Настройка NetUP UTM и маршрутизатора Cisco на работу с NetFlow

Все права защищены (c) 2001-2011 NetUP (www.netup.ru)
Перепечатка материалов разрешается только с предварительного разрешения
компании NetUP (info@netup.ru)

Обращаем ваше внимание на то, что информация в данной статье может быть не актуальной.

Рис. 1. Схема сети при сборе статистики по протоколу NetFlow

Информация о трафике, собранная на маршрутизаторе 10.0.0.1, "сбрасывается" по протоколу NetFlow на указанный порт сервера 10.0.0.2, с запущенным NetUP NetFlow-коллектором. Порт и адрес, на котором необходимо "слушать" указывается в конфигурационном файле utm.cfg:

netflow_address=0.0.0.0

Интерфейс сервера, на котором будет "слушать" NetUP NetFlow коллектор. По умолчанию 0.0.0.0 т.е. на всех интерфейсах.

netflow_port=9996

Порт сервера, на котором будет "слушать" NetUP NetFlow коллектор. По умолчанию 9996. Статистика собирается в базе данных в таблице traffic_netflow. При каждом запуске обработчика трафика из crontab происходит классификация и тарификация содержимого данной таблицы. При этом обработанные данные из таблицы удаляются.

Настройка маршрутизатора фирмы Cisco на экспорт NetFlow-пакетов

Router(config-if)# ip route-cache flow
Router(config)# ip flow-export destination 10.0.0.2 9996
Router(config)# ip flow-export version 5
Router(config)# ip flow-export source loopback 0

При такой настройке маршрутизатор будет посылать NetFlow пакеты версии 5 на порт 9996 сервера 10.0.0.2. Примечание: NetFlow фиксирует только входящие по интерфейсу пакеты.

Ссылки:
1. Описание технологии NetFlow
2. Описание настройки маршрутизатора
3. Платформы работающие с netflow
4. Как указать на маршрутизаторе несколько приемников NetFlow потока (NetFlow Multiple Export Destinations).