NetFlow, controlando el tráfico de red (II)

By: Javier on 3/12/2012

En este post vamos a ver cómo podemos configurar un swtich enterasys para que nos envíe a un colector de este tipo de datos, la información que recaba del tráfico de red. Para que esto funcione en el equipo destino tiene que haber algún tipo de software, que veremos más adelante, que sea capaz de comprender y capturar dicha información. También debe de existir comunicación entre el switch en cuestión y el equipo destino.

En nuestro caso, el equipo a configurar es un Matrix N7. Para ellos, nos conectamos como usuario administrador y realizamos los siguientes pasos:

• Zona horaria
  
  Es importante que el equipo esté dentro de una zona horaria reconocida y en la misma que el recolector, para evitar que haya desfases horarios.

  Matrix(su)-> set timezone Madrid +1
  Matrix(su)-> show timezone
  Admin Config timezone: 'Madrid', ...
  Oper  Config timezone: 'Madrid', ...
  

• Hora del sistema
  
  La hora del switch debe ser la correcta, para que así los eventos tengan sentido y se puedan asociar hechos a fechas concretas.

  Matrix(su)-> set time 02/21/2012 18:54:41
  Matrix(su)-> show time
  TUE FEB 21 18:54:41 2012
  

• Configurar netflow

  Matrix(su)-> set netflow ?
   cache              Enable collection for a NetFlow cache
   export-destination Sets the destination address of NetFlow collector
   export-interval    Set the active flow timer value
   export-version     Set data export version
   port               Enable NetFlow collection on a port
   template           Set the V9 template values
  
  Matrix(su)-> set netflow cache enable
  Matrix(su)-> set netflow export-destination 192.168.0.35 9995
  Matrix(su)-> set netflow export-interval 5
  Matrix(su)-> set netflow export-version 9
  Matrix(su)-> set netflow port ge.2.1-6 enable
  
  

• Comprobar configuración

  Matrix(su)-> show netflow config 
  
  Cache Status:                 enabled
  Destination IP:          192.168.0.35
  Destination UDP Port:            9995
  Export Version:                     9
  Export Interval:              5 (min)
  Number of Entries:             458751
  Inactive Timer:              40 (sec)
  Template Refresh-rate:   20 (packets)
  Template Timeout:            30 (min)
  
  Enabled Ports:
  -----------------
  ge.2.1-6
  
  Disabled Ports:
  -----------------
  lag.0.1-48
  ge.1.1-24
  ge.2.7-54
  
  Matrix(su)-> show netflow statistics
  
  Export Statistics:
  ------------------------------------
  Network Packets Sampled:    62386087
  Exported Packets:             303904
  Exported Records:            8686581
  Export Packets Failed:             0
  Export Records Dropped:        61779
  

• Comprobar funcionamiento en destino

  shell> tcpdump -i eth0 port 9995
  19:38:36.565951 IP 10.0.0.1.9995 > colector.9995: UDP, length 1404
  19:38:36.565964 IP 10.0.0.1.9995 > colector.9995: UDP, length 224
  19:38:36.678899 IP 10.0.0.1.9995 > colector.9995: UDP, length 1404
  19:38:36.947127 IP 10.0.0.1.9995 > colector.9995: UDP, length 1404
  19:38:37.080699 IP 10.0.0.1.9995 > colector.9995: UDP, length 1404
  19:38:37.152456 IP 10.0.0.1.9995 > colector.9995: UDP, length 1404
  

Temas:

• Netflow (I), qué es
• Netflow (II), configuración en un enterasys
• Netflow (III), configuración en un cisco
• Netflow (IV), configuración más avanzada en un cisco
• Netflow (V), recolectando datos en GNU/Linux