ИТ База знаний
Полезно
— Узнать IP — адрес компьютера в интернете
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Калькулятор инсталляции IP — АТС Asterisk
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Популярное и похожее
Разбиение сети на подсети: VLSM
Прокси сервер – что это, виды и зачем нужен?
Маршрутизатор. Коммутатор. Хаб. Что это и в чем разница?
Как пользоваться Cisco AnyConnect
Диагностика системы автоматического мониторинга ВОЛС
Лучшие бесплатные приложения для видеоконференций
Нужно знать: про маршрутизацию и коммутацию
Snom 320 UC edition
Еженедельный дайджест
NetFlow анализатор – телеметрия вашей сети
В последние годы рынок программного обеспечения прогрессирует ударными темпами. Чтобы удержаться на плаву, компании-разработчики программного обеспечения постоянно разрабатывают новые решения и совершенствуют уже существующее программное обеспечение. И если в первом случае анализируются желания, озвучиваемые пользователями, то во втором более эффективным методом сбора данных оказывается телеметрия.
Что же это такое? Говоря по-простому, сетевая телеметрия — это процесс автоматизированного сбора данных, их накопление и передача для дальнейшего анализа. Если говорить о программном обеспечении, то анализ проводится разработчиками софта с целью оптимизации существующих программ, либо разработки и внедрения новых решений. Телеметрия в сети осуществляется посредством сбора данных с использованием сетевого протокола NetFlow или его аналогов.
Зачем же нужен NetFlow?
Сетевой протокол NetFlow был разработан в конце прошлого века компанией Cisco. Изначально он использовался как программа-распределитель пакетов данных для оптимизации работы маршрутизаторов, однако с течением времени она была заменена на более эффективную программу. Тем не менее, такой функционал, как сбор полезной статистики по использованию сетевого трафика и поныне оставляет Netflow актуальным. Правда, специализация этого протокола уже не соответствует исходной. Тем не менее, Netflow обладает функционалом, который невозможно реализовать, применяя альтернативные сетевые технологии.
- Система постоянного наблюдения за работой сетевых приложений и действиями пользователей;
- Сбор и учет информации об использовании сетевого трафика;
- Анализ и планирование развития сети;
- Распределение и управление сетевым трафиком;
- Изучение вопросов сетевой безопасности;
- Хранение собранных посредством телеметрии данных и их итоговый анализ;
Хотя уже существуют программные решения, обладающие схожим функционалом, решение от компании Cisco до сих пор остается одним из лучших в этой сфере. Кстати, теперь это решение называется Cisco Stealthwatch и на 95% обладает функционалом для решения исключительно задач, связанных с информационной безопасностью.
Отметим, что технологию сбора данных посредством NetFlow поддерживают не все роутеры или коммутаторы. Если Ваше устройство имеет поддержку данного протокола, то оно будет замерять проходящий трафик и передавать собранные данные в NetFlow-коллектор для последующей обработки. Передача будет осуществляться в формате датаграмм протокола UDP или пакетов протокола SCTP, поэтому на скорость работы интернета существенным образом это не повлияет.
В настоящее время решения NetFlow (как и многих других приложений) подразделяются на три типа:
- Базовые технологии. Отличаются низкой ценой и довольно скудным функционалом анализа сетевого трафика. Тем не менее, для большинства пользователей или же для изучения технологии этого вполне достаточно
- «Продвинутые» корпоративные варианты. Здесь базовый функционал дополнен более широким набором инструментов для предоставления расширенной отчетности анализа данных. Также эти решения содержат готовые модели оптимизации для разных сетевых устройств.
- «Флагманские» корпоративные решения. Отличаются наивысшей ценой, однако при этом и наиболее широким функционалом, а также позволяют осуществлять мониторинг информационной безопасности в крупных организациях.
«А как же быть с приватностью? Ведь сбор данных ставит под угрозу частную жизнь пользователей, тайну переписки, личные сообщения и прочее» — спросит беспокойный читатель. Согласно политике приватности компании Cisco, персональные данные пользователей остаются в полной безопасности. Посредством телеметрии NetFlow анализируется исключительно передача сетевого трафика, не угрожая приватности пользователей.
Примеры решений
Также приведем несколько самых популярных сетевых анализаторов, работающих под протоколом NetFlow:
- Solarwinds NetFlow Traffic Analyzer – мощный инструмент для анализа динамики трафика в сети. Программа осуществляет сбор, накопление и анализ данных, выводя их в удобном для пользователя формате. При этом можно проанализировать поведение трафика за определенные временные промежутки. Для ознакомления на сайте производителя доступна бесплатная 30-дневная версия
- Flowmon – программа, предоставляющая комплекс инструментов для изучения пропускной способности сети, нагрузки на сеть в определенные периоды времени, а также обеспечения безопасности сети от DDOS-атак
- PRTG Network Monitor — универсальное решение для сбора, хранения и обработки данных о поведении сети. В отличие от других подобных программ, данный инструмент работает на основе сенсоров – логических единиц, отвечающих за сбор данных по определенным аспектам изучаемого устройства.
- ManageEngine NetFlow Analyzer – схожая с остальными по функционалу программа. Её выделяют из ряда других такие возможности, как гибкая настройка аналитики, а так же возможность мониторить поведение сети из любого места, благодаря приложению для телефона.
Как можно заметить, все вышеуказанные программы не только обладают схожим базовым функционалом, но и конкурируют между собой, продумывая и внедряя новые технические решения. Выбор, какой из нескольких десятков программ начать пользоваться – целиком и полностью дело конечного пользователя.
Было полезно?
Почему?
😪 Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.
😍 Полезные IT – статьи от экспертов раз в неделю у вас в почте. Укажите свою дату рождения и мы не забудем поздравить вас.
Установка netflow analyzer под windows
NetFlow представляет собой продвинутую систему сбора статистики о трафике на интерфейсах оборудования Cisco (эта технология разработана самой Cisco).
Система состоит из http-сервера, работающего по умолчанию на порту TCP 8080 (к нему подсоединяются браузером для просмотра отчётов и администрирования), и сервера для сбора статистики, работающего по умолчанию на порту UDP 9996. Поскольку написаны оба сервера на Java, то требования к памяти сервера довольно высокие — не меньше 1 Gb (у меня beta-версия 5, установленная на w2k Professional отъедала около 700-800 мегабайт вместе с операционной системой). Установка (и, между прочим, удаление) самой системы NetFlow большой проблемы не создаёт, не требуется даже перезагрузка. Лучше на этапе установки поставить галочку «установить NetFlow как сервис», тогда сервером смогут пользоваться все, не нужно будет логиниться и запускать программу.
Для того чтобы сервер смог собирать статистику с оборудования, на каждом из устройств Cisco нужно настроить flow-экспорт данных трафика. Эта процедура состоит из двух шагов.
1. На каждом сетевом интерфейсе, с которого будет осуществляться сбор статистики, нужно прописать следующее (предполагается, что мы уже зашли командами conf t/ interface
router(conf-if)#ip route-cache flow
router(conf-if)#bandwidth
router(conf-if)#exit
Лучше всего сконфигурировать это сразу на двух интерфейсах роутера, тогда ManageEngine NetFlow Analyzer будет корректно показывать и входящий, и исходящий трафик. Команда bandwidth, указывающая пропускную способность в килобитах/сек не обязательна, но желательна — она используется в дальнейшем для построения %-ных отчётов и графиков загрузки канала интерфейса.
2. Настройка для роутера в целом сервера сбора трафика (наш компьютер, на котором вертится NetFlow Analyzer). Для этого в конфигурацию добавляются как минимум следующие команды:
router(config)#ip flow-export destination
Здесь hostname|ip_address и порт как раз указывают на наш сервер NetFlow Analyzer
router(config)#ip flow-export version 5
Эта команда может иметь подопции (peer-as или origin-as). Их назначение пока непонятно, и я не стал их указывать. Остальные команды шага 2 можно не указывать.
Привожу все команды без изменений в английском варианте.
ip flow-export destination
Exports the Netflow cache entries to the specified IP address. Use the IP address of the NetFlow Analyzer server and the configured Netflow listener port. The default port is 9996.
ip flow-export source
Sets the source IP address of the Netflow exports sent by the device to the specified IP address. NetFlow Analyzer will make SNMP requests of the device on this address.
ip flow-export version 5 [peer-as | origin-as]
Sets the Netflow export version to version 5. NetFlow Analyzer supports only version 5 and version 7. If your router uses BGP you can specify that either the origin or peer AS is included in exports — it is not possible to include both.
ip flow-cache timeout active 1
Breaks up long-lived flows into 1-minute fragments. You can choose any number of minutes between 1 and 60. If you leave it at the default of 30 minutes your traffic reports will have spikes.
ip flow-cache timeout inactive 15
Ensures that flows that have finished are periodically exported. The default value is 15 seconds. You can choose any number of seconds between 10 and 600. However, if you choose a value greater than 250 seconds, NetFlow Analyzer may report traffic levels that are too low.
snmp-server ifindex persist
Enables ifIndex persistence (interface names) globally. This ensures that the ifIndex values are persisted during device reboots.
Пример:
Шаг 1.
ip route-cache flow
bandwidth 2000
bandwidth 100000
Шаг 2.
no ip flow-export destination aaa.bbb.cc1.dd1 9996
no ip flow-export destination aaa.bbb.cc2.dd2 9996
ip flow-export destination aaa.bbb.cc3.dd3 9996
ip flow-export destination aaa.bbb.cc4.dd4 9996
ip flow-export version 5
router(config)#interface FastEthernet0/0
router(config-if)#ip route-cache flow
router(config-if)#bandwidth 100000
router(config-if)#exit
router(config)#interface Serial0/0:1
router(config-if)#ip route-cache flow
router(config-if)#bandwidth 2000
router(config-if)#exit
router(config)#ip flow-export destination aaa.bbb.cc3.dd3 9996
router(config)#ip flow-export destination aaa.bbb.cc4.dd4 9996
router(config)#ip flow-export version 5
router(config)#exit
router#write
Выпуще на новая версия коллектора NetFlow статистики ndsad для маршрутизаторов под FreeBSD, Linux и Windows http://www.linux.org.ru/view-message.jsp?msgid=1174055
ndsad позволяет собирать статистику трафика с интерфейса PC (на Windows, Linux, FreeBSD) и отсылать на выбранный сервер NetFlow v. 5.
Установка под Windows:
1. Скачиваем с http://downloads.sourceforge.net/ndsad/NDSAD_setup_1_33.exe?modtime=1140543154&big_mirror=0, файл NDSAD_setup_1_33.exe.
2. Устанавливаем, появляется служба Netup NDSAD Service («C:\Program Files\NetUP_UTM5_ndsad\ndsad.exe» —service), а также служба Remote Packet Capture Protocol v.0 (experimental) («C:\Program Files\WinPcap\rpcapd.exe» -d -f «C:\Program Files\WinPcap\rpcapd.ini»).
3. Запускаем службу Remote Packet Capture Protocol v.0 (experimental), удостоверяемся, что состояние запуска в «Automatic».
4. Правим файл C:\WINNT\system32\notepad.exe C:\Program Files\NetUP_UTM5_ndsad\ndsad.conf
— ip a.b.100.77 (адрес сервера, который принимает статистику NetFlow)
— port 9996 (порт сервера, принимающего статистику)
— force 10.50.9.152 (указываем IP адаптера, который будет предоставлять статистику своего трафика) другие варианты:
force eth
force \Device\NPF_
Примечание:
Параметр \Device\NPF_ <96BC9281-6886-4D42-B353-367B4DCA9AF4>можно выудить из реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\1
параметр ServiceName, значение <96BC9281-6886-4D42-B353-367B4DCA9AF4>
или из реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\<4D36E972-E325-11CE-BFC1-08002BE10318>\<96BC9281-6886-4D42-B353-367B4DCA9AF4>
или из ndsad.log, где это выглядит как \Device\NPF_<96BC9281-6886-4D42-B353-367B4DCA9AF4>
— log ndsad.log (лог будет писаться в файл C:\Program Files\NetUP_UTM5_ndsad\ndsad.log)
5. Изменяем свойства службы Netup NDSAD Service — Start parameters: меняем на
-c «C:\Program Files\NetUP_UTM5_ndsad\ndsad.conf» (прописываем полный путь до конфига).
или на
-c ndsad.conf
Запускаем службу, удостоверяемся, что состояние запуска в «Automatic».
Когда статистика роутера появляется в NetFlow, то она привязана к интерфейсам роутера. Эти интерфейсы видны под странными именами IfIndexN, где N-цифра. Какой реально это интерфейс на роутере, сразу непонятно: 
Прояснить ситуацию может команда show snmp mib ifmib ifindex:
router#show snmp mib ifmib ifindex
FastEthernet0: Ifindex = 1
Null0: Ifindex = 6
FastEthernet1: Ifindex = 2
Vlan1: Ifindex = 7
FastEthernet2: Ifindex = 3
FastEthernet3: Ifindex = 4
FastEthernet4: Ifindex = 5
Tunnel160: Ifindex = 8
Настройка сервера NetFlow на Windows и настройка маршрутизаторов Cisco
Рейтинг статьи: 2.575/5 
(193 голосов).
Понадобилось мне собирать статистику со своих маршрутизаторов. Решил использовать NetFlow. Так как в офисе все под винду, да и с линуксом не дружат, поставил NetFlow под Windows.
Спонсор этой страницы: сайт hydra
Настройка сервера NetFlow на Windows и настройка маршрутизаторов Cisco NetFlow_for_Windows_cisco Понадобилось мне собирать статистику со своих маршрутизаторов. Решил использовать NetFlow. Так как в офисе все под винду, да и с линуксом не дружат, поставил NetFlow под Windows.
Установка сервера NetFlow
Была использована версия 5.0.0 от 2006 года. Если кому надо, ищите свежее, а кого устраивает, можете скачать тут.
Распаковываем и запускаем ManageEngine_NetFlowAnalyzer.exe
Далее как обычно. все настройки по умолчанию, запускать в виде сервиса и т.д.
Я только указал путь установки на d:\NetFlow. Но тут скорее политическое. не люблю я на C: большой софт ставить.
После чего убеждаемя, что NetFlow зависает на запуске. Шкала фисит на 0% и не двигается.
Захотим в список процессов, находим ManageEngine NetFlow Analyzer 5 и останавливаем его.
Идем в папку NetFlow\bin (у меня это D:\NetFlow\bin) и запускае run.bat
В консольном окне будет предложены разные варианты запуска. я выбрат тот, где просили указать файл лицензий.
Вписал имя SHOCKIE и указал путь и файлу D:\install\netflow\AdventNetLicense.xml
После того, как установиласть лицензия и NetFlow в окошке запустился, окно можно закрыть и стартануть сервис (ранее остановленный).
На этом установку сервера можно считать законченной.
Настройка маршрутизаторов CISCO
Я настраивал NetFlow на маршрутизаторах Cisco 1721, 2811, 2821, 7206.
Настройка везде почти одинаковая. Думаю по аналогии можно настроить на всех.
Указываем версию 5
ip flow-export version 5
Далее указваем от имени какого интерфейса маршрутизатор будет посылать пакеты.
(Так как иначе маршрутизатор будет посылать от имени интерфейса, через который уходят пакеты, и, если несколько каналов, то в статистике маршрутизатор сдублируется)
ip flow-export source FastEthernet0/1.200
Ну и осталось указать адрес NetWlow сервера, куда посылать пакеты
ip flow-export destination 192.168.1.96 9996
Оснавная настройка закончена, остались нюансы
На интерфейсах маршрутизатора Cisco серии 1700 (хотя может это зависит от версии IOS) достаточно написать
ip route-cache flow
На маршрутизаторах серии 2800 и серии 7200 на интерфейсах прописываем
ip flow ingress
ip flow egress
egress Контролировать исходящий трафик ingress Контролировать входящий трафик
Далее прописываем SNMP для досупа с сервера
access-list 96 permit 192.168.1.96
snmp-server community public RO 96
После чего мы можем наблюдать статистику.
Заходим на сервер по HTTP порт 8080 http://192.168.1.96:8080
Имя и пароль по умолчанию admin admin
Убеждаемя, что в списке All Devices появились маршрутизаторы, на которых ма прописали сбор статистики.
Если они не появились, значит необходимо проверить, разрешен ли трафик UDP 9996
В общем все. Не буду описывать, что можно заводить новых пользоватенлей, создавать группы маршрутизаторов, это уже на вкус по мере работы.
В 9-й версии NetFlow Analyzer добавили NBAR.
Для того, чтобы маршрутизатор передавал эти данные, необходимо на контролируемых портах прописать.