FreeBSD Server 抓取 Cisco 設備上之 netflow 之 udp 封包-剑心通明-ChinaUnix博客

BSD爱好者乐园jxtm.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

剑心通明

博客访问： 18671004
博文数量： 7460
博客积分： 10434
博客等级：上将
技术积分： 78178
用户组：普通用户
注册时间： 2008-03-02 22:54

文章分类

全部博文（7460）

武林英雄攻略（0）
淘宝网推荐（0）

节日礼物（0）

特产美食（0）

运动户外（0）

计算机相关（0）

女人（0）

男人（0）

母婴（0）

居家（0）

美容时尚（0）

手机数码（0）
其他（0）
数据库/php网页编（0）
交换机/路由器/网（0）
AIX（0）
MacOS（0）
C程序设计（0）
BSD相关（0）
shell脚本（0）
未分配的博文（7460）

文章存档

2011年（1）

2009年（669）

2008年（6790）

我的朋友

相关博文

FreeBSD Server 抓取 Cisco 設備上之 netflow 之 udp 封包

分类： BSD

2008-04-09 09:32:26

Cisco IOS Software Release Version	Supported NetFlow Export Version(s)	Supported Cisco Hardware Platforms
11.1CA, 11.1CC	v1, v5	Cisco 7200, 7500, RSP7000
11.2, 11.2P	v1	Cisco 7200, 7500, RSP7000
11.2P	v1	Route Switch Module (RSM), 11.2(10)P and later
11.3, 11.3T	v1	Cisco 7200, 7500, RSP7000
12.0	v1, v5	Cisco 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM
12.0T	v1, v5	Cisco 1000,1600,1720*, 2500,2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM
12.0(3)T and later	v8	Cisco 1000,1600,1720*, 2500,2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM
N/A	v7	Catalyst 5000 NetFlow Feature Card (NFFC)

Environment :

硬體：一台i386 Celeron 360 的 PC
網卡：1片 Intel 網卡
作業系統：FreeBSD 5.3 Release
Server IP：88.88.88.88

Descriptions：

        最近都在研究 FreeBSD 怎麼跟 Cisco Router 相互結合，嘿嘿 ! 又不小心又發現一個好東西，就是 Cisco 上的 Netflow Service ，這東西應用於 cisco 設備上，因此讓 Cisco 產品於市場上佔盡優勢，而 Unix 上也有許多的工具程式也如同 Csico Router 上的 Netflow，如：、、、、之類的軟體，它們能讓 Unix 上的 interface 也可產生 netflow 所需的 UDP 封包，這樣也就可透過一台 Netflow Server 將 FreeBSD 網路介面卡的封包收集起來做分析，這樣誰來過你的 Server 就可全都記錄下來，真是好用。

Setp 1.

找個 HD 大一點的機器架 Netflow Server 用它來收集封包進入 interface 的所有資訊：

Netflow#cd /usr/ports/net-mgmt/flow-tools/
Netflow#make install

Netflow#/usr/local/bin/flow-capture -z 6 -n 144 -e 1440 -N -1 -w /netflow 88.88.88.88/192.168.1.1/9991

說明：

執行 flow-capture 後，即會在 FreeBSD 的背景執行，且重 port 9991 一直持續的接收 client 端丟過來的 udp 封包
-n 144 表示一天分割成144份檔案，為 10 分鐘製作一個檔案
-e 1440 保留 1440 份，為10 天量
-N -1 格式 -1 為年-月-日
-w /netflow 收集的封包檔案放到 /netflow 目錄下
88.88.88.88/192.168.1.1/9991 Server 88.88.88.88 接收192.168.1.1 這台機器的netflow 封包，port 為9991
如果一切順利，會看到目錄下有 tmp-v05 及 ft-v05 等檔案產生，tmp-v05 為暫存檔. ft-v05 為儲存的檔案

Setp 2.

Cilent 端為 Cisco Router 之設定：

cisco#conf t
cisco(config)#ip flow-export destination 88.88.88.88 9991
cisco(config)#int s0
cisco(config-if)#ip route-cache flow

資料取得：

Platform and Export Version Support：NetFlow Version Matrix

Cisco IOS Software Release Version Supported NetFlow Export Version(s) Supported Cisco Hardware Platforms

11.1CA, 11.1CC

v1, v5

Cisco 7200, 7500, RSP7000

11.2, 11.2P

v1

Cisco 7200, 7500, RSP7000

11.2P

v1

Route Switch Module (RSM), 11.2(10)P and later

11.3, 11.3T

v1

Cisco 7200, 7500, RSP7000

12.0

v1, v5

Cisco 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM

12.0T

v1, v5

Cisco 1000*,1600*,1720**, 2500*,2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM

12.0(3)T and later

v8

Cisco 1000*,1600*,1720**, 2500*,2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM

N/A

v7

Catalyst 5000 NetFlow Feature Card (NFFC)

Client 端為一般 FreeBSD Server 之設定：

FreeBSD#cd /usr/ports/net-mgmt/fprobe
FreeBSD#make install
FreeBSD#/usr/local/sbin/fprobe -i fxp0 -n 5 -e 1 88.88.88.88:9991

# 抓取 fxp0 界面封包、產生netflow v5 格式，active timer 設一秒，送到 88.88.88.88 Server 的 port 9991

Setp 3.

分析 Server 上抓取的資料：

Netflow#flow-cat 檔案 | flow-print   # 將列出所有抓下的封包，檔案 = /netflow/2005/2005-01/2005-01-31/ft-v01.2005-01-31.032001+0800
Netflow#flow-cat 檔案 | flow-stat -f8 -S2 | tail +13l | head -10    # 可抓取目的地流量前10名IP
Netflow#flow-cat 檔案 | flow-stat -f5    # 統計port 量
Netflow#flow-cat 檔案 | flow-filter -P6677 | flow-stat -f8 -S2    # 抓出port 6677 (kuro) 的排名

阅读(1083) | 评论(0) | 转发(0) |

上一篇：Freebsd+OpenLDAP+phpldapadmin 安裝

下一篇：PF 網管小工具 pftop

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6