Agenda: ejercicio1-netflow.txt

File ejercicio1-netflow.txt, 5.7 KB (added by admin, 6 years ago)

Line
1	% Monitorizacin de Netflow con NFSen
2	%
3	% Gestin de Redes
4
5	# Introduccin
6
7	## Metas
8
9	* Aprender a exportar flujos desde un enrutador Cisco
10
11
12	## Notas
13
14	* Los comandos precedidos por "$" implican que debe ejecutar el comando como usuario genrico -
15	no como root
16	* Los comandos precedidos por "#" implican que deberá estar trabajando como usuario root.
17	* Los comandos con inicios de linea más especficos como "rtrX>" o "mysql>" indican que debe
18	ejecutar los comandos en un equipo remoto, o dentro de otro programa.
19
20	# Exportar flujos desde un enrutador Cisco
21
22	Deberá trabajar en parejas. O sea, para el grupo 1, los usuarios de los pc1 y Pc2 y para el otro
23	grupo deberan ser los usuarios de los pc3 y pc4. (Si sólo hay tres personas en su grupo, entonces la
24	tercera persona va a hacer todo por s mismo.
25
26	Debido a que su router Cisco slo puede exportar flujos a dos destinos al mismo tiempo, vamos a
27	utilizar la siguiente configuracin:
28
29	Grupo 1, Router 1
30	-----------------
31
32	rtr1 ==> pc1 on port 9001
33	rtr1 ==> pc3 on port 9001
34
35	Grupo 2, Router 2
36	-----------------
37
38	rtr2 ==> pc5 on port 9001
39	rtr2 ==> pc7 on port 9001
40
41	etc. Por lo tanto los flujos slo llegarán a la primera PC en cada pareja. Sin embargo, cuando se
42	instala nfsen, ambas personas pueden apuntar su navegador web a la primera PC.
43
44	# Configurar los Routers
45
46	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
47	$ ssh cisco@rtrX.ws.nsrc.org
48	rtrX> enable
49	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
50
51	o, si ssh no esta configurado todavia:
52
53	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
54	$ telnet rtrX.ws.nsrc.org
55	Username: cisco
56	Password:
57	Router1>enable
58	Password:
59
60	A continuacion configura la interfaz FastEthernet 0/0 para exportar los flujos.
61	Reemplace 10.10.XY con la direccin IP de la PC en tu par que va a recibirlos.
62
63
64	rtrX# configure terminal
65	rtrX(config)# interface FastEthernet 0/0
66	rtrX(config-if)# ip flow ingress
67	rtrX(config-if)# ip flow egress
68	rtrX(config-if)# exit
69	rtrX(config)# ip flow-export destination 10.10.X.Y 9001
70	rtrX(config)# ip flow-export destination 10.10.X.Z 9001
71	rtrX(config)# ip flow-export version 5
72	rtrX(config)# ip flow-cache timeout active 5
73
74	El ultimo comando particiona los flujos de larga duracin en fragmentos de 5 minutos. Usted puede
75	elegir el número de minutos entre el 1 y el 60. Si lo deja en el valor por defecto de 30 minutos,
76	los informes de trfico tendrn picos.
77
78	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
79	rtrX(config)# snmp-server ifindex persist
80	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
81
82	Esto asegura que los indices SNMP se conserven durante el reinicio del router - Tambin si aade o
83	elimina mdulos de interfaz para los dispositivos de red.
84
85
86	Ahora configure cmo quiere que los top-talkers funcionen:
87
88	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
89	rtrX(config)# ip flow-top-talkers
90	rtrX(config-flow-top-talkers)# top 20
91	rtrX(config-flow-top-talkers)# sort-by bytes
92	rtrX(config-flow-top-talkers)# end
93	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
94
95	Ahora verificaremos lo que hemos hecho:
96
97	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
98	rtrX# show ip flow export
99	rtrX# show ip cache flow
100	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
101
102	Observe la distribucin de tamao de paquete - cules son los dos tamaos de paquete ms comunes?
103
104
105	Vea los "top talkers" para las diferentes interfaces
106
107	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
108	rtrX# show ip flow top-talkers
109	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
110
111	Si todo parece estar bien, guarde su configuración:
112
113	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
114	rtrX# write mem
115	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
116
117	Puede salir del enrutador:
118
119	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
120	rtrX# exit
121	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
122
123	Compruebe que los flujos llegan a la PC elegida para recibir en su grupo:
124
125	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
126	$ sudo tcpdump -v udp port 9001
127	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
128
129	Espere unos segundos y deberÃa ver algo como sigue:
130
131	06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs
132	started 8867.952, last 8867.952
133	10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0
134	udp tos 0, 1 (136 octets)
135	started 8867.952, last 3211591.733
136	10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0
137	ip tos 0, 62 (8867952 octets)
138	[...]
139
140	Estos son los paquetes UDP que contienen registros de flujo individuales.
141
142	Si está utilizando Netflow v9, tenga en cuenta que la salida anterior puede no estar correcta, como
143	tcpdump en esta versin de Ubuntu no decodifica Netflow v9 correctamente.
144
145	Verifique que los flujos estn llegando desde el enrutador del grupo contiguo a la PC elegida en su
146	grupo para recibir flujos (puede que tenga que esperar a que el grupo vecino termine de configurar
147	la exportacin)
148
149	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
150	$ sudo tcpdump -v udp port 9002
151	~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
152
153	Cuando esta seguro que los Flujos estan llegando puede seguir con el segundo ejercicio.