In questo articolo andiamo ad analizzare il protocollo Netflow V9, esportando il traffico da un Router Cisco verso un server NetFlow che collezionerà i dati in arrivo permettendoci diverse analisi sul traffico.

Queste configurazioni sono state testate su:

• Cisco IOS XE Software
• Cisco ISR4331

Per iniziare abbiamo bisogno di configurare il tipo di traffico che vogliamo esportare con la creazione di un “flow record”.
Un esempio di configurazione può essere questa:

flow record netflow-monitor
 description NBAR Flow Monitor
 match ipv4 tos
 match ipv4 protocol
 match ipv4 source address
 match ipv4 destination address
 match transport source-port
 match transport destination-port
 match interface input
 match application name
 match flow direction
 collect routing destination as
 collect routing next-hop address ipv4
 collect ipv4 dscp
 collect ipv4 id
 collect ipv4 source prefix
 collect ipv4 source mask
 collect ipv4 destination mask
 collect transport tcp source-port
 collect transport tcp destination-port
 collect transport tcp flags
 collect transport udp source-port
 collect transport udp destination-port
 collect interface output
 collect counter bytes
 collect counter packets
 collect timestamp sys-uptime first
 collect timestamp sys-uptime last
 collect datalink mac source address input

Modifichiamo la configurazione in base alle esigenze specifiche, decidendo quali elementi del nostro traffico vogliamo analizzare, tipo sorgente traffico, destinazione traffico, mac-address e protocollo.
In pratica gli elementi, solitamente necessari, per analizzare che tipo di traffico sta transitando attraverso il nostro Router.

Creiamo il “flow exporter”, questa parte di configurazione ci permetterà di definire alcuni dettagli importanti come: l’indirizzo del server NetFlow, l’interfaccia del router che useremo per esportare il flusso e la porta UDP da utilizzare:

flow exporter export-to-nfserver
 description Export NetFlow V9 Flexible To NetFlow Server
 destination XXX.XXX.XXX.XXX ##Inserire l'Indirizzo del Server NF
 source GigabitEthernet0/1.10 ##Modificare con la vostra Interface
 output-features
 transport udp 9996
 template data timeout 60
 option interface-table
 option exporter-stats
 option application-table

E’ anche necessario creare un elemento nominato “flow monitor” per definire il flusso di registrazione “flow record” con l’elemento di esportazione “flow exporter”:

flow monitor traffic-monitor
 no exporter export-to-prtg
 exporter export-to-nfserver

Le configurazioni appena descritte hanno di fatto attivato il NetFlow, ora non rimane che indicare su quale interfaccia voglia attivare il monitoraggio.

interface GigabitEthernet#/# ##Da specificare l'Interface
 ip flow monitor traffic-monitor input
 ip flow monitor traffic-monitor output

Molte altre informazioni possono essere trovate sulla documentazione originale di Cisco direttamente al link NetFlow Configuration Guide.