|
|
 | Cisco router netflow + ntop ?
Fra : Brian Ipsen |
Dato : 17-11-04 14:12 |
|
Hej,
Jeg har lidt problemer med at få Cisco netflow og ntop til at fungere
sammen... håber, at en eller anden herinde kan hjælpe..
Router setuppet er sådan her;
Internet <--> router <--> firewall <--> Linux PC m. ntop
eth1/0 går mod internettet
eth0/0 går mod firewall'en
i routeren er indsat:
interface Ethernet0/0
description Link to Firewall
ip address w.x.y.z 255.255.255.192
ip route-cache flow
no ip mroute-cache
half-duplex
arp timeout 600
interface Ethernet1/0
description Link to ISP
ip address a.b.c.d 255.255.255.252
full-duplex
arp timeout 600
ip flow-export source Ethernet0/0
ip flow-export version 5
ip flow-export destination e.f.g.h 2055
Adressen e.f.g.h håndteres også af firewall'en, og forwardes ind til linux
maskinen bag firewall'en
sh ip cache flow giver mig (blandt andet):
IP packet size distribution (500768866 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448
480
.002 .402 .061 .046 .023 .012 .015 .015 .005 .004 .003 .004 .005 .001
..002
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.002 .001 .008 .019 .361 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
82 active, 4014 inactive, 56871227 added
638958163 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec)
Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 61 0.0 65 41 0.0 18.2 10.8
TCP-FTP 78905 0.0 13 68 0.2 2.4 5.2
TCP-FTPD 102599 0.0 103 809 2.4 2.5 3.4
TCP-WWW 5307581 1.2 28 1026 35.5 3.3 6.8
TCP-SMTP 1676232 0.3 31 694 12.4 4.4 4.8
TCP-X 435 0.0 4 61 0.0 2.0 4.7
TCP-NNTP 1678 0.0 13 44 0.0 13.2 13.0
TCP-Frag 789 0.0 23 37 0.0 1.4 15.5
TCP-other 43562546 10.1 4 264 47.2 1.8 10.3
UDP-DNS 678704 0.1 5 84 0.8 7.0 15.5
UDP-NTP 817264 0.1 1 76 0.1 0.1 15.5
UDP-TFTP 58 0.0 3 295 0.0 3.5 15.7
UDP-Frag 608 0.0 11 105 0.0 0.9 15.5
UDP-other 1727704 0.4 4 281 1.7 6.8 15.4
ICMP 2354402 0.5 4 110 2.6 5.1 15.5
GRE 1 0.0 19 66 0.0 3.9 15.5
IP-other 561578 0.1 100 537 13.1 17.3 15.4
Total: 56871145 13.2 8 579 116.5 2.5 10.4
#sh ip flow export
Flow export v5 is enabled for main cache
Exporting flows to e.f.g.h (2055)
Exporting using source interface Ethernet0/0
Version 5 flow records
18027 flows exported in 602 udp datagrams
0 flows failed due to lack of export packet
5 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures
Antallet af UDP datagrammer stiger løbende....
Fra ntop pakken ligger der et perl-script: netFlowClient.pl
Dette har jeg prøvet at starte op, men har ingen success med at det modtager
pakker fra routeren (den har fået en MySQL database, den kan smide data ned
i) ??
Endvidere kan jeg ikke helt gennemskue hvordan jeg får ntop til at fungere
som netflow collector - så den altså opsamler og behandler data fra
routeren....
Nogen, der kan hjælpe ??
/Brian
| |
 Henrik Aarfeldt (17-11-2004)
| Kommentar
Fra : Henrik Aarfeldt |
Dato : 17-11-04 22:27 |
|
Brian Ipsen wrote:
> Jeg har lidt problemer med at få Cisco netflow og ntop til at fungere
> sammen... håber, at en eller anden herinde kan hjælpe..
> Endvidere kan jeg ikke helt gennemskue hvordan jeg får ntop til at fungere
> som netflow collector - så den altså opsamler og behandler data fra
> routeren....
>
> Nogen, der kan hjælpe ??
Hej Brian,
ntop har nogle mailing-lister med et brugbart arkiv, hvor der muligvis
er hjælp at hente.
http://www.ntop.org/needHelp.html
http://lists.ntop.org/pipermail/ntop/
http://lists.ntop.org/pipermail/ntop-dev/
--
Mvh Henrik.
....og hils derinde :)
| |
|
|