(Classe 5a) - Sistemi e Reti

La configurazione di NetFlow si opera a livello di interfaccia, per quanto riguarda la cattura dei flussi in ingresso e in uscita, e a livello globale, per quanto concerne la definizione dell’indirizzo e della porta UDP del NetFlow Collector, il formato dei dati raccolti e l’interfaccia da cui prendere l’IP mittente dei dati. Esempio:

L’eventuale versione di NetFlow supportata dipende dalla piattaforma: ad esempio, gli Switch 2960 non lo supportano, mentre i Router ISR G2 supportano NetFlow “original” e Flexible NetFlow; gli Switch 3560-X solo Flexible NetFlow. I comandi di configurazione di Flexible NetFlow esulano dallo scopo del Corso.

Gli apparati con poca RAM possono essere configurati per usare una Flow cache più piccola di quella predefinita.

I software di analisi sul NetFlow Collector possono essere, ad esempio:

• SolarWinds NetFlow Traffic Analyzer
• Plixer Scrutinizer (che richiede 4 GB di RAM e 50 GB sull’HD)
• Cisco NFC-NetFlow Collector.

Altri software freeware sono reperibili all’URL fornito alla fine del Lab 8.3.3.3:

http://www.cisco.com/en/US/prod/iosswrel/ps6537/ps6555/ps6601/networking_solutions_products_genericcontent0900aecd805ff72b.html

Essendo ogni flusso catturato da NetFlow unidirezionale, per vedere il traffico tra due interlocutori occorre richiedere, su ogni interfaccia interessata, di rilevare sia il flusso “ingress”, sia quello “egress”.

I software di analisi citati si pongono in ascolto di solito su varie porte UDP, tra cui la 99, la 2055 e la 9996; l’amministratore può scegliere quale/i usare.

Le versioni dei formati record raccolti possono essere: 1, 5, 7, 8 o 9. Per default il sistema usa la versione 1, la più “povera”, da usare solo se il Collector non accetta versioni più evolute. La versione 9 non è retrocompatibile con le altre.

Per verificare il funzionamento di NetFlow, si può partire dall’apparato di rete che cattura i dati, con i seguenti comandi IOS:

Ovviamente è poi necessario verificare che i dati siano visibili anche sul Collector.