Hướng dẫn cấu hình NetFlow – Cách định cấu hình NetFlow trên máy chủ của Cisco
Dưới ảnh hưởng đột phá của điện toán đám mây và công nghệ container, các mạng ngày càng trở nên mờ đục. Các doanh nghiệp hiện đại đang sử dụng công nghệ phức tạp hơn và tốc độ nhanh hơn. Tuy nhiên, đối với tất cả những thay đổi này, NetFlow, một công nghệ được phát triển vào những năm 1990 vẫn là một yếu tố chính cho an ninh mạng và chất lượng giám sát dịch vụ.
NetFlow là gì?
NetFlow là một giao thức mạng và ứng dụng Cisco IOS do Cisco phát triển để thu thập và giám sát dữ liệu lưu lượng được tạo bởi các bộ định tuyến và chuyển mạch (nhiều bộ định tuyến có tính năng NetFlow tự động ghi dữ liệu NetFlow). Các thiết bị tương thích với NetFlow tạo dữ liệu có thể được xuất sang bộ thu thập / đại lý phần mềm NetFlow.
Sau khi xuất dữ liệu NetFlow, quản trị viên có thể sử dụng bộ phân tích lưu lượng NetFlow để xem các biểu diễn trực quan của dữ liệu luồng này để đánh giá hiệu suất của mạng. Ví dụ: nếu có lưu lượng truy cập tăng đột biến thì Trình phân tích NetFlow sẽ gửi cho bạn một cảnh báo.
Xác định mức lưu lượng bất thường rất hữu ích để chẩn đoán các cuộc tấn công mạng như các cuộc tấn công DDoS để người dùng có thể thực hiện các bước để giảm thiểu nó càng sớm càng tốt. Nói cách khác, sử dụng NetFlow là một cách tuyệt vời để giám sát và khắc phục sự cố mạng của bạn.
Định cấu hình và xác minh Cisco NetFlow bằng GUI Cisco UCS Manager
Trong khi Cisco 7200, 7500, 7400, MGX, và AS5800 Tất cả đều tương thích với ứng dụng NetFlow, bạn sẽ phải mua giấy phép tính năng để có thể sử dụng chức năng NetFlow.
Trước khi bật NetFlow, bạn cần định cấu hình bộ định tuyến của mình để định tuyến IP, bật Chuyển tiếp Cisco Express, Chuyển tiếp Cisco Express phân tán hoặc chuyển đổi nhanh. Trong ví dụ này, chúng tôi sẽ cấu hình NetFlow thông qua Quản lý Cisco UCS giao diện người dùng đồ họa (GUI).
Cisco UCS Manager là một hệ thống được sử dụng để giao tiếp với các bộ định tuyến và chuyển mạch qua mạng. Nó bao gồm các bộ điều hợp như Cisco UCS VIC 1225, Cisco UCS VIC 1240 và Cisco UCS VIC 1280. Để định cấu hình NetFlow với Trình quản lý UCS:
- Đi đến Mạng LAN chuyển hướng > NetFlow > Chung trang và kiểm tra Đài cái nút. Xác định một bản ghi lưu lượng
- Bây giờ chúng ta cần xác định một bản ghi lưu lượng. Để làm điều này, nhấp vào Mạng LAN chuyển hướng > Giám sát NetFlow.
- Tiếp theo, nhấp chuột phải vào Định nghĩa hồ sơ lưu lượng > Tạo định nghĩa bản ghi lưu lượng.
- Đi đến Tạo định nghĩa bản ghi lưu lượng hộp thoại và nhập một Tên và một Sự miêu tả. Bây giờ đi đến Khóa xác định và chọn một trong các mục sau: L2key, IPv4key, hoặc là Ipv6key. Chúng đề cập đến Lớp 2 được chuyển đổi, IPv4 và IPv6.
- Đi đến Chọn các trường đo(không phải phím) hộp và kiểm tra các trường bạn muốn bao gồm với dữ liệu luồng. Các tùy chọn bao gồm; Số lượt truy cập dài, Gói truy cập dài, Thời gian hoạt động đầu tiên của Sys, và Thời gian hoạt động cuối cùng của Sys. Xác định một bộ sưu tập dòng chảy
- Một khi điều này được thực hiện, đó là thời gian để xác định một Bộ thu lưu lượng. Để làm điều này đi đến Mạng LAN chuyển hướng > Giám sát NetFlow > Bộ sưu tập dòng chảy và nhấp vào Thêm vào cái nút.
- Đi đến Tạo bộ sưu tập dòng chảy hộp và nhập một Tên và Sự miêu tả cho bộ thu dòng. Bây giờ nhập Bộ sưu tập IP, Hải cảng, Cổng xuất IP, và Vlan. Xác định một nhà xuất khẩu dòng chảy
- Sau này, chúng ta cần xác định một Xuất khẩu dòng chảy. Đi đến Mạng LAN chuyển hướng > Giám sát mạng > Xuất khẩu dòng chảy > Tạo luồng xuất. Nhập Tên và một Sự miêu tả. Bây giờ điền vào phần còn lại của các tùy chọn biểu mẫu: DSCP, Hồ sơ xuất khẩu, Bộ thu lưu lượng, Thời gian chờ dữ liệu mẫu, Tùy chọn xuất khẩu thống kê hết thời gian, và Bảng giao diện tùy chọn Hết giờ. Xác định trình theo dõi dòng chảy
- Bây giờ là thời gian để xác định một Giám sát dòng chảy. Để làm điều này đi đến Mạng LAN > Giám sát NetFlow > Màn hình dòng chảy (biểu tượng) và nhấn Tạo giám sát dòng chảy. Nhập Tên và một Sự miêu tả. Sau đó nhập một Định nghĩa dòng chảy, Lưu lượng xuất 1, Lưu lượng xuất khẩu 2, và Chính sách hết thời gian. Xác định phiên theo dõi dòng chảy
- Sau khi xác định Flow Monitor, chúng ta cần phải Xác định phiên theo dõi dòng chảy. Chúng ta có thể làm điều này bằng cách đi đến Mạng LAN > Giám sát mạng > Phiên giám sát dòng chảy. nhấn Tạo phiên giám sát dòng chảy, sau đó nhập một Tên và Sự miêu tả. Phía dưới cái Giám sát hướng nhận máy chủ, chọn màn hình lưu lượng bạn muốn sử dụng từ danh sách hoặc nhấn Tạo giám sát dòng chảy nếu bạn muốn tạo.
- Phía dưới cái Máy chủ giám sát hướng truyền 1 tham số, chọn trình giám sát luồng bạn muốn sử dụng từ danh sách hoặc sử dụng Tạo giám sát dòng chảy tùy chọn để tạo một. Điền vào Máy chủ nhận hướng màn hình 2 và Máy chủ giám sát hướng truyền 2 tham số với bất kỳ cấu hình bổ sung. Chỉ định Phiên giám sát luồng cho vNIC
- Bây giờ chúng ta cần phải Chỉ định một phiên giám sát dòng chảy đến một vNIC. Nhấp chuột Mạng LAN > Giám sát NetFlow > Phiên giám sát dòng chảy và chọn Phiên giám sát dòng chảy bạn muốn cấu hình. Đặt Hồ sơ xuất khẩu mặc định và sau đó đi đến Tính chất và mở rộng vNIC Lựa chọn. Nhấn vào Thêm vào và sau đó chọn nút nào vNIC bạn muốn sử dụng với phiên giám sát dòng chảy.
- Lưu các thay đổi và kết thúc.
Định cấu hình và xác minh Cisco NetFlow thông qua giao diện Dòng lệnh
Nếu bạn muốn sử dụng Giao diện dòng lệnh (CLI) để định cấu hình NetFlow trên giao diện thì đây là một lựa chọn khác cho GUI. Quá trình định cấu hình và xác minh NetFlow tương đối đơn giản:
- Để bật chế độ EXEC, hãy nhập lệnh sau: bộ định tuyến > cho phép
- Hiện nay, đi vào Chế độ cấu hình toàn cầu bằng cách nhập lệnh configure: router > cấu hình thiết bị đầu cuối
- Chọn giao diện bạn muốn định cấu hình cho NetFlow bằng cách nhập số: bộ định tuyến > giao diện ethernet 0/0
- Tiếp theo, chúng ta cần phải Kích hoạt tính năng NetFlow và đi ra trên giao diện. Để làm điều đó, hãy nhập hai lệnh sau: bộ định tuyến > xâm nhập dòng chảy ip
bộ định tuyến > luồng ip đi ra - Nếu bạn muốn bật NetFlow trên giao diện khác, hãy sử dụng lệnh sau để trở về Chế độ cấu hình toàn cầu:bộ định tuyến > lối ra
- Sau đó lặp lại toàn bộ quá trình cho đến khi bạn đã cấu hình tất cả các giao diện bạn cần.
- Để kết thúc, sử dụng lệnh Kết thúc để trở về chế độ EXEC: bộ định tuyến > kết thúc
Xác minh rằng NetFlow đang hoạt động
Để đảm bảo NetFlow hoạt động, bạn có thể sử dụng giao diện hiển thị luồng IP, hiển thị luồng bộ đệm IP và hiển thị các lệnh luồng lưu trữ bộ đệm IP:
- Sử dụng hiển thị giao diện luồng IP lệnh để xem cấu hình NetFlow cho giao diện: bộ định tuyến > hiển thị giao diện luồng ip
- Sử dụng lệnh show ip cache Flow để xác minh rằng NetFlow đang hoạt động cùng với bản tóm tắt thống kê: bộ định tuyến > hiển thị lưu lượng bộ đệm ip
- Sử dụng hiển thị dòng lưu trữ bộ nhớ cache ip lệnh để xác minh rằng NetFlow đang hoạt động cùng với bản tóm tắt thống kê. Nó có thể được sử dụng để xem Mặt nạ nguồn và NHƯ, Mặt nạ cổng đích AS, ToS và TCP, Lưu lượng dòng chảy, và hơn thế nữa. Để sử dụng lệnh, hãy nhập như sau: bộ định tuyến > hiển thị dòng lưu trữ bộ nhớ cache ip
Bộ sưu tập NetFlow
Sau khi bạn đã hoàn tất cấu hình NetFlow, giai đoạn tiếp theo là chọn một công cụ thu thập luồng. Ngay cả sau khi làm theo các bước trên, bạn đã thắng được vẫn có thể sử dụng NetFlow trừ khi bạn có đại lý phần mềm / bộ phân tích NetFlow để thu thập thông tin do thiết bị của bạn tạo ra. Tin tốt là những công cụ này có sẵn rộng rãi. Trong phần này, chúng tôi sẽ xem xét hai nền tảng:
SolarWinds Phân tích lưu lượng truy cập NetFlow (THỬ MIỄN PHÍ)
SolarWinds Phân tích lưu lượng NetFlow là một công cụ phân tích lưu lượng và phân tích lưu lượng NetFlow mà bạn có thể sử dụng để xem các đầu ra NetFlow. Công cụ này cho phép bạn xem dữ liệu luồng IPv4 và IPv6. Nó cũng có GUI với bảng điều khiển hiệu suất nơi bạn có thể xem các nguồn NetFlow và tổng quan về Hogs băng thông hàng đầu trong mạng.
Ví dụ: bạn có thể tra cứu tên của một công tắc trong mạng của mình và xem Lưu lượng truy cập, Lưu lượng truy cập, NetFlow đã nhận cuối cùng và CBQOS đã nhận lần cuối để xem lưu lượng có bình thường không.
Phần mềm này có hệ thống cảnh báo để bạn nhận được thông báo khi có sự biến động về lưu lượng truy cập mà bạn cần lưu ý. Bạn có thể định cấu hình khi cảnh báo được tạo với các tham số tùy chỉnh. Ví dụ: bạn có thể đặt Điều kiện kích hoạt khi lưu lượng ứng dụng vượt quá ngưỡng và sau đó đặt tham số Lưu lượng truy cập. Công cụ này bắt đầu với mức giá (£ 1.485). Cũng có một dùng thử 30 ngày phiên bản.
SolarWinds Phân tích lưu lượng truy cập NetFlow Tải xuống bản dùng thử MIỄN PHÍ 30 ngày
Giám sát mạng Paessler PRTG (THỬ MIỄN PHÍ)
Giám sát mạng PRTG là một phần mềm giám sát mạng có thể giám sát lưu lượng NetFlow. Nó hỗ trợ tất cả các phiên bản NetFlow và cung cấp GUI để giám sát các thiết bị. Bạn có thể theo dõi NetFlow bằng các cảm biến. Có cảm biến NetFlow V5 và cảm biến NetFlow V9.
Các cảm biến đo lưu lượng mạng tính bằng kbit mỗi giây ở nhiều định dạng (bao gồm FTP / P2P, DHCP, DNS, Nhận dạng, ICMP, SNMP, IMAP, NetBIOS, SSH, Telnet, HTTP, HTTPS, UDP, TCP, v.v.) . Tất cả lưu lượng truy cập được trình bày trong tổng quan về đồ họa hiển thị Người nói chuyện hàng đầu, Kết nối hàng đầu và Giao thức hàng đầu, cùng với khoảng thời gian bạn chọn.
Các cảm biến có thể được cấu hình để gửi thông báo cho bạn qua email và SMS nếu lưu lượng truy cập đạt đến mức bất thường. Giá của Paessler PRTG Network Monitor bắt đầu từ 1.600 đô la (1.232 bảng Anh) cho 500 cảm biến và một cài đặt máy chủ. Cũng có một dùng thử 30 ngày phiên bản.
Màn hình mạng Paessler PRTG Tải xuống bản dùng thử MIỄN PHÍ 30 ngày
Quản lý các sự kiện bảo mật và hiệu suất với NetFlow Giám sát
Khi NetFlow được định cấu hình trên thiết bị của bạn, bạn sẽ có thể theo dõi các gói được truyền trên toàn mạng của bạn. Giám sát NetFlow cực kỳ hữu ích như một phần của chiến lược giám sát mạng của bạn vì nó cho phép bạn xem lưu lượng truy cập và xác định các cuộc tấn công mạng như DoS hoặc DDoS.
Nếu bạn có kế hoạch sử dụng giám sát NetFlow để giám sát mạng của mình thì bạn nên tải xuống máy phân tích NetFlow. Nó sẽ cung cấp cho bạn một GUI để giám sát lưu lượng và giúp xác định các cuộc tấn công mạng dễ dàng hơn. Giám sát lưu lượng sẽ giúp bạn theo dõi sát sao các sự kiện bảo mật và hiệu suất.