được định nghĩa trong SNMPv2. Nó cho phép lấy thông tin quản lý từ nhiều phần
trong bảng
”set”: để thay đổi giá trị của một đối tượng hoặc thêm một hàng mới vào bảng. Đối tượng này cần phải
được định nghĩa trong MIB là ”read-write” hay ”write-only”. NMS có thể dùng ”set’ để đặt giá trị cho nhiều
đối tượng cùng một lúc
SNMP Traps: Trap là cảnh báo của agent tự động gửi cho NMS để NMS biết có tình trạng xấu ở agent
Phần 2. Cấu hình SNMP
Sử dụng phần mềm PRTG để theo dõi băng thông bằng cách cấu hình SNMP trên Router
Các lệnh cấu hình SNMP trên Cisco Router
o Cấu hình SNMP Access
§ snmp-server community public ro (ro-read only)
§ snmp-server community private rw 60 (rw-read write)
§ access-list 60 permit 192.168.2.156
o Cấu hình SNMP Traps
§ snmp-server host 192.168.2.156 public
§ snmp-server enable traps [frame-relay,envmon temperature,bgp,snmp,…]
§ snmp-server trap-source loopback 0

http://mysunitsecurity.blogspot.com/2010/10/syslogd-la-system-logger-pho-biennhat.html
http://mysunitsecurity.blogspot.com/2010/10/tieu-chuan-chung-cc-viec-anh-gianinh.html
http://www.vnpro.vn/cau-hinh-netflow-de-giam-sat-luu-luong-mang/
Cấu hình netflow để giám sát lưu lượng mạng
Đăng ngày: 14/10/2014. Bởi: Lâm Khương Trường Sơn . Lượt xem bài: 16306
I- Giới thiệu:
Netflow là tính năng của Cisco IOS cho phép thống kê lưu lượng gói qua router. Netflow thực hiện giám
sát, phân tích, tính toán lưu lượng gói. Sử dụng phổ biến trong các yêu cầu sau:


Giám sát mạng: Cho phép giám sát hiện trạng mạng gần như thời gian thực. Giám sát mạng là kỹ thuật
dựa vào flow (tập những gói có cùng 7 thông tin : IP nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao
thức lớp 3, cổng vào) nhằm thực hiện thu thập thông tin theo lưu lượng gói, theo luồng liên quan đến một
thiết bị router, switch hoặc sự kết hợp của nhiều lưu lượng từ nhiều thiết bị giúp chủ động nhận diện được
vấn đề, hiệu quả trong quá trình xử lý sự cố và đưa ra giải pháp giải quyết vấn đề một cách nhanh chóng.
Giám sát ứng dụng: Cho phép người quản trị nhìn thấy một cách chi tiết về hoạt động của ứng dụng trên
mạng theo thời gian. Thông tin này được dung để hiểu được những dịch vụ mới nhằm phân phối tài
nguyên mạng (băng thông, chất lượng dịch vụ…) và tài nguyên cho ứng dụng cũng như là kế hoạch mở
rộng.
Giám sát người dung: Cho phép người vận hành mạng hiểu rõ tài nguyên mạng và tài nguyên ứng dụng
mà người dung sử dụng từ đó có kế hoạch phân phối tài nguyên một cách hợp lý cho người dung, cũng
như nhận diện được những vấn đề liên quan đến an ninh mạng hoặc vi phạm chính sách.
Xây dựng kế hoạch phát triển mạng: Do có khả năng giám sát và phân tích lưu lượng dữ liệu trong một
khoảng thời gian dài, điều này cho phép người quản trị có cơ hội theo dõi, dự đoán sự phát triển của
mạng để có kế hoạch nâng cấp như tăng số lượng router, những cổng với băng thông lớn…
Phân tích an ninh mạng: Netflow định danh và phân loại những loại tấn công như Dos, DDos, virus, worm
theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng.
Tính toán lưu lượng: Netfow cho phép người quản trị có được thông tin chi tiết lưu lượng dữ liệu như địa
chỉ IP, ứng dụng, ToS, số lượng gói, số lượng byte, thời gian hoạt động giúp cho việc tính toán tài nguyên
mạng được sử dụng theo người dung, ứng dụng… trong khoảng thời gian cụ thể.
Lưu lượng qua router hoặc switch khi thu thập và phân tích sẽ được đặt trong cache (Netflow cache), có
thể truy xuất thông qua CLI hoặc ứng dụng bên ngoài.
II- Mục đích và sơ đồ kết nối
Trong bài lab này yêu cầu cấu hình Netflow trên router GATEWAY và kiểm tra kết quả Netflow cache qua
CLI hoặc ứng dụng phân tích Netflow được cài đặt trên thiết bị giám sát.


III – Cấu hình chi tiết :
Bước 1 : Đặt tên và địa chỉ của các interface
Router(config) #hostname GATEWAY
GATEWAY(config) #interface FastEthernet0/0
GATEWAY(config-if) # ip address 10.123.123.16 255.0.0.0
GATEWAY(config-if) #no shutdown
GATEWAY(config) #interface FastEthernet0/1
GATEWAY(config-if) # ip address 192.168.1.1 255.255.255.0
GATEWAY(config-if) #no shutdown
Bước 2 : Cấu hình PAT và default route để mạng bên trong truy cập được Internet
GATEWAY(config-if) # access-list 1 permit 192.168.1.0 0.0.0.255
GATEWAY(config-if) # ip nat inside source list 1 interface FastEthernet0/0 overload
GATEWAY(config) #interface FastEthernet0/1
GATEWAY(config-if) #ip nat inside
GATEWAY(config) #interface FastEthernet0/0


GATEWAY(config-if) #ip nat outside
GATEWAY(config) #ip route 0.0.0.0 0.0.0.0 10.2.10.2
Kiểm tra kết quả :
GATEWAY#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.231:2492 65.55.122.231:2492
tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.233:2492 65.55.122.233:2492
tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.234:2492 65.55.122.234:2492
tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.235:443 65.55.122.235:443
tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.235:2492 65.55.122.235:2492
Bước 3 : Cấu hình Netflow trên router
– Xác định thiết bị sẽ nhận flow cache (lưu ý phải bao gồm giá trị port):
GATEWAY(config) #ip flow-export destination 192.168.1.10 5000
– Xác định version của Netflow:
GATEWAY(config) # ip flow-export version 5
– Xác định cổng và hướng được theo dõi:
GATEWAY(config)#interface fa0/1
GATEWAY(config)#ip flow ingress
GATEWAY(config)#interface fa0/0
GATEWAY(config)#ip flow egress


– Bạn có thể cấu hình snmp-server để cho phép đa dạng thông tin được theo dõi :
GATEWAY(config)# snmp-server community cisco123 RO
Bước 4 : Cài đặt Netflow trên phần mềm giám sát
Trong phần này chúng ta sẽ dùng phần mềm Netflow Analyzer 8 để thực hiện giám sát
– Chuẩn bị cài đặt:

Chọn Next để tiếp
tục
– Chọn thư mục cài đặt:


– Cấu hình web
port 8080 và Netflow Port ở đây là 5000

Chọn Next ->
Finish
Kiểm tra:


Thực hiện truy cập dịch vụ Internet từ PC, ta có thể phân tích lưu lượng của ứng dụng theo kích cỡ gói,
số lượng gói, địa chỉ IP, số port, cổng vào, cổng ra… trên router bằng câu lệnh show ip cache flow

Bạn
có thể quan sát trực quan bằng công cụ phân tích netflow dựa trên giao diện Web. Thực hiện đăng nhập
vào ứng dụng với User Name :admin, Password : admin
Sau khi đăng nhập thành công, bạn sẽ thấy các thiết bị được theo dõi:

Biểu đồ biểu hiện lưu lượng theo thời gian và bảng thể hiện lưu lượng theo ứng dụng


Phâ
n loại lưu lượng theo địa chỉ IP nguồn và IP đích

VnPro


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×