| 1 | % Monitorizacin de Netflow con NFSen |
|---|
| 2 | % |
|---|
| 3 | % Gestin de Redes |
|---|
| 4 | |
|---|
| 5 | # Introduccin |
|---|
| 6 | |
|---|
| 7 | ## Metas |
|---|
| 8 | |
|---|
| 9 | * Aprender a exportar flujos desde un enrutador Cisco |
|---|
| 10 | |
|---|
| 11 | |
|---|
| 12 | ## Notas |
|---|
| 13 | |
|---|
| 14 | * Los comandos precedidos por "$" implican que debe ejecutar el comando como usuario genrico - |
|---|
| 15 | no como root |
|---|
| 16 | * Los comandos precedidos por "#" implican que deberá estar trabajando como usuario root. |
|---|
| 17 | * Los comandos con inicios de linea más especficos como "rtrX>" o "mysql>" indican que debe |
|---|
| 18 | ejecutar los comandos en un equipo remoto, o dentro de otro programa. |
|---|
| 19 | |
|---|
| 20 | # Exportar flujos desde un enrutador Cisco |
|---|
| 21 | |
|---|
| 22 | Deberá trabajar en parejas. O sea, para el grupo 1, los usuarios de los pc1 y Pc2 y para el otro |
|---|
| 23 | grupo deberan ser los usuarios de los pc3 y pc4. (Si sólo hay tres personas en su grupo, entonces la |
|---|
| 24 | tercera persona va a hacer todo por s mismo. |
|---|
| 25 | |
|---|
| 26 | Debido a que su router Cisco slo puede exportar flujos a dos destinos al mismo tiempo, vamos a |
|---|
| 27 | utilizar la siguiente configuracin: |
|---|
| 28 | |
|---|
| 29 | Grupo 1, Router 1 |
|---|
| 30 | ----------------- |
|---|
| 31 | |
|---|
| 32 | rtr1 ==> pc1 on port 9001 |
|---|
| 33 | rtr1 ==> pc3 on port 9001 |
|---|
| 34 | |
|---|
| 35 | Grupo 2, Router 2 |
|---|
| 36 | ----------------- |
|---|
| 37 | |
|---|
| 38 | rtr2 ==> pc5 on port 9001 |
|---|
| 39 | rtr2 ==> pc7 on port 9001 |
|---|
| 40 | |
|---|
| 41 | etc. Por lo tanto los flujos slo llegarán a la primera PC en cada pareja. Sin embargo, cuando se |
|---|
| 42 | instala nfsen, ambas personas pueden apuntar su navegador web a la primera PC. |
|---|
| 43 | |
|---|
| 44 | # Configurar los Routers |
|---|
| 45 | |
|---|
| 46 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 47 | $ ssh cisco@rtrX.ws.nsrc.org |
|---|
| 48 | rtrX> enable |
|---|
| 49 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 50 | |
|---|
| 51 | o, si ssh no esta configurado todavia: |
|---|
| 52 | |
|---|
| 53 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 54 | $ telnet rtrX.ws.nsrc.org |
|---|
| 55 | Username: cisco |
|---|
| 56 | Password: |
|---|
| 57 | Router1>enable |
|---|
| 58 | Password: |
|---|
| 59 | |
|---|
| 60 | A continuacion configura la interfaz FastEthernet 0/0 para exportar los flujos. |
|---|
| 61 | Reemplace 10.10.XY con la direccin IP de la PC en tu par que va a recibirlos. |
|---|
| 62 | |
|---|
| 63 | |
|---|
| 64 | rtrX# configure terminal |
|---|
| 65 | rtrX(config)# interface FastEthernet 0/0 |
|---|
| 66 | rtrX(config-if)# ip flow ingress |
|---|
| 67 | rtrX(config-if)# ip flow egress |
|---|
| 68 | rtrX(config-if)# exit |
|---|
| 69 | rtrX(config)# ip flow-export destination 10.10.X.Y 9001 |
|---|
| 70 | rtrX(config)# ip flow-export destination 10.10.X.Z 9001 |
|---|
| 71 | rtrX(config)# ip flow-export version 5 |
|---|
| 72 | rtrX(config)# ip flow-cache timeout active 5 |
|---|
| 73 | |
|---|
| 74 | El ultimo comando particiona los flujos de larga duracin en fragmentos de 5 minutos. Usted puede |
|---|
| 75 | elegir el número de minutos entre el 1 y el 60. Si lo deja en el valor por defecto de 30 minutos, |
|---|
| 76 | los informes de trfico tendrn picos. |
|---|
| 77 | |
|---|
| 78 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 79 | rtrX(config)# snmp-server ifindex persist |
|---|
| 80 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 81 | |
|---|
| 82 | Esto asegura que los indices SNMP se conserven durante el reinicio del router - Tambin si aade o |
|---|
| 83 | elimina mdulos de interfaz para los dispositivos de red. |
|---|
| 84 | |
|---|
| 85 | |
|---|
| 86 | Ahora configure cmo quiere que los top-talkers funcionen: |
|---|
| 87 | |
|---|
| 88 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 89 | rtrX(config)# ip flow-top-talkers |
|---|
| 90 | rtrX(config-flow-top-talkers)# top 20 |
|---|
| 91 | rtrX(config-flow-top-talkers)# sort-by bytes |
|---|
| 92 | rtrX(config-flow-top-talkers)# end |
|---|
| 93 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 94 | |
|---|
| 95 | Ahora verificaremos lo que hemos hecho: |
|---|
| 96 | |
|---|
| 97 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 98 | rtrX# show ip flow export |
|---|
| 99 | rtrX# show ip cache flow |
|---|
| 100 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 101 | |
|---|
| 102 | Observe la distribucin de tamao de paquete - cules son los dos tamaos de paquete ms comunes? |
|---|
| 103 | |
|---|
| 104 | |
|---|
| 105 | Vea los "top talkers" para las diferentes interfaces |
|---|
| 106 | |
|---|
| 107 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 108 | rtrX# show ip flow top-talkers |
|---|
| 109 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 110 | |
|---|
| 111 | Si todo parece estar bien, guarde su configuración: |
|---|
| 112 | |
|---|
| 113 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 114 | rtrX# write mem |
|---|
| 115 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 116 | |
|---|
| 117 | Puede salir del enrutador: |
|---|
| 118 | |
|---|
| 119 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 120 | rtrX# exit |
|---|
| 121 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 122 | |
|---|
| 123 | Compruebe que los flujos llegan a la PC elegida para recibir en su grupo: |
|---|
| 124 | |
|---|
| 125 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 126 | $ sudo tcpdump -v udp port 9001 |
|---|
| 127 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 128 | |
|---|
| 129 | Espere unos segundos y deberÃa ver algo como sigue: |
|---|
| 130 | |
|---|
| 131 | 06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs |
|---|
| 132 | started 8867.952, last 8867.952 |
|---|
| 133 | 10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0 |
|---|
| 134 | udp tos 0, 1 (136 octets) |
|---|
| 135 | started 8867.952, last 3211591.733 |
|---|
| 136 | 10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0 |
|---|
| 137 | ip tos 0, 62 (8867952 octets) |
|---|
| 138 | [...] |
|---|
| 139 | |
|---|
| 140 | Estos son los paquetes UDP que contienen registros de flujo individuales. |
|---|
| 141 | |
|---|
| 142 | Si está utilizando Netflow v9, tenga en cuenta que la salida anterior puede no estar correcta, como |
|---|
| 143 | tcpdump en esta versin de Ubuntu no decodifica Netflow v9 correctamente. |
|---|
| 144 | |
|---|
| 145 | Verifique que los flujos estn llegando desde el enrutador del grupo contiguo a la PC elegida en su |
|---|
| 146 | grupo para recibir flujos (puede que tenga que esperar a que el grupo vecino termine de configurar |
|---|
| 147 | la exportacin) |
|---|
| 148 | |
|---|
| 149 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 150 | $ sudo tcpdump -v udp port 9002 |
|---|
| 151 | ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|---|
| 152 | |
|---|
| 153 | Cuando esta seguro que los Flujos estan llegando puede seguir con el segundo ejercicio. |
|---|