Netflow, controlando el tráfico de red (III)

En este nuevo post, vamos a ver cómo realizar lo mismo que en el anterior, pero esta vez con un router cisco, que nos permitirá muchas más opciones y métodos para el tratamiento de datos netflow.
Como siempre... nos conectamos al equipo en cuestión por la conexión que esté habilitada, recomendable ssh, y entramos en modo configuración.
Realizamos los siguientes pasos:
  1. Zona horaria
    Para manejar los datos de netflow, el router debe estar en hora para así tener unos datos fiables. Para conseguirlo, en este caso aprovecharemos las facilidades de NTP.
    cisco> configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    cisco(config)> ntp update-calendar
    cisco(config)> set ntp client enable
    cisco(config)> ntp server 10.10.100.1
    
  2. Hora del sistema
    Ahora comprobamos que la hora del sistema es válida, para ello,
    cisco> show ntp status
    cisco> show clock
    
  3. Configurar netflow
    Entramos nuevamente en modo configuración del router y observamos los parámetros que tiene para el tipo "ip flow-?". Todos estos parámetros nos permiten realizar una configuración muy óptima y ajustada de netflow y de cómo queremos que trabaje.
    cisco> config
    Configuring from terminal, memory, or network [terminal]? 
    Enter configuration commands, one per line.  End with CNTL/Z.
    cisco(config)> ip flow-?
    flow-aggregation  flow-cache        flow-capture
    flow-export       flow-top-talkers  flow-egress
    
     Configuramos por lo tanto el router para que exporte vía UDP todos los paquetes a nuestro servidor cliente netflow, que se encargará de recolectarlos para posteriormente poder procesarlos. Para ello,
    cisco(config)> ip flow-export destination 192.168.1.35 9995 udp
    cisco(config)> ip flow-export version 9
    cisco(config)> ip flow-cache entries 65536
    
  4. Comprobar configuración
    cisco> show ip cache flow
    cisco> show ip flow export
    
     Y del lado del cliente, observamos que sí hay tráfico UDP en el puerto indicado.
    shell> tcpdump -i eth0 port 9995
    19:38:36.565951 IP 10.0.0.5.9995 > colector.9995: UDP, length 1404
    19:38:36.565964 IP 10.0.0.5.9995 > colector.9995: UDP, length 224
    19:38:36.678899 IP 10.0.0.5.9995 > colector.9995: UDP, length 1404
    19:38:36.947127 IP 10.0.0.5.9995 > colector.9995: UDP, length 1404
    19:38:37.080699 IP 10.0.0.5.9995 > colector.9995: UDP, length 1404
    19:38:37.152456 IP 10.0.0.5.9995 > colector.9995: UDP, length 1404
    


Temas:


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios