LAB 6.3: CẤU HÌNH NETFLOW -

Khái niệm

Netflow là tính năng của Cisco IOS cho phép thông kê lưu lượng gói qua router. Netflow thực hiện giám sát, phân tích, tính toán lưu lượng gói. Sử dụng phổ biến trong các yêu cầu:

• Giám sát mạng: Cho phép giám sát hiện trạng mạng gần như thời gian thực. Giám sát mạng là kỹ thuật dựa vào flow (tập những gói có cùng 7 thông tin: IP nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao thức lớp 3, cổng vào) nhằm thực hiện thu thập theo lưu lượng gói, theo luồng liên quan đến một thiết bị router, switch hoặc sự kết hợp của nhiều lưu lượng từ nhiều thiết bị giúp chủ động nhận diện được vấn đề, hiệu quả trong quá trình xử lý sự cố và đưa giải pháp giải quyết vấn đề một cách nhanh chóng.
• Giám sát ứng dụng: Cho phép người quản trị nhìn thấy một cách chi tiết về hoạt động của ứng dụng trên mạng theo thời gian. Thông tin này được dùng để hiểu được những dịch vụ mới nhằm phân phối hợp lý tài nguyên mạng (băng thông, chất lượng dịch vụ...) và tài nguyên cho ứng dụng cũng như là kế hoạch mở rộng.
• Giám sát người dùng: Cho phép người vận hành mạng hiểu rõ tài nguyên mạng và tài nguyên ứng dụng mà người dùng sử dụng để từ đó có kế hoạch phân phối tài nguyên hợp lý cho người dùng, cũng như nhận diện được những vần đề liên quan đến an ninh mạng hoặc vi phạm chính sách.
• Xây dựng kế hoạch phát triển mạng: Do có khả năng giám sát và phân tích lưu lượng dữ liệu trong một khoảng thời gian dài, điều này cho phép người quản trị có cơ hội theo dõi, dự đoán được sự phát triển của mạng để có kế hoạch nâng cấp như tăng số lượng router, những cổng với băng thông lớn…
• Phân tích an ninh mạng: Netflow định danh và phân loại những loại tấn công như Dos, DDos, virus, worm theo thời gian thực dựa vào những sự hành vi thay đổi bất thường trong mạng.
• Tính toán lưu lượng: Netflow cho phép người quản trị có được thông tin chi tiết lưu lượng dữ liệu như địa chỉ IP, ứng dụng, ToS (type of service), số lượng gói, số lượng byte, thời gian hoạt động giúp cho việc tính toán tài nguyên mạng được sử dụng theo người dùng, ứng dụng… trong khoảng thời gian cụ thể.

Lưu lượng qua router hoặc switch sau khi thu thập và phân tích sẽ được đặt trong cache (Netflow cache), có thể truy xuất thông qua CLI hoặc ứng dụng bên ngoài.

Trong kịch bản này bạn sẽ được yêu cầu cấu hình Netflow trên router GATEWAY và kiểm tra kết quả Netflow cache qua CLI hoặc ứng dụng phân tích Netflow được cài đặt trên thiết bị giám sát.

Cấu hình ban đầu

Cấu hình trên GATEWAY:

Xác định thiết bị sẽ nhận flow cache (lưu ý phải bao gồm giá trị port):

GATEWAY(config)#ip flow-export destination 192.168.1.10 5000

Xác định Version của Netflow sẽ được gửi:

GATEWAY(config)#ip flow-export version 5

Xác định cổng và hướng sẽ được theo dõi:

GATEWAY(config)#interface fa0/0

GATEWAY(config-if)#ip flow ingress

GATEWAY(config)#interface fa0/1

GATEWAY(config-if)#ip flow egress

Bạn có thể cấu hình snmp-server để cho phép đa dạng thông tin theo dõi:

GATEWAY(config)#snmp-server community cisco123

Cài đặt và cấu hình trên thiết bị giám sát:

Trong kịch bản này, ta sẽ dùng phần mềm ManageEngine Netflow Analyzer như công cụ phân tích Netflow. Thực hiện cài đặt trên thiết bị giám sát (hình 6.25).

Chọn Yes để tiếp tục (hình 6.26).

Chọn thư mục cài đặt (hình 6.27).

Xác định cổng dịch vụ Netflow (tương ứng với giá trị cấu hình trên router) và Web (dùng cho mục đích quản trị) – hình 6.28.

Chọn Install Netflow Analyzer as a Windows Service (hình 6.29).

Chọn Next để tiếp tục (hình 6.30).

Hình 6.30.

Sau quá trình cài đặt, bạn cần kích hoạt ứng dụng, gõ phím Enter để tiếp tục (hình 6.31).

Hình 6.31.

Gõ y (yes) để tiếp tục tiến trình (hình 6.32).

Hình 6.32.

Bạn có thể quản trị ứng dụng qua trình duyệt với địa chỉ http://localhost:8080 tại thiết bị giám sát (hình 6.33).

Hình 6.33.

Kiểm tra:

Thực hiện truy cập dịch vụ Internet từ PC, ta có thể phân tích lưu lượng của ứng dụng theo kích cỡ gói, số lượng gói, địa chỉ IP, số port, cổng vào, cổng ra… trên router bằng câu lệnh show ip cache flow (hình 6.34).

Có thể quan sát trực quan hơn qua công cụ phân tích Netflow dựa trên giao diện Web. Thực hiện đăng nhập vào ứng dụng với User Name: admin, Password: admin (hình 6.35).

Hình 6.35.

Sau khi đăng nhập thành công, bạn sẽ thấy thiết bị đang được theo dõi (hình 6.36).

Hình 6.36.

Biểu đồ thể hiện lưu lượng theo thời gian và bảng thể hiện lưu lượng theo ứng dụng (hình 6.37).

Phân loại lưu lượng theo địa chỉ IP nguồn và địa chỉ IP đích (hình 6.38).

Bạn cũng có thể tạo báo cáo theo định dạng PDF (hình 6.39).

Hoặc tạo báo cáo theo điều kiện (hình 6.40).

Hình 6.40.

Cấu hình đầy đủ

GATEWAY#sh run

hostname GATEWAY

!

interface FastEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 ip flow ingress

 ip nat inside

 ip virtual-reassembly

 

!

interface FastEthernet0/1

 ip address dhcp

 ip flow egress

 ip nat outside

 ip virtual-reassembly

!

ip route 0.0.0.0 0.0.0.0 10.215.24.1

!

ip flow-export version 5

ip flow-export destination 192.168.1.10 5000

!

ip http server

no ip http secure-server

ip nat inside source list 1 interface FastEthernet0/1 overload

!

access-list 1 permit 192.168.1.0 0.0.0.255

snmp-server community cisco123 RO

!

end