1. Tổng quan.
Bài viết này hướng dẫn cách cấu hình Netflow trên các switch Cisco Catalyst 3650/3850, một tính năng quan trọng cho việc thu thập và phân tích dữ liệu lưu lượng mạng. Netflow cho phép bạn theo dõi chi tiết về lưu lượng mạng trên switch, giúp bạn hiểu rõ hơn về cách mạng của bạn hoạt động và giúp trong việc phát hiện vấn đề và tối ưu hóa hiệu suất mạng.
2. Các bước cấu hình chính bao gồm.
- Đảm bảo rằng switch Cisco của bạn hỗ trợ Netflow và có giấy phép IPBASE trở lên.
- Thiết lập bản ghi lưu lượng để xác định định dạng và các trường dữ liệu Netflow bạn muốn thu thập.
- Xác định một Flow Exporter để chỉ định thiết bị thu thập dữ liệu Netflow.
- Cấu hình một Flow Monitor để đại diện cho cơ sở dữ liệu Netflow của switch và đảm bảo thời gian lưu trữ lưu lượng hoạt động.
- Kích hoạt Netflow trên tất cả các giao diện Layer 3 và/hoặc Layer 2 VLANs trên switch.
Khi bạn đã hoàn thành các bước này, switch của bạn sẽ bắt đầu thu thập dữ liệu lưu lượng mạng và gửi nó đến thiết bị thu thập Netflow.
3. Kiểm tra thiết bị có hỗ trợ Netflow hay không?
Đầu tiên, bạn cần kiểm tra xem switch Cisco của bạn có hỗ trợ Netflow hay không. Trong trường hợp này, chỉ các dòng sản phẩm Cisco Catalyst 3650 và 3850 chạy IOS XE hỗ trợ Netflow đầy đủ và yêu cầu một giấy phép IPBASE trở lên để kích hoạt tính năng này.
Để kích hoạt giấy phép IPBASE, bạn sử dụng lệnh sau:
license right-to-use activate ipbase all acceptEULA4. Cấu hình Netflow linh hoạt (Flexible Netflow Configuration).
Sau khi đã đảm bảo rằng bạn đã có giấy phép và switch hỗ trợ Netflow, bạn có thể bắt đầu cấu hình Netflow.
a. Thiết lập bản ghi lưu lượng (Setup the flow record).
Bước này định nghĩa định dạng và các trường trong bản ghi Netflow mà bạn muốn thu thập. Các lệnh “match” và “collect” xác định các trường sẽ được bao gồm trong gói tin Netflow.
Ví dụ về định dạng và các trường sử dụng cho một triển khai Stealthwatch:
flow record FLOWRECORD
description IPv4flow
match datalink vlan input
match datalink mac source address input
match datalink mac destination address input
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match flow direction
collect transport tcp flags
collect interface output
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
collect counter bytes layer2 longb. Xác định một Flow Exporter.
Flow exporter là một thuật ngữ có thể gây hiểu nhầm, nhưng ở đây nó đề cập đến thiết bị thu thập dữ liệu Netflow (collector) – nơi các gói tin Netflow được gửi đến. Bạn có thể xác định nhiều thiết bị thu thập nếu bạn có nhiều thiết bị này.
Thiết lập flow exporter với giao thức IPFIX (Netflow Version 10):
flow exporter FLOWEXPORTER
description IPFIX
destination x.x.x.x # Địa chỉ IP của thiết bị thu thập
source Loopback0 # Giao diện Loopback0 là nguồn xuất NetFlow
transport udp 2055 # Sử dụng giao thức UDP và cổng 2055
export-protocol ipfixc. Cấu hình một Flow Monitor.
Flow monitor đại diện cho cơ sở dữ liệu Netflow của router/switch. Hãy đặt thời gian lưu trữ dữ liệu lưu lượng hoạt động thành 60 giây để đảm bảo thông tin về các luồng hoạt động được xóa sau 60 giây.
Thiết lập flow monitor:
flow monitor FLOWMONITOR
description IPv4Monitor
exporter FLOWEXPORTER
cache timeout active 60
record FLOWRECORD5. Kích hoạt Netflow trên tất cả các giao diện Layer 3 và/hoặc Layer 2 VLANs.
Netflow nên được kích hoạt trên tất cả các interface vào của router/switch. Đặt nó thành “input” là đủ và đảm bảo rằng cả hai phía được ghi lại. Bạn không cần thiết lập “output” vì điều đó sẽ làm tăng gấp đôi băng thông báo cáo.
Ví dụ cho giao diện Layer 3.
interface FastEthernet0/1
ip address 10.209.10.1 255.255.255.0
ip flow monitor FLOWMONITOR input
duplex auto
speed autoVí dụ cho Layer 2 VLAN:
vlan configuration 1-4094
ip flow monitor FLOWMONITOR inputSau khi bạn đã thực hiện các bước trên, thiết bị của bạn sẽ thu thập dữ liệu lưu lượng Netflow và gửi nó đến thiết bị thu thập (collector) được xác định trong bước trên.
6. Kết luận.
Cấu hình Netflow trên switch Cisco Catalyst 3650/3850 là một quá trình quan trọng để theo dõi và quản lý lưu lượng mạng trong mạng của bạn. Bằng cách sử dụng Netflow, bạn có thể có cái nhìn chi tiết về cách các thiết bị và ứng dụng trong mạng của bạn tương tác với nhau. Điều này giúp bạn dễ dàng xác định vấn đề, tối ưu hóa hiệu suất, và bảo đảm rằng mạng của bạn hoạt động một cách hiệu quả và an toàn. Việc cấu hình Netflow theo hướng dẫn trên đây sẽ giúp bạn bắt đầu với tính năng quan trọng này trên switch Cisco của bạn.
Tham khảo nguồn https://www.alfredtong.com/cisco/configure-netflow-cisco-catalyst-36503850-switch/.
