บทความนี้จะพูดถึง netflow ซึ่งเป็น protocol propietary ของ Cisco นะครับ ซึ่งก็คือ Cisco เป็น vendor เดียวที่พัฒนาโปรโตคอลนี้ขึ้นมาและนำมาใช้ในลักษณะการบริหารจัดการเครือข่ายผ่านอุปกรณ์ที่รองรับได้
เมื่อเราเปิดพอร์ตหรือ VLAN ให้เริ่มฟังก์ชั่นการทำงานของ Netflow ขึ้นบนอุปกรณ์ สิ่งที่เกิดขึ้นก็คือ พอร์ต หรือ VLAN นั้นๆ จะทำการพ่นข้อมูลตามตัวอย่างด้านล่างออกมาครับ
• IP source address
• IP destination address
• Source port
• Destination port
• Layer 3 protocol type
• Type of service
• Router or switch interface
ปัจจุบัน Netflow ได้ออก version มาหลายๆ version ได้แก่ V.1, 5, 7 (บน Cat6500) และ 9 ตามลำดับ ปกติแล้วทั่วๆ ไป admin มักจะเปิดการทำงาน version 5 ส่วน vesion 9 ก็จะเหมือน version 5 เกือบทุกอย่างครับ ยกเว้นสิ่งที่มันเพิ่มขึ้นมาก็คือ มันจะบอก Source และ Destination MAC Addresses ด้วยครับ
โดยปกติแล้ว Netflow สามารถ enable ได้บนเราเตอร์เกือบทุก Series ของ Cisco แต่บนสวิตซ์จะสามารถใช้งานได้บาง Series เท่านั้นนะครับ อย่างเช่นตระกูลของ Catalyst 4500+Sup V, Catalyst 4500+Sup IV+Netflow daughter card และ Catalyst 6500 Series เท่านั้นครับ
เอาหละครับ คราวนี้ก็เป็นตัวอย่างของการเปิด Netflow บน ios ของ Catalyst 6500 Series นะครับ ผมเชื่อว่าหลายๆ มหาวิทยาลัยก็ใช้งานกันอยู่เหมือนกัน เพราะ Netflow มันมีประโยชน์มากจริงๆ โดยเฉพาะหากเรามี Netflow Collector Software อยู่แล้วด้วย เช่น CS-MARS, Netflow Analyzer ของ Manage Engine เป็นต้น
IOS(config)# mls netflow
IOS(config)# mls flow ip interface-full
IOS(config)# mls flow ipv6 interface-full
IOS(config)# mls nde sender version 7
IOS(config)# ip flow-export source vlan 1
IOS(config)# ip flow-export destination 10.10.10.100 200
วิธีตรวจสอบบน ios นะครับ เราจะใช้คำสั่ง
IOS# sh mls netflow ip
ขอขอบคุณหนังสือ LAN Switching Security 2007 จาก Cisco Press ด้วยครับ :)
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น