2.3.4 Configurazione e verifica di NetFlow
La configurazione di NetFlow si opera a livello di interfaccia, per quanto riguarda la cattura dei flussi in ingresso e in uscita, e a livello globale, per quanto concerne la definizione
dell’indirizzo e della porta UDP del NetFlow Collector, il formato dei dati raccolti e l’interfaccia da cui prendere l’IP mittente dei dati. Esempio:
L’eventuale versione di NetFlow supportata dipende dalla piattaforma: ad esempio, gli Switch 2960 non lo supportano, mentre i Router ISR G2 supportano NetFlow “original” e Flexible NetFlow; gli Switch 3560-X solo Flexible NetFlow. I comandi di configurazione di Flexible NetFlow esulano dallo scopo del Corso.
Gli apparati con poca RAM possono essere configurati per usare una Flow cache più piccola di quella predefinita.
I software di analisi sul NetFlow Collector possono essere, ad esempio:
- SolarWinds NetFlow Traffic Analyzer
- Plixer Scrutinizer (che richiede 4 GB di RAM e 50 GB sull’HD)
- Cisco NFC-NetFlow Collector.
Altri software freeware sono reperibili all’URL fornito alla fine del Lab 8.3.3.3:
Essendo ogni flusso catturato da NetFlow unidirezionale, per vedere il traffico tra due interlocutori occorre richiedere, su ogni interfaccia interessata, di rilevare sia il flusso “ingress”, sia quello “egress”.
I software di analisi citati si pongono in ascolto di solito su varie porte UDP, tra cui la 99, la 2055 e la 9996; l’amministratore può scegliere quale/i usare.
Le versioni dei formati record raccolti possono essere: 1, 5, 7, 8 o 9. Per default il sistema usa la versione 1, la più “povera”, da usare solo se il Collector non accetta versioni più evolute. La versione 9 non è retrocompatibile con le altre.
Per verificare il funzionamento di NetFlow, si può partire dall’apparato di rete che cattura i dati, con i seguenti comandi IOS:
Ovviamente è poi necessario verificare che i dati siano visibili anche sul Collector.
ESERCIZIO Modificare il seguente Packet Tracer secondo i comandi descritti dall'allegato N.B. Il Packet Tracer di partenza è già stato svolto come esercizio per il Syslog, in questo esercizio pertanto non occorre seguire le istruzioni del Packet Tracer ma quelle presenti nell'allegato e nella guida per lo svolgimento. |