Вы здесь: Главная > Программы > Мониторинг Сети Pro > Документация > Мониторинг и учёт трафика с помощью NetFlow v5/9

Мониторинг и учёт трафика с помощью NetFlow v5/9

Общие сведения

NetFlow — сетевой протокол, разработанный компанией Cisco Systems для учёта сетевого трафика. Но NetFlow поддерживается не только оборудованием Cisco, но и устройствами других производителей. Существует несколько версий протокола, но наибольшее распространение получили версии 5 и 9.

В сборе информации о трафике по протоколу NetFlow участвуют три компонента:

  1. Сенсор.
    Собирает статистику по проходящему через него трафику. Обычно это L3-коммутатор или маршрутизатор, хотя иногда используются и отдельно стоящие сенсоры, получающие данные путём зеркалирования порта коммутатора.
  2. Коллектор.
    Собирает получаемые от сенсора данные и помещает их в хранилище.
  3. Анализатор.
    Анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (например, в виде графиков).

Некоторые системы мониторинга могут объединять в себе два компонента — коллектор и анализатор, как это и реализовано в программе "10-Страйк: Мониторинг Сети Pro".

Схема работы протокола NetFlow в программе представлена на схеме:

Сенсор (коммутатор), собирает данные о проходящем через него локальном и интернет-трафике. Затем отправляет их на заданный в его настройках хост с IP-адресом и портом по протоколу UDP. Сервер мониторинга, запущенный на этом хосте, принимает эти данные, расшифровывает и записывает в специальную таблицу базы данных программы. Та же служба мониторинга во время выполнения проверки Сетевой трафик (NetFlow v5/9) зачитывает данные из таблицы за нужный период и производит подсчёт скорости и объема трафика, сравнивая их с заданными пороговыми значениями. В случае их превышения программа выдаёт оповещение.

 

Как настроить мониторинг трафика в программе?

Для того, чтобы с помощью программы вести учёт и мониторинг трафика, нужно выполнить следующие действия:

  1. Включить сбор и отправку статистики трафика по NetFlow на вашем маршрутизаторе или коммутаторе.
  2. Настроить параметры коллектора в программе.
  3. Создать проверку Сетевой трафик (NetFlow v5/9) в программе и задать её параметры.

Далее по пунктам.

 

Как включить NetFlow на коммутаторе?

Включение NetFlow на коммутаторе выполняется через консоль управления набором специальных команд. В Интернете есть довольно много статей, подробно описывающих этот процесс. Набор команд может отличаться в зависимости от модели устройства и его производителя. Обратитесь к документации по вашему устройству.

В качестве примера можно привести настройку NetFlow на коммутаторе CISCO:

  1. Необходимо выбрать интерфейсы, на которых вы хотите собирать статистику и направление трафика, который вы хотите учитывать:
    R1(conf)# interface FastEthernet 0/1  
    R1(config-if)# ip flow ingress  
    R1(config-if)# ip flow egress
  2. Второй шаг настройки – указание адреса коллектора и номера UDP порта, на котором он будет получать статистику. Кроме того, можно указать версию протокола NetFlow, которая будет совместима с возможностями коллектора:
    R1(config)# ip flow-export destination 192.168.0.100 2055  
    R1(config)# ip flow-export version 5

Для отладки можно использовать две команды: show ip cache flow – выдаёт локальную статистику netflow на маршрутизаторе, без коллектора; show ip flow export – отображает статистику по взаимодействию с коллектором (сколько потоков отправлено, сколько пакетов ушло на коллектор, ошибки при взаимодействии с коллектором и т.д.).

 

Настройка и включение коллектора NetFlow в программе

Общие параметры коллектора находятся в разделе NetFlow в настройках программы.

Для того, чтобы коллектор начал принимать данные, нужно указать порт, на который эти данные отправляются сенсором (коммутатором). Обычно это порты 9555, 9995 или 9991.

Если источников данных NetFlow в сети несколько, но вы хотите анализировать данные только с одного — задайте IP-адрес этого коммутатора в поле Принимать данные только с одного IP.

Если на сервере мониторинга (там, где работает служба мониторинга) несколько сетевых интерфейсов, то вы можете указать, на какие именно адреса следует принимать статистику NetFlow. Если ничего не выбрано, то данные будут приниматься на все сетевые интерфейсы.

Коллектор NetFlow принимает большое количество данных, которые хранятся в базе данных программы. Чтобы избежать неконтролируемого роста базы даных, в программе предусмотрен механизм удаления старых записей. Задайте срок хранения данных NetFlow. Учтите, что слишком большой объём данных замедляет их выборку и анализ. По умолчанию программа хранит "сырые" данные NetFlow один месяц. Следует учесть, что для срока хранения уже проанализированных данных статистики в программе существуют другие параметры в разделе Статистика.

 

ВАЖНО: Коллектор становится активным автоматически и начинает принимать, записывать данные после создания хотя бы одной проверки Сетевой трафик (NetFlow v5/9). Если такая проверка не была создана или все они были выключены, то коллектор останавливается (при перезапуске службы мониторинга).

 

Создание и настройка проверки "Сетевой трафик (NetFlow v5/9)"

Для того, чтобы программа начала принимать данные NetFlow от сенсора нужно создать проверку Сетевой трафик (NetFlow v5/9):

 

Выберите в списке мониторинга хост, трафик которого вы хотите мониторить и добавьте ему проверку:

 

Задайте параметры новой проверки:

Адрес хоста (заполняется автоматически). Адрес устройства, учёт трафика которого будет выполнять проверка.

Время ожидания, в секундах. Если в течение этого времени коллектор не будет получать данные от сенсора, проверка будет считаться не пройденной и вы получите настроенное оповещение. Скорее всего это будет означать то, что либо коммататор перестал отправлять/собирать данные, либо в сети произошла какая-то ошибка.

Фильтр трафика. Сенсор присылает коллектору полную статистику по трафику. С помощью фильтров вы можете включить учёт трафика по заданными критериями. Например, можно учитывать трафик только с определённых источников, перечислив их IP. Или можно считать трафик только по каким-то выбранным сетевым протоколам (HTTP, FTP, SMTP и т.д.). Создавайте свои правила учёта, используя поля Учитывать всё, кроме и Игнорировать всё, кроме.

Текстовые значения фильтра поддерживают маски *, означающих, что на этом месте может находиться любой символ.

 

Локальные адреса служат для разделения трафика на входящий/исходящий, внутрисетевой/внешний. Перечислите в этом поле все IP-адреса этого хоста. Допускается использование масок '*', типа: 192.168.*.*

Скорость и объём: Программа можёт вести мониторинг текущей скорости трафика, процентного использования канала и учёт израсходованного трафика. С помощью Контролировать: выберите нужный параметр мониторинга и настройте критерий срабатывания сигнализации.

После создания первой проверки данного типа коллектор автоматически начинает свою работу. Проверить это можно по записи в Журнале работы программы (NetMonitorPro.log):

19.05.2017 14:29:34: Netflow Collector started on port: 9991 (v5.4, svc)

Сервер мониторинга незамедлительно начинает анализ принимаемых им данных и вывод графиков на экран.

 

ВАЖНО: Один сервер мониторинга может запускать только один коллектор NetFlow. Для создания нескольких коллекторов используйте дополнительные сервера мониторинга. Эти коллекторы будут помещать данные так же в одну общую таблицу NETFLOW в БД программы.

 

Программа работает в среде Windows XP/Vista/7/8.1/10/11, Server 2003/2008/2012/2016/2019/2022. Вы можете скачать и попробовать 30-дневную пробную версию бесплатно.