Cisco Netflow Collector v.5

Встроенный в TMeter коллектор Netflow v.5 позволяет собирать статистику по трафику не только с маршрутизаторов Cisco, но и с любых других устройств, в которых реализован протокол Netflow (например, существуют программные версии Netflow для операционных систем FreeBSD и Linux).

Что такое Netflow?

Netflow - это протокол, предложенный компанией Cisco для передачи статистики по трафику с аппаратных маршрутизаторов или управляемых свитчей. Таким образом, если в вашей организации установлен Интернет-шлюз на базе маршрутизатора Cisco, то вы сможете считать трафик при помощи программы TMeter.

Как сконфигурировать маршрутизатор?

Процесс конфигурирования маршрутизатора для сбора статистики состоит в указании IP-адреса компьютера на котором работает TMeter и номера порта UDP, используемого для приема пакетов Netflow.

Как настроить TMeter?

В программе TMeter необходимо указать, что сбор трафика будет осуществляется с коллектора Cisco Netflow. Соответствующую "галочку" нужно поставить в диалоге выбора сетевых адаптеров. Кроме того, необходимо убедится, что номер порта приема пакетов Netflow совпадает с тем, который был сконфигурирован в маршрутизаторе. По-умолчанию, TMeter принимает пакеты Netflow на порту UDP 8818. При необходимости, это номер порта можно именить путем корректировки реестра. Процесс построения фильтров и правил аналогичен прямому сбору пакетов через обычный сетевой интерфейс.

У меня в сети несколько маршрутизаторов Cisco, каждый из которых шлет Netflow в один и тот же TMeter. Можно ли различать маршрутизаторы Cisco при построении фильтров и правил в TMeter?

Да, можно. Если вы хотите на уровне правила различать разные источники Netflow, следует задать в правиле дополнительное условие на основе MAC-адреса источника пакета. При этом MAC-адрес источника следует задавать в "преобразованном" виде из IP адреса источника пакета Netflow. Например, если IP источника пакета Netflow (другими словами IP адрес маршрутизатора Cisco) равен 192.168.10.40, то в правиле следует использовать MAC адрес 0000C0A80A28. Таким образом 4-байтовый IP адрес (192.168.10.40) преобразуется в 6-байтовый MAC-адрес простым копированием октетов IP адреса во 2-5 байт MAC-адреса, а байты 0-1 заполняются нулями. Пример создания правила, в котором явным образом задан адрес источника пакета Netflow:

Может ли Netflow-коллектор в TMeter различать номера сетевых интерфейсов через который прошел тот или иной пакет на маршрутизаторе?

Ответ ДА! В протоколе Netflow есть такой параметр - InputInt и OutputInt (он же Input и Output Snmp Interface Index) - индекс интерфейса на маршрутизаторе. Для того, чтобы TMeter учитывал эти параметры, необходимо в байты 0 и 1 MAC-адреса (см. изображение выше) заполнить этими параметрами соответственно (т.е. байт 0 - InputInt, байт 1 - OutputInt). Если вы не хотите учитывать индексы интерфейсов маршрутизатора, заполните эти позиции нулями. Если вы хотите построить правило для интерфейса с индексом 0, вы должны использовать число FF для построения такого правила. Важно: при создании правила с использованием индексов интерфейсов, необходимо заполнять поле IP адреса маршрутизатора Netflow, даже если в вашей сети используется только один маршрутизатор, формирующий поток Netflow.

 Для пакетов, собранных через Netflow не будут работать следующие возможности: