In questo articolo andiamo ad analizzare il protocollo Netflow V9, esportando il traffico da un Router Cisco verso un server NetFlow che collezionerà i dati in arrivo permettendoci diverse analisi sul traffico.
Queste configurazioni sono state testate su:
- Cisco IOS XE Software
- Cisco ISR4331
Per iniziare abbiamo bisogno di configurare il tipo di traffico che vogliamo esportare con la creazione di un “flow record”. Un esempio di configurazione può essere questa:
flow record netflow-monitor
description NBAR Flow Monitor
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match application name
match flow direction
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 id
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp source-port
collect transport tcp destination-port
collect transport tcp flags
collect transport udp source-port
collect transport udp destination-port
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect datalink mac source address input
Modifichiamo la configurazione in base alle esigenze specifiche, decidendo quali elementi del nostro traffico vogliamo analizzare, tipo sorgente traffico, destinazione traffico, mac-address e protocollo. In pratica gli elementi, solitamente necessari, per analizzare che tipo di traffico sta transitando attraverso il nostro Router.
Creiamo il “flow exporter”, questa parte di configurazione ci permetterà di definire alcuni dettagli importanti come: l’indirizzo del server NetFlow, l’interfaccia del router che useremo per esportare il flusso e la porta UDP da utilizzare:
flow exporter export-to-nfserver
description Export NetFlow V9 Flexible To NetFlow Server
destination XXX.XXX.XXX.XXX ##Inserire l'Indirizzo del Server NF
source GigabitEthernet0/1.10 ##Modificare con la vostra Interface
output-features
transport udp 9996
template data timeout 60
option interface-table
option exporter-stats
option application-table
E’ anche necessario creare un elemento nominato “flow monitor” per definire il flusso di registrazione “flow record” con l’elemento di esportazione “flow exporter”:
flow monitor traffic-monitor
no exporter export-to-prtg
exporter export-to-nfserver
Le configurazioni appena descritte hanno di fatto attivato il NetFlow, ora non rimane che indicare su quale interfaccia voglia attivare il monitoraggio.
interface GigabitEthernet#/# ##Da specificare l'Interface
ip flow monitor traffic-monitor input
ip flow monitor traffic-monitor output
Molte altre informazioni possono essere trovate sulla documentazione originale di Cisco direttamente al link NetFlow Configuration Guide.