Flexible Netflow چیست و چگونه در روتر سیسکو راه اندازی می شود؟
آموزش راه اندازی Flexible Netflow در روتر سیسکو : Flexible Netflow همانطور که از اسمش پیداست یک نسخه انعطاف پذیر از netflow می باشد که آنالیز ترافیک را براساس نیاز ما انجام می دهد. Flexible Netflow با مزایا و ویژگی های اضافه و جدیدش باعث شده است که نسبت به Netflow برتری داشته باشد. که این مزایا و ویژگی های به شرح زیر است:
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- قابلیت گسترش پذیری و دارای ظریفت بالا در جمع آوری اطلاعات جریان ترافیک
- ایجاد بهبود در ساختار جریان ترافیک و تمرکز بر قابلیت های نظارتی امنیتی
- انعطاف پذیری در تنظیم و بررسی key و nonkey
- فرمت خروجی version 9
- بررسی کامل IP و BGP
نکته : فیلدهای key به صورت ثابت می باشند مانند آدرس مبدا و مقصد ، پورت مبدا و مقصد ، پروتکل و ... اما nonkey شامل مقادیری مانند تعداد بسته ها ، حجم و ... می باشد.
Netflow و Flexible Netflow هر دو با استفاده از شناسایی و ضبط اطلاعات جریان ترافیک عمل می کنند. یک جریان ترافیک مجموعه ای بسته ها است که دارای key Fields یکسانی هستند. در Netflow این Key Fields ثابت بوده و شامل آدرس مبدا و مقصد ، پورت مبدا و مقصد ، پروتکل ، اینترفیس و ToS می باشند و همراه اطلاعات Key Fields اطلاعات مربوط به nonkey Fields که شامل تعداد بسته ها و حجم کل بسته ها ، ذخیره می گردد. Flexible Netflow امکان سفارشی سازی این Key , nonkey fields را فراهم می کند و از آنها می توان برای مصارف مختلف استفاده کرد.
مزایای Flexible Netflow :
مزایا و ویژگی های Flexible Netflow مشابه Netflow است که قبلا در مورد آنها صبحت کرده ایم درنتیجه تنها به ذکر نام آنها بسنده می کنیم :
- Network Monitoring
- Application Monitoring and Profiling
- User Monitoring and Profiling
- Network Planning
- Security Analysis
- Accounting/Billing
- NetFlow Data Warehousing and Data Mining
اجزای Flexible NetFlow :
Flexible NetFlow از چند بخش اصلی تشکیل شده است که قبل از استفاده از Flexible NetFlow بهتر است که با آنها آشنا شویم:
- Netflow Records : وظیفه مشخص کردن Key, nonkey Fields را جهت مانیتور و گرفتن خروجی به عهده دارد. زمانی که در جریان ترافیک با این کلیدها مطالبقت پیدا شود اطلاعات مربوط به آن جریان ترافیک به عنوان یک Netflow record در Cache ذخیره می گردد و در ادامه اطلاعات جدید بدست آمده مربوط به این جریان ترافیک به این رکورد اضافه می گردد (مانند حجم بسته ارسالی).
- Flow Exporters : وظیفه ارسال اطلاعات ذخیره شده در Cache را به Collector دارد. در Flexible Netflow خروجی اطلاعات با فرمت نسخه 9 از Netflow ارسال می شود.
- Flow Samplers : وظیفه کاهش بار ایجاد شده روی دستگاه را دارد. به صورت پیش فرض Netflow Records ، تمام ترافیک را کنترل و ضبط می کند که این عمل باعث می شود منابع دستگاه درگیر این پردازش شوند. Flow Samplers این امکان را به ما می دهد که حجم ترافیک مورد پردازش را کاهش دهیم به طور مثال از هر 3 بسته تنها یک بسته مورد پردازش قرار گیرد.
- Flow Monitors : شامل سه بخش بالا می باشد و به اینترفیس اختصاص داده می شود و وظیقه اجرا Flexible Netflow را بر عهده دارد.
Netflow Records :
اولین بحث در مورد Netflow Records تفاوت بین key fields و nonkey fields است. تفاوت بین این دو بسیار ساده است از Key fields برای تشخیص جریان های ترافیک و متمایز کردن آنها از یکدیگر مورد استفاده قرار می گیرد در حالی که nonkey برای ضبط اطلاعات مربوط به یک جریان مورد استفاده قرار می گیرد.
در Netflow این کلیدها ثابت هستند و هیچ گونه تغییری در آنها نمی تواند ایجاد کرد. Flexible Netflow این امکان را برای ما فراهم می کند که کاربر براساس نیاز خود این کلیدها را تنظیم کند. در Netflow با توجه به اینکه کلید ها ثابت هستند و امکان تغییر آنها وجود ندارد حجم داده ارسالی شامل تمام کلیدها می باشد و بسیاری از آنها شاید مورد نیاز نباشد ولی با Flexible Netflow می توان مشخص کرد که چه فیلد هایی مورد نیاز است و از فیلد های غیر ضروری صرفه نظر کرد و باعث کاهش حجم داده ارسال شد. در جدول زیر فیلدهای ورودی مربوط به Netflow نمایش داده شده است.
نمونه دستورات Netflow Records به صورت زیر است :
router(config)# flow record test-record-name router(config-flow-record)# match ipv4 source address router(config-flow-record)# match ipv4 destination address router(config-flow-record)# match transport tcp source-port router(config-flow-record)# match transport tcp destination-port router(config-flow-record)# collect counter packets router(config-flow-record)# collect counter bytes
Flow Exporter :
Flow exporter به صورت پیش فرض هر 30 دقیقه یکبار اطلاعات را از Cache به Collector در فرمت نسخه 9 ارسال می کند.نمونه دستورات Flow exporter به صورت زیر است :
router(config)# flow exporter test-exporter-name router(config-flow-exporter)# destination 192.168.1.1 router(config-flow-exporter)# transport udp 1234
Flow Monitors :
Flow Monitor به اینترفیسی که قرار است اطلاعات ترافیک آن جمع آوری شود اختصاص داده می شود. قبل از اینکه Flow Monitor را به یک اینترفیس اختصاص دهیم باید آنرا تنظیم کنیم. Flow Monitor برای کار کردن نیاز به Netflow record و Flow exporter دارد.نمونه دستورات Flow Monitor به صورت زیر است :
router(config)# flow monitor test-monitor-name router(config-flow-monitor)# record test-record-name router(config-flow-monitor)# exporter test-exporter-name
Flow Sampler :
همانطور که قبلا گفته شد از Flow sampler زمانی که بار پردازشی برای دستگاه زیاد است استفاده می شود و به کمک آن این بار را کاهش می دهیم.برای Flow Sampler از دو حالت می توان استفاده کرد:
- Deterministic : در این حالت در بازه زمانی یک نمونه از ترافیک برای پردازش برداشته می شود. این حالت از حالت Random سربار کمتری دارد.
- Random : در این حالت ترافیک برای پردازش به صورت تصادفی انتخاب می شود.
نمونه دستورات Flow Sampler به صورت زیر است :
router(config)# sampler test-sampler router(config-sampler)# mode deterministic 1 out-of 2
فعال کردن Flow Monitor :
آخرین مرحله از اجرای Flexible Netflow اختصاص Flow Monitor به اینتر فیس مورد نظر ما می باشد که می تواند برای ترافیک ورودی یا خروجی فعال گردد.نمونه دستورات برای فعال کردن Flow Monitor به صورت زیر است :
router(config)# interface FastEthernet0/0 router(config-if)# ip flow monitor test-monitor-name sampler test-sampler input
همچنین از دستورات زیر برای بررسی و خطایابی استفاده می شود :
Router#show flow monitor Router#show flow interface Router#show flow exporter Router#show flow monitor name flow-monitor-name Router#show sampler