Vizualizace Cisco flows na Linuxu

Základem pro optimalizaci konfigurace routingu (QoS) respektive firewallingu je mít nějaké informace o tom co se na síti děje (v tomto případě jaká data routerem tečou). V tomto případě jsem si potřeboval udělat obrázek o tom, jaká data protékají routerem Cisco 1841. Měřící server je Debian. Kvůli maximální úspoře času a vynaložení minimálního úsilí jsem chtěl vystačit s balíčky z distribuce a nic nepřekládat.

Instalace potřebných balíků

apt-get install flow-tools flowscan flowscan-cuflow \
flowscan-cugrapher ksh libboulder-perl libcflow-perl \
libconfigreader-perl libhtml-parser-perl libhtml-table-perl \
libhtml-tagset-perl libhtml-tree-perl libnet-patricia-perl \
liburi-perl libwww-perl libxml-parser-perl rrdtool

Konfigurace flow-capture

Nejdříve je třeba zajisti zachytávání a ukládání dat z routeru. Pro tento účel slouží flow-capture.
Do souboru /etc/flow-tools/flow-capture.conf jsem zadal následující řádek:

-w /var/flow/firewall -n 275 -N 0 0/192.168.1.12/3000

Tato konfigurace určuje do jakého adresáře se budou zachycená data ukládat, jaké časové období bude v jednom souboru uloženo, na jakém rozhraní, z jakého routeru a na jakém portu se budou data zachytávat. Flow-capture je nakonfigurováno, je možné ho spustit pomocí /etc/init.d/flow-capture start.

Konfigurace Cisco routeru

Na routeru je třeba zapnout exportování flows:

conf term
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.1.16 3000
int fa0/0
ip flow ingress
ip flow egress
end

Pokud je všechno správně nakonfigurováno, tak by se v tuto chvíli měl v adresáři do kterého flow-capture ukládá svá data objevit první soubor.

Konfigurace CUGrapher

V souboru /etc/flowscan/CUGrapher.cf je nutné zadat alespoň cestu ke zpracovaným datům. V mém případě vypadá tento soubor následovně:

OutputDir /var/flow/reports/rrds

Konfigurace CUFlow

Tak, a nyní konečně přijde to zajímavé. V souboru /etc/flowscan/CUFlow.cf jsou nastavena kritéria pro zpracování. Zde popište jak vypadá Vaše síť a jaká data chcete vizualizovat. Pro inspiraci přikládám obsah svého souboru:

Subnet 192.168.0.0/16
Network 192.168.1.0/24 servers
Network 192.168.3.0/24 ucebny
Network 192.168.4.0/24 internat1
Network 192.168.5.0/24 internat2
OutputDir /var/flow/reports/rrds
Multicast
Scoreboard 10 /var/flow/reports/scoreboard
/var/www/flow/topten.html
AggregateScore 10 /var/flow/reports/scoreboard/agg.dat
/var/www/flow/overall.html
Router 192.168.1.12 firewall
Service 20-21/tcp ftp
Service 22/tcp ssh
Service 23/tcp telnet
Service 25/tcp smtp
Service 53/udp,53/tcp dns
Service 80/tcp http
Service 110/tcp pop3
Service 119/tcp nntp
Service 143/tcp imap
Service 412/tcp,412/udp dc
Service 443/tcp https
Service 1214/tcp kazaa
Service 4661-4662/tcp,4665/udp edonkey
Service 5190/tcp aim
Service 6346-6347/tcp gnutella
Service 6665-6669/tcp irc
Service 54320/tcp bo2k
Service 7070/tcp,554/tcp,6970-7170/udp real
Protocol 1 icmp
Protocol 4 ipinip
Protocol 6 tcp
Protocol 17 udp
Protocol 47 gre
Protocol 50 esp
Protocol 51 ah
Protocol 57 skip
Protocol 88 eigrp
Protocol 169
Protocol 255
TOS 0 normal
TOS 1-255 other
ASNumber 1 Genuity

Konfigurace Flowscan

Kritéria zpracování již máme nastavená, zbývá určit kde se data nacházejí a začít je zpracovávat. Cesta k datům se nachází v /etc/flowscan/flowscan.cf. Opět přikládám své nastavení:

FlowFileGlob /var/flow/firewall/*ft-v05.*
ReportClasses CUFlow
WaitSeconds 30
Verbose 1

Zbývá spustit flowscan (respektive jej přidat do startovacích skriptů).

Prohlížení dat

Na http://vas.server.nekde/cgi-bin/CUGrapher.cgi máte samotný nástroj pro vizualizaci dat. Zde si můžete naklikat svá kritéria a vygenerovat graf.

Viz Vizualizace Cisco flows dle AS