Netflow (autorecovered)

30 61 0
  • Loading ...
1/30 trang

Thông tin tài liệu

Ngày đăng: 24/04/2018, 21:29

Introduction Monitoring an operational network can provide a network administrator with information to proactively manage the network and to report network usage statistics to others Link activity, error rates, and link status are a few of the factors that help a network administrator determine the health and usage of a network Collecting and reviewing this information over time enables a network administrator to see and project growth, and may enable the administrator to detect and replace a failing part before it completely fails This chapter covers three protocols that a network administrator can use to monitor the network Syslog, SNMP, and NetFlow are popular protocols with different strengths and weaknesses Together, they provide a good toolset for understanding what is happening on a network The Network Time Protocol (NTP) is used to synchronize time across devices, which is especially important when trying to compare log files from different devices Giới thiệu Giám sát mạng lưới hoạt động cung cấp cho quản trị viên mạng thông tin để chủ động quản lý mạng báo cáo thống kê sử dụng mạng cho người khác Liên kết hoạt động, tỷ lệ lỗi, tình trạng liên kết vài số yếu tố giúp quản trị mạng xác định sức khỏe sử dụng mạng Thu thập xem lại thông tin qua thời gian cho phép quản trị viên mạng xem phát triển dự án cho phép quản trị viên phát thay phần không thành công trước hồn tồn khơng thành cơng Chương bao gồm ba giao thức mà quản trị viên mạng sử dụng để giám sát mạng Syslog, SNMP, NetFlow giao thức phổ biến với điểm mạnh điểm yếu khác Cùng nhau, họ cung cấp cơng cụ tốt để hiểu xảy mạng Giao thức Thời gian Mạng (NTP) sử dụng để đồng hóa thời gian thiết bị, điều đặc biệt quan trọng cố gắng so sánh tệp nhật ký từ thiết bị khác Introducing NetFlow NetFlow is a Cisco IOS technology that provides statistics on packets flowing through a Cisco router or multilayer switch NetFlow is the standard for collecting IP operational data from IP networks Historically, NetFlow technology was developed because networking professionals needed a simple and efficient method for tracking TCP/IP flows in the network, and SNMP was not sufficient for these purposes While SNMP attempts to provide a very wide range of network management features and options, NetFlow is focused on providing statistics on IP packets flowing through network devices NetFlow provides data to enable network and security monitoring, network planning, traffic analysis to include identification of network bottlenecks, and IP accounting for billing purposes For example, in the figure, PC connects to PC using an application such as HTTPS NetFlow can monitor that application connection, tracking byte and packet counts for that individual application flow It then pushes the statistics over to an external server called a NetFlow collector NetFlow has become a monitoring standard, and is now widely supported in the networking industry Flexible NetFlow is the latest NetFlow technology Flexible NetFlow improves on “original NetFlow” by adding the capability to customize the traffic analysis parameters for the specific requirements of a network administrator Flexible NetFlow facilitates the creation of more complex configurations for traffic analysis and data export through the use of reusable configuration components Flexible NetFlow uses the Version export format The distinguishing feature of the NetFlow Version export format is that it is template-based Templates provide an extensible design to the record format, a feature that allows future enhancements to NetFlow services without requiring concurrent changes to the basic flow-record format It is important to note that many useful Flexible NetFlow commands were introduced with Cisco IOS Release 15.1 Giới thiệu NetFlow NetFlow công nghệ Cisco IOS cung cấp số liệu thống kê gói tin qua định tuyến Cisco chuyển mạch nhiều lớp NetFlow chuẩn để thu thập liệu hoạt động IP từ mạng IP Về mặt lịch sử, công nghệ NetFlow phát triển chuyên gia mạng cần phương pháp đơn giản hiệu để theo dõi luồng TCP / IP mạng, SNMP khơng đủ cho mục đích Trong SNMP cố gắng cung cấp loạt tính quản lý mạng tùy chọn, NetFlow tập trung cung cấp số liệu thống kê gói tin IP chảy qua thiết bị mạng NetFlow cung cấp liệu phép giám sát mạng an ninh, lập kế hoạch mạng, phân tích giao thơng bao gồm xác định tắc nghẽn mạng, tính tốn IP cho mục đích tốn Ví dụ, hình, máy PC kết nối với PC sử dụng ứng dụng HTTPS NetFlow giám sát kết nối ứng dụng, theo dõi byte gói tin cho luồng ứng dụng Sau đẩy liệu thống kê đến máy chủ bên gọi sưu tập NetFlow NetFlow trở thành tiêu chuẩn giám sát, hỗ trợ rộng rãi ngành công nghiệp mạng NetFlow linh hoạt công nghệ NetFlow NetFlow linh hoạt cải thiện "NetFlow ban đầu" cách thêm khả tùy chỉnh tham số phân tích lưu lượng cho yêu cầu cụ thể người quản trị mạng NetFlow linh hoạt tạo điều kiện cho việc tạo cấu hình phức tạp cho phân tích lưu lượng xuất liệu thông qua việc sử dụng thành phần cấu hình tái sử dụng NetFlow linh hoạt sử dụng định dạng xuất Phiên Tính phân biệt định dạng xuất NetFlow Phiên dựa mẫu Mẫu cung cấp thiết kế mở rộng cho định dạng ghi, tính cho phép cải tiến tương lai cho dịch vụ NetFlow mà khơng cần phải có thay đổi đồng thời với định dạng lưu lượng Cần lưu ý nhiều lệnh Flexible NetFlow hữu ích giới thiệu với Cisco IOS Release 15.1 Understanding NetFlow There are many potential uses of the statistics that NetFlow provides; however, most organizations use NetFlow for some or all of the following important data collection purposes: • Measuring who is using what network resources for what purpose • Accounting and charging back according to the resource utilization level • Using the measured information to more effective network planning so that resource allocation and deployment is well-aligned with customer requirements • Using the information to better structure and customize the set of available applications and services to meet user needs and customer service requirements When comparing the functionality of SNMP to NetFlow, an analogy for SNMP might be remote-control software for an unmanned vehicle; whereas an analogy for NetFlow is a simple, yet detailed phone bill Phone records provide callby-call and aggregated statistics that enable the person paying the bill to track long calls, frequent calls, or calls that should not have been made In contrast to SNMP, NetFlow uses a “push-based” model The collector simply listens for NetFlow traffic, and the networking devices are in charge of sending NetFlow data to the collector, based on changes in their flow cache Another difference between NetFlow and SNMP is that NetFlow only gathers traffic statistics, as shown in the figure, whereas SNMP can also collect many other performance indicators, such as interface errors, CPU usage, and memory usage On the other hand, the traffic statistics collected using NetFlow have a lot more granularity than the traffic statistics that can be collected using SNMP Note: Do not confuse NetFlow’s purpose and results with that of packet capture hardware and software Whereas packet captures record all possible information exiting or entering a network device for later analysis, NetFlow targets specific statistical information When Cisco sought out to create NetFlow, two key criteria provided guidance in its creation: • NetFlow should be completely transparent to the applications and devices in the network • NetFlow should not have to be supported and running on all devices in the network to function Achieving these design criteria ensured that NetFlow is very easy to implement in the most complex modern networks Note: Although NetFlow is simple to implement and transparent to the network, it does consume additional memory on the Cisco device, because NetFlow stores record information in “cache” on the device The default size of this cache varies based on the platform, and the administrator can adjust this value Tìm hiểu NetFlow Có nhiều cách sử dụng tiềm thống kê mà NetFlow cung cấp; nhiên, hầu hết tổ chức sử dụng NetFlow cho số tất mục đích thu thập liệu quan trọng sau đây: - Đo lường người sử dụng nguồn tài ngun mạng cho mục đích - Kế tốn tính phí lại theo mức sử dụng tài nguyên - Sử dụng thông tin đo để lập kế hoạch mạng hiệu để phân bổ triển khai nguồn lực phù hợp với yêu cầu khách hàng - Sử dụng thông tin để cấu trúc tốt tùy chỉnh ứng dụng dịch vụ có để đáp ứng nhu cầu người sử dụng yêu cầu dịch vụ khách hàng Khi so sánh chức SNMP với NetFlow, tương tự cho SNMP phần mềm điều khiển từ xa cho xe không người lái; tương đồng cho NetFlow hóa đơn điện thoại đơn giản chi tiết Hồ sơ điện thoại cung cấp số liệu thống kê tổng hợp gọi cho phép người trả hóa đơn theo dõi gọi dài, gọi thường xuyên, gọi không nên thực Trái ngược với SNMP, NetFlow sử dụng mô hình "push-based" Người thu gom đơn giản lắng nghe lưu lượng NetFlow, thiết bị mạng có trách nhiệm gửi liệu NetFlow đến thu, dựa thay đổi nhớ cache lưu lượng Một điểm khác biệt NetFlow SNMP NetFlow tập hợp số liệu thống kê lưu lượng truy cập, thể hình, SNMP thu thập nhiều số hiệu suất khác, chẳng hạn lỗi giao diện, sử dụng CPU sử dụng nhớ Mặt khác, thống kê lưu lượng truy cập thu thập cách sử dụng NetFlow có mức độ chi tiết nhiều so với số liệu thống kê lưu lượng truy cập thu thập cách sử dụng SNMP Lưu ý: Không nhầm lẫn mục đích kết NetFlow với phần mềm phần mềm chụp gói Trong packet capture ghi lại tất thơng tin có thiết bị mạng để phân tích sau đó, NetFlow nhắm đến thơng tin thống kê cụ thể Khi Cisco tìm NetFlow, hai tiêu chí cung cấp hướng dẫn việc tạo nó: - NetFlow phải hồn tồn minh bạch cho ứng dụng thiết bị mạng - NetFlow không cần phải hỗ trợ chạy tất thiết bị mạng để hoạt động Đạt tiêu chí thiết kế đảm bảo NetFlow dễ thực mạng đại phức tạp Lưu ý: Mặc dù NetFlow đơn giản để thực minh bạch mạng, chiếm nhớ bổ sung thiết bị Cisco NetFlow lưu trữ thơng tin ghi lại "bộ nhớ cache" thiết bị Kích thước mặc định nhớ cache thay đổi dựa tảng, quản trị viên điều chỉnh giá trị Network Flows NetFlow breaks down TCP/IP communications for statistical record keeping using the concept of a flow A flow is a unidirectional stream of packets between a specific source system and a specific destination The figure demonstrates the flow concept For NetFlow, which is built around TCP/IP, the source and destination are defined by their network layer IP addresses and their transport layer source and destination port numbers NetFlow technology has seen several generations that provide more sophistication in defining traffic flows, but “original NetFlow” distinguished flows using a combination of seven fields Should one of these fields vary in value from another packet, the packets could be safely determined to be from different flows: • Source IP address • Destination IP address • Source port number • Destination port number • Layer protocol type • Type of Service (ToS) marking • Input logical interface The first four of the fields NetFlow uses to identify a flow should be familiar The source and destination IP addresses, plus the source and destination ports, identify the connection between source and destination application The Layer protocol type identifies the type of header that follows the IP header (usually TCP or UDP, but other options include ICMP) The ToS byte in the IPv4 header holds information about how devices should apply quality of service (QoS) rules to the packets in that flow Flexible NetFlow supports more options with flow data records Flexible NetFlow enables an administrator to define records for a Flexible NetFlow flow monitor cache by specifying the user-defined optional and required fields to customize the data collection to suit specific requirements When defining records for a Flexible NetFlow flow monitor cache, they are referred to as user-defined records The values in optional fields are added to flows to provide additional information about the traffic in the flows A change in the value of an optional field does not create a new flow Lưu lượng mạng NetFlow chia nhỏ giao tiếp TCP / IP để lưu giữ hồ sơ thống kê sử dụng khái niệm dòng chảy Dòng chảy luồng gói tin đơn hướng hệ thống nguồn cụ thể đích đến cụ thể Hình minh họa khái niệm dòng chảy Đối với NetFlow, xây dựng xung quanh TCP / IP, nguồn đích xác định địa IP lớp mạng nguồn lớp vận chuyển số cổng đích chúng Cơng nghệ NetFlow chứng kiến vài hệ cung cấp tinh tế việc xác định lưu lượng giao thông, "NetFlow gốc" phân biệt dòng chảy cách sử dụng kết hợp bảy trường Nếu trường khác giá trị từ gói tin khác, gói xác định cách an tồn từ dòng khác nhau: - Nguồn Địa IP Địa IP đích Số cổng nguồn Số cổng đích Loại giao thức lớp Dấu hiệu Dịch vụ Loại Dịch vụ (ToS) Nhập vào giao diện logic Bốn bốn lĩnh vực NetFlow sử dụng để xác định dòng chảy nên quen thuộc Địa IP nguồn đích, cộng với cổng nguồn đích, xác định kết nối ứng dụng nguồn đích Loại giao thức lớp xác định loại tiêu đề theo tiêu đề IP (thường TCP UDP, tùy chọn khác bao gồm ICMP) Các byte ToS tiêu đề IPv4 giữ thông tin cách thiết bị phải áp dụng quy tắc chất lượng dịch vụ (QoS) vào gói luồng NetFlow linh hoạt hỗ trợ nhiều tùy chọn với ghi liệu luồng NetFlow linh hoạt cho phép quản trị viên định nghĩa ghi cho nhớ cache dòng chảy NetFlow linh hoạt theo dõi cách xác định trường bắt buộc bắt buộc người dùng xác định để tùy chỉnh việc thu thập liệu cho phù hợp với yêu cầu cụ thể Khi định nghĩa ghi cho nhớ cache dòng chảy NetFlow linh hoạt theo dõi, chúng gọi ghi người dùng định nghĩa Các giá trị trường tùy chọn thêm vào dòng chảy để cung cấp thêm thông tin lưu lượng truy cập luồng Sự thay đổi giá trị trường tùy chọn không tạo luồng Step Configure NetFlow data capture - NetFlow captures data from ingress (incoming) and egress (outgoing) packets Step Configure NetFlow data export - The IP address or hostname of the NetFlow collector must be specified and the UDP port to which the NetFlow collector listens Step Verify NetFlow, its operation and statistics - After configuring NetFlow, the exported data can be analyzed on a workstation running an application, such as SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer, or Cisco NetFlow Collector (NFC) Minimally, one can rely on the output from a number of showcommands on the router itself Some NetFlow configuration considerations include: • Newer Cisco routers, such as the ISR G2 series, support both NetFlow and Flexible NetFlow • Newer Cisco switches, such as the 3560-X series switches, support Flexible NetFlow; however, some Cisco switches, such as Cisco 2960 Series switches, not support NetFlow or Flexible NetFlowNetFlow consumes additional memory If a Cisco networking device has memory constraints, the size of the NetFlow cache can be pre-set so that it contains a smaller number of entries The default cache size depends on the platform • NetFlow software requirements for the NetFlow collector vary For example, the Scrutinizer NetFlow software on a Windows host requires GB of RAM and 50 GB of drive space Note: The focus here is on Cisco router configuration of the original NetFlow (referred to simply as NetFlow in the Cisco documentation) The configuration of Flexible Netflow is beyond the scope of this course A NetFlow flow is unidirectional This means that one user connection to an application exists as two NetFlow flows, one for each direction To define the data to be captured for NetFlow in interface configuration mode: • Capture NetFlow data for monitoring incoming packets on the interface using the ip flow ingress command • Capture NetFlow data for monitoring outgoing packets on the interface using the ip flow egress command To enable the NetFlow data to be sent to the NetFlow collector, there are several items to configure on the router in global configuration mode: • NetFlow collector’s IP address and UDP port number - Use the ip flow-export destination ipaddress udp-portcommand The collector has one or more ports, by default, for NetFlow data capture The software allows the administrator to specify which port or ports to accept for NetFlow capture Some common UDP ports allocated are 99, 2055, and 9996 • (Optional) NetFlow version to follow when formatting the NetFlow records sent to the collector - Use the ip flow-export version version command NetFlow exports data in UDP in one of five formats (1, 5, 7, 8, and 9) Version is the most versatile export data format, but it is not backward compatible with previous versions Version is the default version if the version is not specified with Version Version should be used only when it is the only NetFlow data export format version that is supported by the NetFlow collector software • (Optional) Source interface to use as the source of the packets sent to the collector - Use the ip flow-export sourcetypenumber command The figure shows a basic NetFlow configuration Router R1 has IP address 192.168.1.1 on the G0/1 interface The NetFlow collector has the IP address of 192.168.1.3 and is configured to capture the data on UDP port 2055 Ingress and egress traffic through G0/1 is monitored NetFlow data is sent in Version format Bước Cấu hình việc thu thập liệu NetFlow - NetFlow thu thập liệu từ gói tin vào đến (gửi đi) Bước Cấu hình việc xuất liệu NetFlow - Địa IP tên máy chủ sưu tập NetFlow phải rõ cổng UDP mà thu NetFlow lắng nghe Bước Xác minh NetFlow, hoạt động thống kê - Sau cấu hình NetFlow, liệu xuất phân tích máy trạm chạy ứng dụng, chẳng hạn SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer Cisco NetFlow Collector (NFC) Tối thiểu, người ta dựa vào đầu từ số lệnh show router Một số cân nhắc cấu hình NetFlow bao gồm: Các router Cisco hơn, chẳng hạn dòng ISR G2, hỗ trợ NetFlow Flexible NetFlow Các thiết bị chuyển mạch Cisco, chẳng hạn thiết bị chuyển mạch dòng 3560-X, hỗ trợ Flex NetFlow; nhiên, số thiết bị chuyển mạch Cisco, chẳng hạn thiết bị chuyển mạch Cisco 2960 Series, không hỗ trợ NetFlow Flexible NetFlow NetFlow tiêu thụ nhớ bổ sung Nếu thiết bị mạng Cisco có hạn chế nhớ, kích thước nhớ cache NetFlow thiết lập trước để có chứa số mục nhỏ Kích thước nhớ cache mặc định phụ thuộc vào tảng Các yêu cầu phần mềm NetFlow cho thu NetFlow khác Ví dụ: phần mềm Scrutinizer NetFlow máy chủ Windows yêu cầu GB nhớ RAM 50 GB không gian ổ đĩa Lưu ý: Trọng tâm cấu hình router Cisco NetFlow ban đầu (gọi tắt NetFlow tài liệu Cisco) Cấu hình Netflow linh hoạt vượt phạm vi khóa học Luồng NetFlow hướng Điều có nghĩa kết nối người dùng đến ứng dụng tồn hai luồng NetFlow, cho hướng Để xác định liệu cần capture cho NetFlow chế độ cấu hình giao diện: Chụp liệu NetFlow để theo dõi gói tin đến giao diện sử dụng lệnh ip flow ingress Chụp liệu NetFlow để theo dõi gói tin gửi giao diện sử dụng lệnh ip flow egress Để cho phép NetFlow liệu gửi đến sưu tập NetFlow, có số mục để cấu hình router chế độ cấu hình tồn cầu: Địa IP nhà sưu tập NetFlow số cổng UDP - Sử dụng lệnh ip flow-export đích đến ip-address udp-port Người thu gom có nhiều cổng, theo mặc định, để thu thập liệu NetFlow Phần mềm cho phép quản trị viên xác định cổng cổng chấp nhận cho việc chụp NetFlow Một số cổng UDP thông thường phân bổ 99, 2055 9996 (Tùy chọn) Phiên NetFlow để theo dõi định dạng ghi NetFlow gửi tới thu - Sử dụng lệnh ip flow-export version NetFlow xuất liệu UDP theo năm định dạng (1, 5, 7, 9) Phiên định dạng liệu xuất linh hoạt khơng tương thích ngược với phiên trước Phiên phiên mặc định phiên không định với Phiên Phiên nên sử dụng phiên định dạng xuất liệu NetFlow hỗ trợ phần mềm thu NetFlow (Tùy chọn) Giao diện nguồn để sử dụng nguồn gói tin gửi tới thu - Sử dụng lệnh nhập số liệu xuất nhập ip flow-export Hình thể cấu hình NetFlow Router R1 có địa IP 192.168.1.1 giao diện G0 / Bộ thu NetFlow có địa IP 192.168.1.3 cấu hình để nắm bắt liệu cổng UDP 2055 Lưu lượng truy cập lưu thông qua G0 / theo dõi Dữ liệu NetFlow gửi định dạng Phiên http://mysunitsecurity.blogspot.com/2010/10/netflow-snmp.html "NETFLOW" Hay " SNMP " Sáng rãnh rỗi ngồi uống cafe bạn tôi, ngồi bàn chuyện bạn gái thằng, lại tít cũ thằng lại bắt đầu quay trở lại bàn chuyện cơng nghệ Bạn tơi tần ngần nói " Cty tao sử tất thiết bị cisco, dùng công cụ để monitor Nagios, MRTG, PRTG tool monitor gửi gói liệu lớn, download " Lý gì, sử dụng giao thức kết nối đến thiết bị SNMP giao thức ping (ICMP)? Chắc Cty bạn sử dụng số công cụ monitor khơng Nếu sử dụng qua hai giao thức biết trạng thái down, up thiết bị mà monitor liệu qua các port tình trạng download, mạng nghẽn từ đâu, để giải vấn đề phải sử dụng giao thức kết nối Netflow Hơm xin giới thiệu giao thức Netflow Cisco: Netflow Phần Khái niệm chức Netflow NetFlow công cụ nhúng phần mềm IOS Cisco để phân tích hoạt động mạng.Đây cơng cụ khơng thể thiếu cho người quản trị mạng chuyên nghiệp.Để đáp ứng lại đòi hỏi nhu cầu cấp bách hệ thống mạng,việc tìm hiểu xem trình hoạt động mạng quan trọng NetFlow Cisco đáp ứng tất yêu cầu trên.Nó tạo mơi trường mà người quản trị mạng có đầy đủ cơng cụ để biết thời gian, địa điểm,đối tượng cách thức lưu thông lưu lượng mạng.Khi mà hoạt động mạng nắm vững hiệu hệ thống mạng tăng lên nhiều Tầm quan trọng việc nhận thức hoạt động mạng Phần Giới thiệu khái niệm SNMP Cốt lõi SNMP tập hợp đơn giản hoạt động giúp nhà quản trị mạng quản lý, thay đổi trạng thái mạng Ví dụ dùng SNMP để tắt interface router mình, theo dõi hoạt động card Ethernet, kiểm soát nhiệt độ switch cảnh báo nhiệt độ cao IETF (Internet Engineering Task Force) tổ chức đưa chuẩn SNMP thông qua RFC o SNMP version chuẩn giao thức SNMP định nghĩa RFC 1157 chuẩn đầy đủ IETF Vấn đề bảo mật SNMP v1 dựa ngun tắc cộng đồng, khơng có nhiều password, chuổi văn cho phép ứng dụng dựa SNMP hiểu chuổi để truy cập vào thiết bị quản lý Có tiêu chuẩn trong: read-only, read-write trap o SNMP version 2: phiên dựa chuổi “community” Do phiên gọi SNMPv2c, định nghĩa RFC 1905, 1906, 1907, thử nghiệm IETF Mặc dù thử nghiệm nhiều nhà sản xuất đưa vào thực nghiệm o SNMP version 3: phiên IETF đưa đầy đủ Nó khuyến nghị làm chuẩn, định nghĩa RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 RFC 2575 Nó hổ trợ loại truyền thơng riêng tư có xác nhận thực thể Trong SNMP có vấn đề cần quan tâm: Manager, Agent MIB (Management Information Base) MIB sở liệu dùng phục vụ cho Manager Agent o Manager server có chạy chương trình thực số chức quản lý mạng Manager xem NMS (Network Manager Stations) NMS có khả thăm dò thu thập cảnh báo từ Agent mạng Thăm dò việc quản lý mạng “nghệ thuật” đặt câu truy vấn đến agent để có phần thơng tin Các cảnh báo agent cách mà agent báo với NMS có cố xảy Cảnh bảo agent gửi cách không đồng bộ, không nằm việc trả lời truy vấn NMS NMS dựa thông tin trả lời agent để có phương án giúp mạng hoạt động hiệu Ví dụ đường dây T1 kết nối tới Internet bị giảm băng thông nghiêm trọng, router gửi thông tin cảnh báo tới NMS NMS có số hành động, lưu lại giúp ta biết việc xảy Các hành động NMS phải cài đặt trước o Agent phần chương trình chạy thiết bị mạng cần quản lý Nó chương trình độc lập deamon Unix, tích hợp vào hệ điều hành IOS Cisco router Ngày nay, đa số thiết bị hoạt động tới lớp IP cài đặt SMNP agent Các nhà sản xuất ngày muốn phát triển agent sản phẩm họ công việc người quản lý hệ thống hay quản trị mạng đơn giản Các agent cung cấp thông tin cho NMS cách lưu trữ hoạt động khác thiết bị Một số thiết bị thường gửi thông báo “tất bình thường” chuyển từ trạng thái xấu sang trạng thái tốt Điều giúp xác định tình trạng có vấn đề giải Mối quan hệ NMS agent: Khơng có hạn chế NMS gửi câu truy vấn đồng thời agent gửi cảnh báo o MIB xem sở liệu đối tượng quản lý mà agent lưu trữ Bất kỳ thông tin mà NMS có thẻ truy cập được định nghĩa MIB Một agent có nhiều MIB tất agent có lọa MIB gọi MIB-II định nghĩa RFC 1213 MIB-I gốc MIB dùng MIB-II đưa Bất kỳ thiết bị hổ trợ SNMP phải hổ trợ MIB-II MIB-II định nghĩa tham số tình trạng interface (tốc độ interface, MTU, octet gửi, octet nhận .) tham số gắn liền với hệ thống (định vị hệ thống, thông tin liên lạc với hệ thống, ) Mục đích MIB-II cung cấp thơng tin quản lý theo TCP/IP Có nhiều kiểu MIB giúp quản lý cho cỏc mc ớch khỏc nhau: Đ ATM MIB (RFC 2515) • Frame Relay DTE Interface Type MIB (RFC 2115) • BGP Version MIB (RFC 1657) • RDBMS MIB (RFC 1697) • RADIUS Authentication Server MIB (RFC 2619) • Mail Monitoring MIB (RFC 2249) • DNS Server MIB (RFC 1611) Nhưng nhà sản xuất người dùng định nghĩa biến MIB riêng cho họ tình quản lý họ Quản lý Host Resource phần quan trọng quản lý mạng Trước đây, khác quản lý hệ thống kiểu cũ quản lý mạng không xác định, phân biệt rõ ràng RFC 2790 đưa Host Resource với định nghĩa tập hợp cá đối tượng cần quản lý hệ thống Unix Window Một số đối tượng là: dung lượng đĩa, số user hệ thống, số tiến trình chạy hệ thống phần mềm cài vào hệ thống Trong giới thương mại điện tử, dịch vụ web ngày trở nên phổ biến nên việc đảm bảo cho server hoạt động tốt việc quan trọng RMON (Remote Monitoring) hay gọi RMON v1 định nghĩa RFC 2819 RMON v1 cung cấp cho NMS thông tin dạng packet thực thể LAN hay WAN RMON v2 xây dựng RMON v1 nhà cung cấp mạng cung cấp thơng tin lớp application Thơng tin thu nhiều cách Một cách đặt phận thăm dò RMON phân đoạn mạng muốn theo dõi RMON MIB thiết kế để RMON chạy khơng kết nối logic NMS agent, lấy thông tin mà không cần chờ truy vấn NMS Sau đó, NMS muốn truy vấn, RMON trả lời thông tin thu thập Một đặc tính khác ta đặt ngưỡng cho loại lỗi đó, lỗi vượt ngưỡng đặt ra, RMON gửi cảnh báo cho NMS Hoạt động SNMP theo sơ đồ sau: - get - get-next - get-bulk (cho SNMP v2 SNMP v3) - set - get-response - trap (cảnh báo) - notification (cho SNMP v2 SNMP v3) - inform (cho SNMP v2 SNMP v3) - report (cho SNMP v2 SNMP v3) ”get”: ”get” gửi từ NMS yêu cầu tới agent Agent nhận yêu cầu xử lý với khả tốt Nếu thiết bị bận tải nặng, router, khơng có khả trả lời yêu cầu nên hủy lời yêu cầu Nếu agent tập hợp đủ thơng tin cần thiết cho lời u cầu, gửi lại cho NMS ”get-response”: Để agent hiểu NMS cần tìm thơng tin gì, dựa vào mục ”get” ”variable binding” hay varbind Varbind danh sách đối tượng MIB mà NMS muốn lấy từ agent Agent hiểu câu hỏi theo dạng: OID=value để tìm thơng tin trả lời Câu hỏi truy vấn cho trường hợp hình vẽ ”get-next”: ”get-next” đưa dãy lệnh để lấy thông tin từ nhóm MIB Agent trả lời tất đối tượng có câu truy vấn ”get-next” tương tự ”get”, hết đối tượng dãy ”get-bulk”: ”get-bulk” định nghĩa SNMPv2 Nó cho phép lấy thơng tin quản lý từ nhiều phần bảng ”set”: để thay đổi giá trị đối tượng thêm hàng vào bảng Đối tượng cần phải định nghĩa MIB ”read-write” hay ”write-only” NMS dùng ”set’ để đặt giá trị cho nhiều đối tượng lúc SNMP Traps: Trap cảnh báo agent tự động gửi cho NMS để NMS biết có tình trạng xấu agent Phần Cấu hình SNMP Sử dụng phần mềm PRTG để theo dõi băng thông cách cấu hình SNMP Router Các lệnh cấu hình SNMP Cisco Router o Cấu hình SNMP Access § snmp-server community public ro (ro-read only) § snmp-server community private rw 60 (rw-read write) § access-list 60 permit 192.168.2.156 o Cấu hình SNMP Traps § snmp-server host 192.168.2.156 public § snmp-server enable traps [frame-relay,envmon temperature,bgp,snmp,…] § snmp-server trap-source loopback http://mysunitsecurity.blogspot.com/2010/10/syslogd-la-system-logger-pho-biennhat.html http://mysunitsecurity.blogspot.com/2010/10/tieu-chuan-chung-cc-viec-anh-gianinh.html http://www.vnpro.vn/cau-hinh-netflow-de-giam-sat-luu-luong-mang/ Cấu hình netflow để giám sát lưu lượng mạng Đăng ngày: 14/10/2014 Bởi: Lâm Khương Trường Sơn Lượt xem bài: 16306 I- Giới thiệu: Netflow tính Cisco IOS cho phép thống kê lưu lượng gói qua router Netflow thực giám sát, phân tích, tính tốn lưu lượng gói Sử dụng phổ biến yêu cầu sau: Giám sát mạng: Cho phép giám sát trạng mạng gần thời gian thực Giám sát mạng kỹ thuật dựa vào flow (tập gói có thơng tin : IP nguồn, IP đích, Port nguồn, Port đích, ToS, loại giao thức lớp 3, cổng vào) nhằm thực thu thập thơng tin theo lưu lượng gói, theo luồng liên quan đến thiết bị router, switch kết hợp nhiều lưu lượng từ nhiều thiết bị giúp chủ động nhận diện vấn đề, hiệu trình xử lý cố đưa giải pháp giải vấn đề cách nhanh chóng Giám sát ứng dụng: Cho phép người quản trị nhìn thấy cách chi tiết hoạt động ứng dụng mạng theo thời gian Thông tin dung để hiểu dịch vụ nhằm phân phối tài nguyên mạng (băng thông, chất lượng dịch vụ…) tài nguyên cho ứng dụng kế hoạch mở rộng Giám sát người dung: Cho phép người vận hành mạng hiểu rõ tài nguyên mạng tài nguyên ứng dụng mà người dung sử dụng từ có kế hoạch phân phối tài nguyên cách hợp lý cho người dung, nhận diện vấn đề liên quan đến an ninh mạng vi phạm sách Xây dựng kế hoạch phát triển mạng: Do có khả giám sát phân tích lưu lượng liệu khoảng thời gian dài, điều cho phép người quản trị có hội theo dõi, dự đốn phát triển mạng để có kế hoạch nâng cấp tăng số lượng router, cổng với băng thơng lớn… Phân tích an ninh mạng: Netflow định danh phân loại loại công Dos, DDos, virus, worm theo thời gian thực dựa vào hành vi thay đổi bất thường mạng Tính tốn lưu lượng: Netfow cho phép người quản trị có thông tin chi tiết lưu lượng liệu địa IP, ứng dụng, ToS, số lượng gói, số lượng byte, thời gian hoạt động giúp cho việc tính toán tài nguyên mạng sử dụng theo người dung, ứng dụng… khoảng thời gian cụ thể Lưu lượng qua router switch thu thập phân tích đặt cache (Netflow cache), truy xuất thơng qua CLI ứng dụng bên ngồi II- Mục đích sơ đồ kết nối Trong lab yêu cầu cấu hình Netflow router GATEWAY kiểm tra kết Netflow cache qua CLI ứng dụng phân tích Netflow cài đặt thiết bị giám sát III – Cấu hình chi tiết : Bước : Đặt tên địa interface Router(config) #hostname GATEWAY GATEWAY(config) #interface FastEthernet0/0 GATEWAY(config-if) # ip address 10.123.123.16 255.0.0.0 GATEWAY(config-if) #no shutdown GATEWAY(config) #interface FastEthernet0/1 GATEWAY(config-if) # ip address 192.168.1.1 255.255.255.0 GATEWAY(config-if) #no shutdown Bước : Cấu hình PAT default route để mạng bên truy cập Internet GATEWAY(config-if) # access-list permit 192.168.1.0 0.0.0.255 GATEWAY(config-if) # ip nat inside source list interface FastEthernet0/0 overload GATEWAY(config) #interface FastEthernet0/1 GATEWAY(config-if) #ip nat inside GATEWAY(config) #interface FastEthernet0/0 GATEWAY(config-if) #ip nat outside GATEWAY(config) #ip route 0.0.0.0 0.0.0.0 10.2.10.2 Kiểm tra kết : GATEWAY#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.231:2492 65.55.122.231:2492 tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.233:2492 65.55.122.233:2492 tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.234:2492 65.55.122.234:2492 tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.235:443 65.55.122.235:443 tcp 10.123.123.16:2492 192.168.1.10:2492 65.55.122.235:2492 65.55.122.235:2492 Bước : Cấu hình Netflow router – Xác định thiết bị nhận flow cache (lưu ý phải bao gồm giá trị port): GATEWAY(config) #ip flow-export destination 192.168.1.10 5000 – Xác định version Netflow: GATEWAY(config) # ip flow-export version – Xác định cổng hướng theo dõi: GATEWAY(config)#interface fa0/1 GATEWAY(config)#ip flow ingress GATEWAY(config)#interface fa0/0 GATEWAY(config)#ip flow egress – Bạn cấu hình snmp-server phép đa dạng thông tin theo dõi : GATEWAY(config)# snmp-server community cisco123 RO Bước : Cài đặt Netflow phần mềm giám sát Trong phần dùng phần mềm Netflow Analyzer để thực giám sát – Chuẩn bị cài đặt: Chọn Next để tiếp tục – Chọn thư mục cài đặt: – Cấu hình web port 8080 Netflow Port 5000 Chọn Next -> Finish Kiểm tra: Thực truy cập dịch vụ Internet từ PC, ta phân tích lưu lượng ứng dụng theo kích cỡ gói, số lượng gói, địa IP, số port, cổng vào, cổng ra… router câu lệnh show ip cache flow Bạn quan sát trực quan cơng cụ phân tích netflow dựa giao diện Web Thực đăng nhập vào ứng dụng với User Name :admin, Password : admin Sau đăng nhập thành công, bạn thấy thiết bị theo dõi: Biểu đồ biểu lưu lượng theo thời gian bảng thể lưu lượng theo ứng dụng Phâ n loại lưu lượng theo địa IP nguồn IP đích VnPro Cisco IOS Bách khoa tồn thư mở Wikipedia Cisco IOS Cơng ty/Nhà phát triển Cisco Systems Tình trạng Current Kiểu mã nguồn Mã đóng Phiên 15.0(1)M[1] / tháng 10, 2009; năm trước Ngôn ngữ phát hành tiếng Anh Nền tảng hỗ trợ Cisco router Cisco switches Giao diện người dùng mặc định Giao diện dòng lệnh Trang mạng Cisco IOS 'Cisco IOS (Internetwork Operating System) hệ điều hành đa nhiệm sử dụng rộng rãi sản phẩm Router Switch hãng Cisco (Switch cũ sử dụng CatOS) IOS hỗ trợ chức định tuyến, chuyển mạch, liên kết mạng truyền thơng Giao diện dòng lệnh IOS cung cấp tập lệnh cho "kiểu" (mode) phân cấp người dùng Với "kiểu cấu hình tồn cục" (global configuration mode), tập lệnh cung cấp cho phép thay đổi cấu hình hệ thống, "kiểu cấu hình giao diện" cung cấp lệnh cấu hình giao diện cụ thể Tất lệnh phân vào cấp từ tới 15, người dùng phân cấp sử dụng Các phân cấp định nghĩa qua giao diện dòng lệnh https://www.plixer.com/blog/netflow/netflow-sampling-why-bother/ http://svuit.vn/threads/chapter-6-1-netflow-on-cisco-asa-232/ http://www.vnpro.org/forum/forum/ccie%C2%AE/ccie-routing-switching/19229netflow-analyzer https://xemtailieu.com/tai-lieu/tim-hieu-ve-giao-thuc-netflow-va-su-dung-netflowtrong-viec-giam-sat-mang-1492918.html https://text.123doc.org/document/463855-tim-hieu-ve-netflow.htm https://github.com/vdcit/NetFlow-sFlow/blob/master/NetFlow.md https://www.academia.edu/28753258/C%E1%BA%A5u_hinh_netflow_d%E1%BB %83_giam_sat_l%C6%B0u_l%C6%B0%E1%BB%A3ng_m%E1%BA %A1ng_DDOS OSPF – Open Shortest Path First giao thức định tuyến link – state điển hình Đây giao thức sử dụng rộng rãi mạng doanh nghiệp có kích thước lớn Mỗi router chạy giao thức gửi trạng thái đường link cho tất router vùng (area) Sau thời gian trao đổi, router đồng bảng sở liệu trạng thái đường link (Link State Database – LSDB) với nhau, router có đồ mạng vùng Từ router chạy giải thuật Dijkstra tính tốn đường ngắn (Shortest Path Tree) dựa vào để xây dựng nên bảng định tuyến Hoạt động OSPF 2.1 Chọn Router – id: Khi router chạy OSPF phải có giá trị dùng để định danh cho router cộng đồng router chạy OSPF Giá trị gọi Router – id Router – id router chạy OSPF có định dạng địa IP Mặc định, tiến trình OSPF router tự động bầu chọn giá trị router – id địa IP cao interface active, ưu tiên cổng loopback Để đổi lại router – id tiến trình, phải thực khởi động lại router gỡ bỏ tiến trình OSPF cấu hình lại, tiến trình bầu chọn router – id thực lại với interface hữu router Có cách khác để thiết lập lại giá trị router – id sử dụng câu lệnh “router-id” để thiết lập tay giá trị router: Router (config) # router ospf Router (config-router) # router-id A.B.C.D Bên cạnh đó, tiến trình OSPF chạy router – id thiết lập trước đó, ta phải khởi động lại tiến trình OSPF áp dụng giá trị router – id câu lệnh “router – id” Câu lệnh khởi động lại tiến trình OSPF: Router (config) # clear ip ospf proccess Reset ALL OSPF proccess? [no]: yes 2.2 Thiết lập quan hệ láng giềng (neighbor) Router chạy OSPF gửi gói tin hello tất cổng chạy OSPF, mặc định 10s/lần Gói tin gửi đến địa multicast dành riêng cho OSPF 224.0.0.5, đến tất router chạy OSPF khác phân đoạn mạng Mục đích gói tin hello giúp cho router tìm kiếm láng giềng, thiết lập trì mối quan hệ 2.3 Trao đổi LSDB LSDB đồ mạng router vào để tính tốn định tuyến LSDB phải hoàn toàn giống router vùng Các router không trao đổi với bảng LSDB mà trao đổi với đơn vị thông tin gọi LSA – Link State Advertisement Các đơn vị thông tin lại chứa gói tin cụ thể gọi LSU – Link State Update mà router thực trao đổi với 2.4 Tính tốn xây dựng bảng định tuyến Metric = cost = 108/Bandwidth (đơn vị bps) Ethernet (BW = 10Mbps) → cost = 10 Fast Ethernet (BW = 100Mbps) → cost = Serial (BW = 1.544Mbps) → cost = 64 (bỏ phần thập phân phép chia) Cấu hình định tuyến OSPF Để thực chạy OSPF router, Router (config) # router ospf process-id Router (config-router) # network dia_chi_IP wildcard_mask area area_id sử dụng câu lệnh sau: Trong đó: Process – id: số hiệu tiến trình OSPF chạy router, có ý nghĩa local router Để cho cổng tham gia OSPF, ta thực “network” địa mạng cổng Với OSPF ta phải sử dụng thêm wildcard – mask để lấy xác subnet tham gia định tuyến Để tính giá trị wildcard mask, ta lấy giá trị 255.255.255.255 trừ giá trị subnet – mask 255.255.255.0 octet kết cần tìm Cách tính cho dải IP liên tiếp, khơng phải cho trường hợp Cấu hình OSPF router sau: Cấu hình router R1: sử dụng OSPF R1(config)#router ospf R1(config-router)#network 192.168.1.0 0.0.0.255 area R1(config-router)#network 192.168.3.0 0.0.0.255 area Cấu hình router R12: sử dụng OSPF R2(config)#router ospf R2(config-router)#network 192.168.2.0 0.0.0.255 area R2(config-router)#network 192.168.3.0 0.0.0.255 area ... nghiệp mạng NetFlow linh hoạt công nghệ NetFlow NetFlow linh hoạt cải thiện "NetFlow ban đầu" cách thêm khả tùy chỉnh tham số phân tích lưu lượng cho yêu cầu cụ thể người quản trị mạng NetFlow linh... sưu tập NetFlow phải rõ cổng UDP mà thu NetFlow lắng nghe Bước Xác minh NetFlow, hoạt động thống kê - Sau cấu hình NetFlow, liệu xuất phân tích máy trạm chạy ứng dụng, chẳng hạn SolarWinds NetFlow. .. Cisco NetFlow ban đầu (gọi tắt NetFlow tài liệu Cisco) Cấu hình Netflow linh hoạt vượt phạm vi khóa học Luồng NetFlow hướng Điều có nghĩa kết nối người dùng đến ứng dụng tồn hai luồng NetFlow,
- Xem thêm -

Xem thêm: Netflow (autorecovered), Netflow (autorecovered)

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay