Lab_ Coleta e análise de dados do NetFlow (possível solução)

Transcrição

1 Lab_ Coleta e análise de dados do NetFlow (possível solução) Topologia Tabela de Endereçamento Objetivos Dispositivo Interface Endereço IP Gateway padrão R1 G0/ /24 N/A S0/0/0 (DCE) /30 N/A R2 G0/ /24 N/A S0/0/ /30 N/A S0/0/1 (DCE) /30 N/A R3 G0/ /24 N/A S0/0/ /30 N/A PC-A NIC PC-B NIC PC-C NIC Parte 1: Construir a rede e definir as configurações básicas do dispositivo Parte 2: Configurar o NetFlow em um router Parte 3: Usar CLI para analisar o NetFlow Parte 4: Explorar o software de coletor e analisador do NetFlow Histórico/cenário NetFlow é uma tecnologia CISCO IOS que fornece estatísticas em pacotes que passam por meio de um switch multicamadas ou de um router da Cisco. O NetFlow permite monitoramento de rede e segurança, planejamento de rede, análise de tráfego e contabilidade de IPs. É importante não confundir o objetivo e os 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 1 de 12

2 resultados do NetFlow com os de hardware e software de captura de pacotes. A captura de pacotes registra todas as possíveis informações que saem e entram em um dispositivo de rede para análise posterior, enquanto o NetFlow visa informações estatísticas específicas. O Flexible NetFlow é a tecnologia NetFlow mais recente, aprimorada com base no NetFlow original por meio da adição da capacidade de personalizar os parâmetros de análise de tráfego. O Flexible NetFlow usa o formato de exportação da versão 9. Desde o Cisco IOS versão 15.1, há suporte para muitos comandos do Flexible NetFlow. Neste laboratório, você configurará o NetFlow para capturar tanto pacotes de entrada quanto de saída. Você usará os comandos show para verificar se o NetFlow está operacional e se coleta informações estatísticas. Você também explorará as opções disponíveis do software de coleta e análise do NetFlow. Observação: os routeres usados nos laboratórios práticos CCNA são Routeres de serviços integrados (ISRs) Cisco 1941 com a versão 15.2(4)M3 do Cisco IOS (imagem universalk9). É possível usar outros routeres e versões do Cisco IOS. Dependendo do modelo e da versão do Cisco IOS, os comandos disponíveis e a saída produzida podem diferir dos mostrados nos laboratórios. Consulte a tabela Resumo da Interface do Router no final deste laboratório para obter os identificadores de interface corretos. Observação: Os routeres devem estar apagados e não deve haver configurações Iniciais. Se estiver em dúvida, entre em contato com o instrutor. Recursos necessários 3 routeres (Cisco 1941 com imagem universal versão 15.2(4)M3 do Cisco IOS ou comparável) 3 PCs (Windows 7, Vista ou XP com um programa de emulação de terminal, como Tera Term) Cabos de console para configurar os dispositivos do Cisco IOS por meio das portas do console Cabos ethernet e seriais, conforme mostrado na topologia Parte 1: Construir a rede e definir as configurações básicas do dispositivo Na Parte 1, você definirá a topologia da rede e as configurações básicas nos routeres e hosts do PC. Etapa 1: Instale os cabos da rede conforme mostrado na topologia. Etapa 2: Inicialize e recarregue os routeres conforme o necessário. Etapa 3: Defina as configurações básicas de cada Router. a. Desative a pesquisa do DNS. b. Configure os nomes do dispositivo conforme mostrado na topologia. c. Atribua class como a senha criptografada do modo EXEC privilegiado. d. Atribua cisco como senhas do console e do vty e habilite o login. e. Criptografe as senhas de texto simples. f. Configure um banner MOTD para avisar aos usuários que o acesso não autorizado é proibido. g. Configure o registro síncrono para a linha do console. h. Defina o clock rate de todas as interfaces seriais DCE como i. Configure os endereços IP conforme listados na tabela de endereçamento. j. Configure o OSPF com o ID de processo 1 e anuncie todas as redes. As interfaces Ethernet devem ser passivas Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 2 de 12

3 k. Crie um banco de dados local em R3 com o mesmo nome de usuário admin e senha cisco com o nível de privilégio em 15. l. Em R3, ative o serviço HTTP e autentique os usuários HTTP com o banco de dados local. m. Copie a configuração atual para a configuração de inicialização. Etapa 4: Configure hosts do PC. Etapa 5: Verifique a conectividade fim a fim. Todos os dispositivos devem ser capazes de fazer ping em outros dispositivos na topologia. Faça a identificação e solução de problemas conforme necessário até estabelecer a conectividade fim a fim. Observação: talvez seja necessário desativar o firewall do computador para que os pings entre os PCs sejam bem-sucedidos. Parte 2: Configurar o NetFlow em um router Na parte 2, você configurará o NetFlow no router R2. O NetFlow capturará todo o tráfego de entrada e saída nas interfaces seriais de R2 e exportará os dados para o coletor NetFlow, PC-B. O Flexible NetFlow versão 9 será usado para exportar para o coletor NetFlow. 1 Configure a captura do NetFlow. Configure a captura de dados NetFlow nas duas interfaces seriais. Capture os dados de pacotes de entrada e saída. R2(config)# interface s0/0/0 R2(config-if)# ip flow ingress R2(config-if)# ip flow egress R2(config-if)# interface s0/0/1 R2(config-if)# ip flow ingress R2(config-if)# ip flow egress Etapa 6: Configure a exportação de dados NetFlow. Use o comando ip flow-export destination para identificar o endereço IP e a porta UDP do coletor NetFlow para o qual o router deve exportar dados do NetFlow. O número da porta UDP 9996 será usado para essa configuração. R2(config)# ip flow-export destination Etapa 7: Configure a versão de exportação do NetFlow. Routeres Cisco com IOS 15.1 oferecem suporte ao NetFlow versões 1, 5 e 9. A versão 9 é o formato de dados de exportação mais versátil, mas não tem compatibilidade com versões anteriores. Use o comando ip flow-export version para definir a versão do NetFlow. R2(config)# ip flow-export version 9 Etapa 8: Verifique a configuração do NetFlow. a. Emita o comando show ip flow interface para examinar as informações de interface de captura do NetFlow. R2# show ip flow interface Serial0/0/ Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 3 de 12

4 ip flow ingress ip flow egress Serial0/0/1 ip flow ingress ip flow egress b. Emita o comando show ip flow export para examinar as informações de exportação de dados do NetFlow. R2# show ip flow export Flow export v9 is enabled for main cache Export source and destination details : VRF ID : Default Destination(1) (9996) Version 9 flow records 388 flows exported in 63 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level 0 export packets were dropped due to no fib 0 export packets were dropped due to adjacency issues 0 export packets were dropped due to fragmentation failures 0 export packets were dropped due to encapsulation fixup failures Parte 3: Usar CLI para analisar NetFlow Na parte 3, você gerará tráfego de dados entre R1 e R3 para observar a tecnologia NetFlow. 1 Gere tráfego de dados entre R1 e R3. a. Faça Telnet de R1 para R3 com o endereço IP Insira a senha cisco para entrar no modo de usuário EXEC. Insira a senha class para ativar o modo global EXEC. Emita o comando show run para gerar o tráfego Telnet. Por enquanto, mantenha ativa a sessão Telnet. b. De R3, emita o comando ping repeat 1000 para fazer ping na interface R1 G0/0. Isso gerará tráfego ICMP através do R2. c. Do PC-A, navegue até R3 com o endereço IP Faça login como admin com a senha cisco. Após se conectar a R3, mantenha o navegador aberto. Observação: verifique se o bloqueador de pop-ups está desativado no navegador. Etapa 9: Exiba uma sumarização das estatísticas de contabilidade do NetFlow. Em R2, emita o comando show ip cache flow para exibir as alterações à sumarização de dados NetFlow, inclusive a distribuição do tamanho de pacote, as informações de fluxo IP, os protocolos capturados e a atividade de interface. Observe que os protocolos agora são exibidos nos dados de sumarização. R2# show ip cache flow IP packet size distribution (5727 total packets): IP Flow Switching Cache, bytes 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 4 de 12

5 2 active, 4094 inactive, 114 added 1546 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, bytes 0 active, 1024 inactive, 112 added, 112 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics 00:07:35 Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet TCP-WWW ICMP SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Total: SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Se0/0/ Null Se0/0/ Null Etapa 10: Finalize as sessões Telnet e de navegador. a Emita o comando exit em R1 para se desconectar da sessão Telnet de R3. d. Feche a sessão do navegador no PC-A. Etapa 11: Limpe as estatísticas de contabilidade do NetFlow. a Em R2, emita o comando clear ip flow stats para limpar as estatísticas de contabilidade do NetFlow. R2# clear ip flow stats e. Emita o comando show ip cache flow novamente para verificar se as estatísticas de contabilidade do NetFlow foram redefinidas. Observe que, mesmo que você não gere mais dados por meio de R2, os dados são coletados pelo NetFlow. No exemplo abaixo, o endereço destino desse tráfego é o endereço multicast ou dados OSPF LSA. R2# show ip cache flow IP packet size distribution (124 total packets): IP Flow Switching Cache, bytes 2 active, 4094 inactive, 2 added 1172 ager polls, 0 flow alloc failures Active flows timeout in 30 minutes Inactive flows timeout in 15 seconds IP Sub Flow Cache, bytes 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 5 de 12

6 2 active, 1022 inactive, 2 added, 2 added to flow 0 alloc failures, 0 force free 1 chunk, 0 chunks added last clearing of statistics 00:09:48 Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow IP-other Total: SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Se0/0/ Null SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Se0/0/ Null Parte 4: Explorar o software NetFlow Collector and Analyzer Muitos fornecedores oferecem o software NetFlow Collector and Analyzer. Alguns software são fornecidos como freeware, outros não. Este URL apresenta uma página Web com sumarização de alguns software NetFlow freeware disponíveis: ntent0900aecd805ff72b.html Leia esta página Web para se familiarizar com alguns dos produtos de software NetFlow Collector and Analyzer disponíveis. Reflexão 1. Qual é o objetivo do software de coleta NetFlow? O software de coleta NetFlow recebe os dados NetFlow que são exportados de routeres e switches na rede. Ele filtra e agrega os dados de acordo com as políticas configuradas pelo administrador de rede e armazena esses dados resumidos e agregados, em vez dos dados de fluxo brutos, para minimizar o consumo de espaço em disco. 2. Qual é o objetivo do software de análise do NetFlow? O software de análise do NetFlow fornece os meios para visualização e análise praticamente em tempo real de dados de fluxo registrados e agregados. Isso permite especificar o router, o esquema de agregação e o intervalo de tempo de exibição. Em seguida, é possível classificar e visualizar os dados de uma forma que faça sentido para os usuários (gráficos de barras, gráficos de pizza, histogramas dos relatórios classificados). 3. Quais são os sete campos críticos usados pelo NetFlow original para a distinguir os fluxos? 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 6 de 12

7 Endereço IP origem, Endereço IP destino, Número de porta origem, número de porta destino, tipo de protocolo da camada 3, marcação de Tipo de serviço (TOS), interface lógica de entrada. Configurações de dispositivo (finais) Router R1 R1# show run Building configuration... Current configuration : 1592 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname R1 boot-start-marker boot-end-marker enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 no aaa new-model memory-size iomem 15 ip cef no ip domain lookup no ipv6 cef multilink bundle-name authenticated interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto interface GigabitEthernet0/1 duplex auto speed auto interface Serial0/0/ Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 7 de 12

8 ip address clock rate interface Serial0/0/1 router ospf 1 passive-interface GigabitEthernet0/0 network area 0 network area 0 ip forward-protocol nd no ip http server no ip http secure-server control-plane banner motd ^C Unauthorized Access is Prohibited ^C line con 0 password logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password D login transport input all scheduler allocate end Router R2 R2# show run Building configuration... Current configuration : 1808 bytes version Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 8 de 12

9 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname R2 boot-start-marker boot-end-marker enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 no aaa new-model memory-size iomem 15 ip cef no ip domain lookup no ipv6 cef multilink bundle-name authenticated interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto interface GigabitEthernet0/1 duplex auto speed auto interface Serial0/0/0 ip address ip flow ingress ip flow egress interface Serial0/0/1 ip address ip flow ingress ip flow egress clock rate router ospf 1 passive-interface GigabitEthernet0/ Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 9 de 12

10 network area 0 network area 0 network area 0 ip forward-protocol nd no ip http server no ip http secure-server ip flow-export version 9 ip flow-export destination control-plane banner motd ^C Unauthorized Access is Prohibited ^C line con 0 password B180F0B logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password F41 login transport input all scheduler allocate End Router R3 R3# show run Building configuration... Current configuration : 1769 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption hostname R Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 10 de 12

11 boot-start-marker boot-end-marker enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 no aaa new-model memory-size iomem 15 ip cef no ip domain lookup no ipv6 cef multilink bundle-name authenticated username admin privilege 15 secret 4 tnhtc92dxbhelxjyk8lwjrpv36s2i4ntxrpb4rfmfqy interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto interface GigabitEthernet0/1 duplex auto speed auto interface Serial0/0/0 clock rate interface Serial0/0/1 ip address router ospf 1 passive-interface GigabitEthernet0/0 network area 0 network area 0 ip forward-protocol nd ip http server ip http authentication local 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 11 de 12

12 no ip http secure-server control-plane banner motd ^C Unauthorized Access is Prohibited ^C line con 0 exec-timeout 0 0 password F logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password D0A16 login transport input all scheduler allocate end 2014 Cisco e/ou suas afiliadas. Todos os direitos reservados. Este documento contém informações públicas da Cisco. Página 12 de 12