https://kb.pocnet.net/index.php?action=history&feed=atom&title=Cisco_NetFlowCisco NetFlow - Versionsgeschichte2026-05-04T05:25:58ZVersionsgeschichte dieser Seite in KnowledgebaseMediaWiki 1.43.8https://kb.pocnet.net/index.php?title=Cisco_NetFlow&diff=1095&oldid=prevPoC: Überarbeitet2011-06-03T11:14:40Z<p>Überarbeitet</p>
<p><b>Neue Seite</b></p><div>'''Netflow''' Switching ist eine von '''Cisco''' vorgesehene Methode, um Offload-Trafficanalysen durchführen zu können. Pro Paket wird ein winziges UDP Päckchen erzeugt, was an interessanten Informationen hauptsächlich diese beinhaltet:<br />
* Src-IP<br />
* Src-Port<br />
* Dst-IP<br />
* Dst-Port<br />
* Proto<br />
<br />
Weitere Informationen sind enthalten, aber für unsere Betrachtungen im gegebenen Rahmen weniger interessant.<br />
<br />
Auf dem Router bzw. Switch wird Netflow auf allen interessanten Interfaces konfiguriert. Dabei wird laut Cisco nur der ausgehende Traffic ein Flow-Päckchen erzeugen. Auf der anderen Seite muß ein Empfänger für diese Flow-Pakete konfiguriert werden. Da die Übertragung via UDP vonstatten geht, ist es sinnvoll, dass dieser Empfänger im lokalen LAN-Segment steht.<br />
<br />
== Konfiguration Cisco IOS ==<br />
ip cef<br />
!<br />
interface Ethernet0<br />
ip route-cache flow<br />
!<br />
ip flow-export destination 217.28.105.2 6128<br />
ip flow-export version 9<br />
<br />
Ethernet0 steht hier stellvertretend für jedes ausgehende Interface.<br />
<br />
== Linux ==<br />
apt-get install ntop<br />
<br />
Danach muss (als root) ''ntop'' einmal von Hand aufgerufen werden, dabei wird interaktiv das Adminpasswort erfragt. Nach dem Setzen kann ntop mit ''Ctrl-C'' wieder beendet werden.<br />
<br />
Über die IP-Adresse der Linuxmaschine kann auf Port 3000 nun die Bedienoberfläche von ntop aufgerufen werden. Im Menü ''Admin → Configure'' sollten nun folgende Punkte durchkonfiguriert werden (dazu wird das vorhin gesetzte Passwort für den Benutzer ''admin'' abgefragt):<br />
* Startup Options:<br />
** Basic Prefs:<br />
*** Enable Session Handling: No (erzeugt extreme Datenmengen und hohe Last auf der Maschine),<br />
*** Enable Protocol Decoders: Yes<br />
*** Local Subnet Address<br />
*** Known Subnet Address<br />
*** Disable Promiscuous Mode: Yes<br />
*** Run as daemon: Yes<br />
** IP Prefs:<br />
*** Local Domain Name<br />
** FC Prefs: Wie ''Basic Prefs''<br />
<br />
Zusätzlich sollte nicht jeder diese Statistiken von extern abrufen können:<br />
* Web Users:<br />
** Add User<br />
* Protect ULRs:<br />
** Add URL<br />
*** URL-Feld leer lassen<br />
*** Authorized Users den eben Benutzer auswählen und zusätzlich den Adminbenutzer, dann Add URL durchführen.<br />
<br />
Im Menü ''Plugins → NetFlow → Activate'' auswählen. In der nun erscheinenden Tabelle in der Spalte ''Configure'' den Punkt ''NetFlow'' auswählen. Jetzt kann ein neues Gerät angelegt werden (in jeder Tabellenspalte muss nach dem Setzen des Wertes der zugehörige Knopf zum Sichern gedrückt werden!):<br />
* NetFlow Device: Namen setzen<br />
* Flow Collection → Local Collector UDP Port: Port ausfüllen.<br />
** Virtual NetFlow Interface Network Address: Lokales Subnet ausfüllen.<br />
* Enable Session Handling: No<br />
* Assume FTP: No<br />
<br />
Ab jetzt werden die Daten gesammelt und können ausgewertet werden.<br />
<br />
== Weblinks ==<br />
* [http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html Software im Netflow-Umfeld] bei Switch<br />
<br />
[[Kategorie:Software]]<br />
[[Kategorie:Cisco]]<br />
[[Kategorie:Netzwerk]]<br />
[[Kategorie:Internet]]</div>PoC