नेटफ्लो, सिस्को और यातायात निगरानी। यह पता लगाने का समय आ गया है

सभी को शुभ दिन! नेटफ्लो को समझना, इस तरह के एक सरल, सुविधाजनक और अक्सर इस्तेमाल किए जाने वाले प्रोटोकॉल, मैंने महसूस किया कि यह इतना सरल नहीं है, और इसके संचालन में पर्याप्त नुकसान हैं।
कटौती के तहत, मैंने सब कुछ एकत्र किया जो आपको पहले नेटफ्लो और सिस्को की इसकी सेटिंग्स के बारे में जानने की जरूरत है, यूकैरियट को श्रद्धांजलि दी, जो नेटवर्क पर उत्कृष्ट लेख लिखते हैं, और ... चित्र, कुछ मजेदार चित्र।

आइए बुनियादी अवधारणाओं को परिभाषित करें

नेटफ्लो नेटवर्क ट्रैफिक की निगरानी के लिए सिस्को द्वारा विकसित एक मालिकाना खुला प्रोटोकॉल है। Netflow हर टीसीपी / आईपी लेनदेन को रिकॉर्ड करके सत्र-स्तरीय नेटवर्क ट्रैफ़िक विश्लेषण प्रदान करता है।
प्रणाली की वास्तुकला एक सेंसर, कलेक्टर और विश्लेषक पर आधारित है:
- सेंसर इसके माध्यम से गुजरने वाले ट्रैफिक पर आंकड़े एकत्र करता है। यह नेटवर्क के "नोडल पॉइंट" में सेंसर स्थापित करने के लिए समझ में आता है, उदाहरण के लिए, नेटवर्क सेगमेंट के सीमा राउटर पर।
- कलेक्टर सेंसर से जानकारी एकत्र करता है। वह प्राप्त डेटा को आगे की प्रक्रिया के लिए फ़ाइल में डंप करता है। विभिन्न संग्राहक विभिन्न स्वरूपों में डेटा संग्रहीत करते हैं।
- विश्लेषक, या प्रोसेसिंग सिस्टम, इन फ़ाइलों को पढ़ता है और मनुष्यों के लिए अधिक सुविधाजनक रूप में रिपोर्ट उत्पन्न करता है। यह प्रणाली कलेक्टर [1] द्वारा प्रदान किए गए डेटा प्रारूप के अनुकूल होनी चाहिए। आधुनिक प्रणालियों में, कलेक्टर और विश्लेषक अक्सर एक प्रणाली में संयुक्त होते हैं।



आमतौर पर, कलेक्टर और विश्लेषक एक सर्वर पर चल रहे एकल सॉफ्टवेयर पैकेज के भाग होते हैं। विंडोज और यूनिक्स सिस्टम के लिए, कई प्रकार के कलेक्टर / एनालाइज़र सॉफ्टवेयर हैं, जो मुफ्त और भुगतान दोनों हैं।
लेख में, मैं इस क्षेत्र पर स्पर्श नहीं करूंगा; मैं केवल सिस्को पर नेटफ्लो ऑपरेशन और सेंसर सेटअप के सिद्धांतों पर विचार करूंगा।
यह तुरंत समझा जाना चाहिए कि कलेक्टर और इसके पीछे के विश्लेषक सिस्टम के "निष्क्रिय" तत्व हैं। सेंसर कलेक्टर को ट्रैफ़िक रिपोर्ट भेजता है, कलेक्टर को प्राप्त होता है, विश्लेषक विश्लेषण करता है, और सर्वर पर अपने डेटाबेस को भरता है। वास्तव में, सर्वर उठाए जाने के साथ, हमें उन उपकरणों को मैन्युअल रूप से कनेक्ट करने की आवश्यकता नहीं है जो सर्वर पर नजर रखी जाती हैं। जबकि सेंसर रिपोर्ट भेजता है, कलेक्टर उन्हें प्राप्त करता है, विश्लेषक रजिस्टर करता है। यदि सेंसर बंद कर दिया जाता है, तो यह चालू "ऑन-लाइन" आंकड़ों से "गायब" हो जाता है।

प्रोटोकॉल विवरण

NetFlow कलेक्टर को ट्रैफ़िक डेटा प्रसारित करने के लिए UDP या SCTP का उपयोग करता है। एक नियम के रूप में, कलेक्टर पोर्ट 2055, 9555, या 9995 (या कलेक्टर और सेंसर को कॉन्फ़िगर करते समय आपके द्वारा निर्दिष्ट एक) सुनता है।
सेंसर का अर्क गुजरने वाले ट्रैफ़िक से बहता है जो निम्न मापदंडों द्वारा विशेषता है:

• स्रोत का पता
• गंतव्य का पता
• यूडीपी और टीसीपी के लिए स्रोत पोर्ट;
• यूडीपी और टीसीपी के लिए गंतव्य बंदरगाह;
• संदेश प्रकार और कोड ICMP के लिए;
• आईपी ​​प्रोटोकॉल नंबर;
• नेटवर्क इंटरफ़ेस (ifindex SNMP पैरामीटर);
• आईपी ​​प्रकार की सेवा।

एक धारा एक दिशा में गुजरने वाले पैकेट का एक समूह है। जब सेंसर यह निर्धारित करता है कि धारा समाप्त हो गई है (पैकेट के मापदंडों को बदलकर, या टीसीपी सत्र को रीसेट करके), यह कलेक्टर को जानकारी भेजता है। सेटिंग्स के आधार पर, यह समय-समय पर चल रहे प्रवाह के बारे में जानकारी कलेक्टर [2] को भेज सकता है।
यह एक बहुत ही महत्वपूर्ण बिंदु है - सेंसर स्थापित करते समय, हम खुद के लिए तय करते हैं कि कलेक्टर को भेजी गई जानकारी को किन मापदंडों के अनुसार रिपोर्ट में संयोजित किया जाएगा।

दरअसल, सेटिंग

आइए सिस्को पर कॉन्फ़िगर करते समय सेंसर कॉन्फ़िगरेशन का विश्लेषण करें:

Router_nf # conf t
Router_NF (config) # ip प्रवाह-निर्यात गंतव्य 192.168.0.1 9996
Router_NF (config) # आईपी प्रवाह-निर्यात गंतव्य 10.10.0.1 9996
Router_NF (config) # ip प्रवाह-निर्यात संस्करण 9

कॉन्फ़िगरेशन मोड में, कलेक्टर पते और पोर्ट निर्दिष्ट करें जहां आंकड़े भेजने के लिए, नेटफ्लो प्रोटोकॉल के संस्करण को इंगित करें। एक जटिल नेटवर्क में, यदि खंडों के बीच कोई रूटिंग प्रतिबंध हैं, तो आपके पास दो कलेक्टर इंटरफ़ेस हो सकते हैं

Router_NF (config) # ip फ्लो-कैश टाइमआउट सक्रिय 1

निर्दिष्ट करें कि कितनी बार अभी भी सक्रिय सत्र के लिए ट्रैफ़िक डेटा के साथ नेटफ्लो कैश को अपडेट करना है

Router_NF (config) # ip फ्लो-कैश टाइमआउट निष्क्रिय 15

हम उस समय को इंगित करते हैं जिसके दौरान यदि डेटा मौजूदा स्ट्रीम में स्थानांतरित नहीं होता है, तो इसे बंद कर दिया जाता है, और इसके बारे में जानकारी कैश को लिखी जाती है, और फिर कलेक्टर को हस्तांतरित की जाती है

Router_NF (config) # ip फ्लो-एक्सपोर्ट सोर्स FastE ईथरनेट 0/0
Router_NF (config) # ip प्रवाह-निर्यात स्रोत vlan4
Router_NF (config) # ip प्रवाह-निर्यात स्रोत Port-channel1.2

ट्रैफिक रिपोर्ट के स्रोत, उनसे आंकड़े एकत्र किए जाएंगे। विश्लेषक पक्ष पर, इंटरफ़ेस, वीएलएएन, और पोर्ट-चैनल पर अलग से नजर रखी जाएगी

!
आईपी ​​एक्सेस-लिस्ट मानक iacl-snmp
SNMP डिवाइस के लिए पहुँच के लिए एसीएल टिप्पणी
परमिट 192.168.0.1
परमिट 10.10.0.1
किसी भी प्रवेश से इनकार करते हैं
!

अधिक सामंजस्यपूर्ण फेंग शुई के लिए ACLs जोड़ें

!
snmp- सर्वर समूह snmp v1 पहुंच iacl-snmp
snmp-server group snmp v2c एक्सेस iacl-snmp
snmp- सर्वर समुदाय ******** **** iacl-snmp
snmp- सर्वर ifindex बनी रहती है
snmp- सर्वर ट्रैप-सोर्स लूपबैक 0
snmp- सर्वर ट्रिप्स tty को सक्षम करता है
!

उचित इंटरफ़ेस नाम पहचान के लिए एसएनएमपी कॉन्फ़िगर करना
अंत में इंटरफ़ेस आया:

Router_NF (config) # इंटरफ़ेस FastE ईथरनेट 0/0
Router_NF (config-if) # ip flow egress
Router_NF (config-if) # ip फ्लो इनग्रेस

निर्दिष्ट करें कि इंटरफ़ेस में प्रवेश करने या छोड़ने पर क्या ट्रैफ़िक लिया जाएगा? यदि आउटगोइंग है, तो आईपी फ्लो इग्रेसिंग, यदि इनकमिंग, तो आईपी फ्लो इनग्रेस
या

Router_NF (config-if) # ip मार्ग-कैश प्रवाह

"आईपी मार्ग-कैश फ्लो" का उपयोग केवल मुख्य इंटरफ़ेस के लिए किया जा सकता है, और "आईपी फ्लो इनग्रेस" उप-केंद्रों के लिए उपयोग के लिए एक विस्तार है। NetFlow Subinterface समर्थन की कार्यक्षमता आपको प्रत्येक उपप्रकार के लिए NetFlow सक्षम करने की अनुमति देती है। ऐसे परिदृश्य में जहां आपके नेटवर्क में कई सब-वेनफ़ेसेस होते हैं, और आपको केवल कुछ से रिकॉर्ड एकत्र करने की आवश्यकता होती है, आप केवल कुछ उप-सूचनाओं से जानकारी के संग्रह को ट्यून कर सकते हैं [3]

आप सेंसर पर क्या देख सकते हैं:

Router_NF # शो आईपी कैश फ्लो

यातायात सूचना लंबित कलेक्टर

Router_NF # शो आईपी कैश वर्बोज़ फ्लो

कलेक्टर को भेजे जाने के लिए विस्तृत ट्रैफिक सूचना

Router_NF # शो आईपी फ्लो इंटरफ़ेस

नेटफ्लो सेंसर इंटरफेस

Router_NF # शो आईपी फ्लो एक्सपोर्ट

source और डेस्टिनेशन NetFlow की रिपोर्ट, कितने डाटाग्राम भेजे, कितनी त्रुटियां

Router_NF # शो आईपी फ्लो टॉप-टॉकर्स

चैंपियन के बारे में जानकारी स्पष्ट रूप से प्रस्तुत की जाती है, सबसे अधिक देखी गई इंटरनेट संसाधनों तक
मुख्य सेटिंग में, अधिक पूर्ण आत्मज्ञान [4] , [5] और [6] के लिए सभी उपयोगी लिंक ।

मरहम में उड़ना

"अन्य" यातायात। जैसा कि आप जानते हैं, कई सामान्य अनुप्रयोगों के अपने पोर्ट हैं, विचार करें

चित्रा [7] से लिया गया।
हालांकि, समय के साथ, "अन्य" अनुभाग में गिरने वाले ट्रैफ़िक का हिस्सा बढ़ता है, गतिशील, बेतरतीब ढंग से उत्पन्न बंदरगाहों का उपयोग करने वाले अनुप्रयोगों की संख्या में वृद्धि के कारण।
एक दस्तावेज [8] , नेटफ्लो की समीक्षा करते हुए, आकस्मिक रूप से एक समस्या का उल्लेख करता है, जो चित्र में अच्छी तरह से चित्रित किया गया है।


बेशक, मैं रिपोर्ट में स्पष्ट रूप से वर्णित किए जाने वाले सबसे अलग ट्रैफ़िक को पसंद करूंगा:

इससे लिंक करें [10] ।

प्रगति अभी भी खड़ी नहीं है, प्रौद्योगिकियां आगे बढ़ रही हैं, और बॉस को पूरी रिपोर्ट प्राप्त होगी। गैर-मान्यता प्राप्त ट्रैफ़िक को विभिन्न दिलचस्प तरीकों से हल किया जा सकता है, उदाहरण के लिए, एनबीएआर तकनीक का उपयोग करना।
खोज के दौरान, एक चर्चा [11] और एक दिलचस्प प्रस्तुति [12] पाई गई । क्योंकि वह युवा, उत्साही और अनुभवहीन है, मैं आगे चलकर विडाल में नहीं जा सकता।

एक राय है कि पोस्ट के लेखक के सिर में गड़बड़ है, और वह कुछ याद करता है!