محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 6 نکته مهم در راه اندازی NetFlow در روتر سیسکو

قبلا در خصوص NetFlow در توسینسو صحبت کردیم اما امروز می خواهیم در خصوص چگونگی پیاده سازی این قابلیت در سویچ ها و روترهای شرکت سیسکو صحبت کنیم. فقط نکته قابل توجه در خصوص این آموزش این است که ما در خصوص یک IOS خاص صحبت نمی کنیم بلکه در خصوص قابلیت های عمومی IOS های سیسکو صحبت می کنیم ، همانطور که می دانید سیسکو یک سری استاندارد از IOS دارد که در دستگاه هایی مثل Nexux ، ASR یا ISR ها و ASA ها و ... تفاوت های کوچکی با هم دارند .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

در خصوص پیاده سازی NetFlow در سری Nexus بصورت جداگانه ای صحبت خواهیم کرد اما آموزش پایین بصورت کلی در خصوص همه انواع IOS های سیسکو می باشد که درست است با هم متفاوت هستند اما کلیات ماجرا یکی است . مهم نیست که شما کدامیک از انواع دستگاه های سیسکو را استفاده می کنید ، در هر صورت برای پیاده سازی NetFlow در سیسکو یک سری قواعد و قوانین عمومی وجود دارد که همیشه باید به خاطر داشته باشید :

  1. تنظیمات NetFlow برای مدل های مختلف سخت افزارها متفاوت است
  2. مدت زمان Active Timeout همیشه باید در حالت 1 دقیقه یا 60 ثانیه قرار بگیرد. در واقع این مدت زمانی است که حافظه Cache دستگاه ما اطلاعات را از درون خود خالی می کند و به سمت Collector ارسال می کند تا بتواند Flow های جدید را دریافت و پردازش کند.
  3. NetFlow فقط باید برای ترافیک ورودی در سطح interface تعریف شود ، ایجاد کردن و دریافت NetFlow از ترافیک ورودی و خروجی که در اصطلاح ingress و engress گفته می شود پهنای باند زیادی را اشغال می کند و ترافیک های بیهوده ای را به سمت مانیتورینگ ارسال می کند که اصلا مورد نیاز و ضروری نیستند.
  4. روی هر کدام از Interface های لایه 3 برای درک بهتر ترافیک شبکه حتما NetFlow را فعال کنید
  5. بهترین راه برای تعریف کردن NetFlow Source این است که Interface ای را برایش تعریف کنیم که هرگز خاموش نمی شود ، برای مثال ما می توانیم از Loopback0 به عنوان Source Interface استفاده کنیم.
  6. NetFlow بر اساس 7 فیلد کلیدی کار می کند ، اگر یکی از این فیلد ها متفاوت باشد یک flow record جدید در flow cache table ایجاد می شود ، این 7 فیلد شامل موارد زیر می شوند :
  • آدرس IP مبدا یا Source IP Address
  • آدرس IP مقصد یا Destination IP Address
  • شماره پورت مبدا یا Source Port Number
  • شماره پورت مقصد یا Destination Port Number
  • تعریف نوع پروتکل لایه سه یا Layer Three Protocol Type ( مثلا TCP ، UDP و ... )
  • تعیین بایت ToS یا Type Of Service
  • تعریف Input Logical Interface

تنظیمات مربوط به NetFlow بر روی IOS سیسکو

برای پیکربندی Netflow بر روی IOS های شرکت سیسکو دستورات زیر را در configuration mode وارد کنید :

ip flow-export destination <آدرس آی پی دریافت کننده F> 2055
ip flow-export source <interface>       -> (ترجیحا لوپ بک استفاده شود )
ip flow-export version 9             -> (اگر نسخه 9 نشد نسخه 5 را استفاده کنید)
ip flow-cache timeout active 1
ip flow-cache timeout inactive 15
snmp-server ifindex persist

در مرحله بعدی NetFlow را بر روی همه Layer3 Interface هایی که می خواهید ترافیک آنها را مانیتور کنید وارد کنید :

interface <interface>
ip flow ingress

تنظیمات دلخواه ( اجباری نیستند ) :

ip flow-export version 9 origin-as 
ip flow-capture mac-addresses       -> تعیین آدرس های سخت افزاری برای کپچر شدن
ip flow-capture vlan-id                    -> تعیین یک وی لن برای کپچر

به این نکته توجه کنید که اگر IOS سیسکویی که استفاده می کنید از قبل از سری 12.2(14)S, 12.0(22)S, or 12.2(15)T هستند بایستی از دستور ip route-cache flow برای قعال کردن Netflow بر روی یک Interface استفاده کنید و اگر IOS روتر شما از سری 12.2(14)S, 12.0(22)S, 12.2(15)T یا بعد از آن است هستند از دستور ip flow ingress برای فعال کردن Netflow بر روی Interface ها می توانید استفاده کنید ، برای اینکه مطمئن شوید تنظیمات شما به درستی انجام شده است می توانید از دستورات زیر استفاده کنید :

show ip cache flow
show ip flow export
show ip flow interface
show ip flow export template

محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات