21T25 Jak Działa NetFlow w 8 min. [Konfiguracja]

Próbkowanie Pakietów

Link do artykułu.

0:00 Wprowadzenie

0:10 Topologia

0:40 Konfiguracja IP

4:46 Konfiguracja Kolektora

5:45 Konfiguracja Interface

6:50 Przykładowy ruch

8:08 Podsumowanie

Transkrypcja

Cześć! Chciałbyś się dowiedzieć, jak szybko skonfigurować NetFlow? Jeżeli tak, to w tym odcinku opowiem, jak to zrobić. Zacznijmy jednak od topologii. Mamy tutaj dwa routery. Router R1, router R2, przełącznik SW1 i nasz host H1. Na tym hoście uruchomimy kolektor NetFlow’a. Oprócz tego będziemy z tego R1, sczytywać statystyki, dotyczące naszych informacji dodatkowych, które umożliwią nam odczytanie NetFlow.

Zaczynajmy konfigurację. Jeżeli chodzi o kroki, to najpierw zaczniemy od IP, czyli po prostu przypisanie adresów IP na poszczególne routery. Najpierw zacznijmy od R1. Włączenie do trybu konfiguracji i możemy konfigurować. Najpierw interfejs gigabit 0/0. To jest interfejs od strony przełącznika 0/0. Przypisanie adresu IP. Z maską 24 bity. No shutdown, czyli włączenie tego interfejsu i kolejny krok to jest przepisanie adresu IP na drugim interfejsie, czyli interfejs pomiędzy R1, a R2 czyli gigabit 0/1. Jesteśmy cały czas w konfiguracji interfejsu. W konfiguracji R1. Adres IP z końcówką 1.2, 24 bity maska, włączenie interfejsu. Mamy to już wykonane. Teraz czas na drugi router. Czyli konfigurujemy dokładnie to samo, tylko na routerze R2. Tu mamy jeden interfejs, gigabit 0/0 i jeden adres IP z końcówką 1.1 będzie na nim przypisane. Końcówka 1.1, maska 24 bity. Jest interfejs podniesiony.

Teraz czas na desktop, czyli hosta. Tutaj adres z końcówką 2.2, czyli z takiej sieci chcemy mieć adres IP, statycznie przypisany na tym hoście. Gateway oczywiście na R1, czyli adres z końcówką 2.1. Kolejnym krokiem jest uruchomienie OSPF’a. Tu mamy różne metody, ale akurat tutaj Mateusz w tym przykładzie wybrał OSPF’a. Chodzi o to, żeby router R2 był w stanie komunikować się z H1. Czyli żeby widział sieć z końcówką 2.1. Żeby to zrobić, OSPF na R2 i na R1 musi być skonfigurowany lub stateczny routing, ale OSPF w tym przypadku faktycznie jest łatwiejszy do konfiguracji. Wskazujemy sieć 192.168.1.0, maska 24 bity, strefa 0. Druga sieć z końcówką 2.0, też do strefy.

Jesteśmy na konfiguracji routera R1 czyli mamy do zgłaszania w OSPF’ie sieci po lewej stronie, sieci pomiędzy routerami. Teraz czas na test ping z hosta do adresu 1.1. 1.1 to jest router R2 i tu nam ping nie działa. Jest lekkie zaskoczenie,
owszem, powinien działać ten ping, czyli OSPF powinien nam zgłosić trasę i host H1 powinien być w stanie pingować R2. Zobaczmy, co tutaj się stało w tym przykładzie. Mateusz sprawdza najpierw adresację. Czyli widać, że sprawdził adres IP hosta. Teraz adresację w R2. Tutaj wszystko jest ok i widać tutaj też komunikat, że załadował się do stanu pełnego full proces OSPF i wykrył sąsiada. To nam daje już pewną podpowiedź, czyli mogło się okazać, że ten OSPF jeszcze nie zdążył się zestawić, w momencie, kiedy pingowaliśmy z H1. Żeby to potwierdzić, trzeba sprawdzić jeszcze pozostałe adresy IP na urządzeniach, na routerze. Tutaj też jest widać wszystko dobrze, więc kontynuujmy.

Wróćmy do hosta. Jeszcze raz test ping i tym razem działa. Czyli widać było, że problemem był po prostu zbyt szybko wykonany test, dlatego że konfiguracja była dobra, nie trzeba było nic w tej konfiguracji zmieniać. Jedźmy dalej. Mamy już konfigurację IP zrobioną. Teraz czas na konfigurację kolektora, czyli na H1 jest skonfigurowany kolektor NetFlow’a i teraz kolejnym krokiem jest konfiguracja parametrów NetFlow na routerze R1. Na tym routerze będzie skonfigurowany NetFlow na interfejsie gigabit 0/1 i 0/0. Najpierw jesteśmy w kontekście interfejsu. Nie. Najpierw jesteśmy w kontekście głównym. Tutaj wpisujemy, jaki jest odbiorca tego NetFlow’a, czyli adres z końcówką 2.2, to jest nasz host. Czyli będziemy tutaj na hosta wysyłać tą informację. Następnie mamy wskazanie w wersji IP flow, czyli NetFlow’a. Mogą tutaj być różne pola, różne wersje tego NetFlow’a mają różne możliwości. Dziewiątka jest często stosowaną wersją tego NetFlow’a. Kolejnym krokiem jest wejście w konfiguracji interfejsu, czyli jak mamy ogólne parametry NetFlow’a skonfigurowane na urządzeniu w kontekście globalnym, to wchodzimy w kontekst interfejsu. Tutaj przykład na interfejsie gigabit 0/0. Cofnijmy się jeszcze na moment. Na interfejsie 0/0 mamy konfigurację IP flow ingress, czyli będziemy próbkować ruch na interfejsie 0/0 w stronę wejściową.

Zwróćmy uwagę tutaj na rysunek, czyli będziemy sprawdzać pakiety, które idą do interfejsu 0/0 na routerze R1 i druga część, to będzie konfiguracja, która mówi, że na interfejsie 0/1 będziemy samplować pakiety, które wychodzą z tego interfejsu. Zobaczmy, że tutaj jest na interfejsie 0/1, IP flow egress, czyli ruch wychodzący. Tu mamy całą konfigurację NetFlow’a, jeżeli chodzi o router. Teraz możemy sobie zobaczyć, puszczając pewien ruch. Tutaj ping niech będzie przykładowym ruchem i będziemy mogli zobaczyć samplowanie tego ruchu, czyli próbki na tym naszym kolektorze NetFlow. Trzeba chwilę poczekać, aż to się przetworzy. No i mamy informację. To, co możemy tutaj wyczytać, to przede wszystkim możemy zobaczyć sobie, z jakiego adresu dostaliśmy informację, końcówka 2.2. Przesuńmy się tu w lewo 2.2. To jest host. Czyli ta informacja doszła do interfejsu 2.2. Mamy tutaj informacje, jaki był adres IP, z którego nam przyszedł ten ruch, czyli pingowaliśmy z 2.2, a docelowym adresem był adres 1.1. Czyli docelowy adres, a wykonywaliśmy pinga z H1, to się zgadza. Tutaj mamy szczegóły na jakim interfejsie to zostało zebrane odnośnie adresacji. Możemy sobie tutaj dodatkowe informacje o tym protokole, czy o tym ruchu, sprawdzić.

Jeżeli jesteś ciekaw, po co, jakie ma zalety ten NetFlow, po co się go stosuje, jakie ma wady, jakie są alternatywy, to zapraszam Cię do mojego podcastu. Tam tę część teoretyczną bardziej rozwinę. Opowiem, dlaczego się stosuje to narzędzie, a jeżeli interesuje Cię tylko konfiguracja, to ja w tym momencie dziękuję za uwagę. Oczywiście, zapraszam cię do kolejnego odcinka już za tydzień.