Вы настроите ваш роутер экспортировать потоки на все машины вашей группы
rtr1 ==> pc1 на порт 9001
rtr1 ==> pc2 на порт 9001
rtr1 ==> pc3 на порт 9001
rtr1 ==> pc4 на порт 9001rtr2 ==> pc5 на порт 9001
rtr2 ==> pc6 на порт 9001
rtr2 ==> pc7 на порт 9001
rtr2 ==> pc8 на порт 9001и т.д.
$ ssh cisco@rtrX.ws.nsrc.org
rtrX> enableили, если ssh на роутере еще не настроен:
$ telnet 10.10.1.254
Username: cisco
Password:
Router1>enable
Password: Нижеследующее сконфигурирует интерфейс FastEthernet 0/0 для экспорта потоков. Замените 10.10.X.A до 10.10.X.D на IP адреса машин вашей группы.
rtrX# configure terminal
rtrX(config)# flow exporter EXPORTER-1
rtrX(config-flow-exporter)# description Export to pcA
rtrX(config-flow-exporter)# destination 10.10.X.A
rtrX(config-flow-exporter)# transport udp 9001
rtrX(config-flow-exporter)# template data timeout 300
... repeat for EXPORTER-2 and pcB
... repeat for EXPORTER-3 and pcC
... repeat for EXPORTER-4 and pcD
rtrX(config-flow-exporter)# flow monitor FLOW-MONITOR-V4
rtrX(config-flow-monitor)# exporter EXPORTER-1
rtrX(config-flow-monitor)# exporter EXPORTER-2
rtrX(config-flow-monitor)# exporter EXPORTER-3
rtrX(config-flow-monitor)# exporter EXPORTER-4
rtrX(config-flow-monitor)# record netflow ipv4 original-input
rtrX(config-flow-monitor)# cache timeout active 300
rtrX(config)# interface FastEthernet 0/0
rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 input
rtrX(config-if)# ip flow monitor FLOW-MONITOR-V4 output
rtrX(config-if)# exitПоскольку вы не указали версию протокола NetFlow, по умолчанию будет использован NetFlow версии 9.
Команда "cache timeout active 300" разбивает долгоживущие потоки на 5-минутные фрагменты. Если вы оставите значение по умолчанию (30 минут), отчеты о трафику будут иметь пики.
Замечание: для мониторинга потоков IPv6 вам пришлось бы создать новый монитор потоков для IPv6 и подсоединить его к интерфейсу и к существующим экспортерам потоков.
flow monitor FLOW-MONITOR-V6 exporter EXPORTER-1 exporter EXPORTER-2 exporter EXPORTER-3 exporter EXPORTER-4 record netflow ipv6 original-input cache timeout active 300 interface FastEthernet 0/0 ipv6 flow monitor FLOW-MONITOR-V6 input ipv6 flow monitor FLOW-MONITOR-V6 output
Также введите следующую команду:
rtrX(config)# snmp-server ifindex persistЭто включит неизменяемость значений ifIndex между перезагрузками роутера, а также в случае добавления либо удаления интерфейсных модулей на устройстве.
Теперь мы проверим, что все в порядке.
Вначале выйдите из режима кнофигурации:
rtrX(config)# exitrtrX# show flow exporter EXPORTER-1
rtrX# show flow exporter EXPORTER-2
etc...
rtrX# show flow monitor FLOW-MONITOR-V4Можно просмотреть индивидуальные активные потоки на роутере:
rtrX# show flow monitor FLOW-MONITOR-V4 cacheУ нас будут тысячи индивидуальных потоков, поэтому это не очень полезная возможность. Нажмите 'q' для выхода из постраничного вывода (если необходимо).
Вместо этого, сгруппируйте потоки так, что вы можете посмотреть список наиболее активных пользователей (по источникам и назначениям). Для этого используется вот такая длинная команда:
rtrX# show flow monitor FLOW-MONITOR-V4 cache aggregate ipv4 source address
ipv4 destination address sort counter bytes top 20Если все выглядит нормально, сохраните конфигурацию в постоянной памяти:
rtrX#wr memТеперь вы можете выйти из роутера:
rtrX#exitУбедитесь в том, что tcpdump установлен:
$ sudo apt-get install tcpdumpТеперь убедитесь, что потоки приходят с роутера на вашу машину:
$ sudo tcpdump -i eth0 -nn -Tcnfp port 9001Подождите несколько секунд и вы должны увидеть что-то в этом роде:
06:12:00.953450 IP s2.ws.nsrc.org.54538 > noc.ws.nsrc.org.9009: NetFlow v5, 9222.333 uptime, 1359871921.013782000, #906334, 30 recs
started 8867.952, last 8867.952
10.10.0.241/0:0:53 > 10.10.0.250/0:0:49005 >> 0.0.0.0
udp tos 0, 1 (136 octets)
started 8867.952, last 3211591.733
10.10.0.241/10:0:0 > 0.0.0.0/10:0:4352 >> 0.0.0.0
ip tos 0, 62 (8867952 octets)
[...]Это пакеты UDP, содержащие индивидуальные записи потоков.
(Обратите внимание, что реальный вывод может быть неправильным, так как tcpdump не декодирует пакеты NetFlow правильно)
На этом лабораторная работа закончена.
Перейдите к следующей работе, exercise2-install-nfdump-nfsen.