Netflow – IP Traffic analysieren

Immer wieder kommen Anrufe von Kunden, welche über eine langsame Internetverbindung klagen. Meistens ist aber nicht die Verbindung über ADSL, VDSL oder Kabelmodem langsam, sondern irgend ein Benutzer füllt die Leitung mit einem grossen Down- oder Up-Load. Ich habe nun ein gutes Gratis-Tool gefunden, mit welchem man Netflow Pakete auswerten kann. Fast jeder Cisco Router kann Netflow Pakete erzeugen und versenden. Hier im Beispiel nutze ich eine ADSL Leitung und einen Cisco 1800 Router. Intern habe ich sogar zwei Netzwerke (Public und Büro-LAN). Es geht natürlich genau gleich, mit nur einem Netzwerk.

Als erstes muss auf einem Client-PC oder Notebook das Tool „Free Real-Time NetFlow Analyzer“ von Solarwinds installiert werden.

http://www.solarwinds.com/products/freetools/netflow-analyzer.aspx

Aus diesem Download benötigen wir nur den eigentlichen Analyzer. Das Konfig-Tool wird nicht benötigt und muss somit auch nicht installiert werden.

Nach dem öffnen des Tools, muss eine Quelle angegeben werden. Hier erfasst man den Router (IP Adresse und SNMP Community).

Auf dem Cisco Router benötigt man also SNMP Leserechte (RO). Nachfolgend die Cisco CLI Befehle.
Zur Erklärung: Der Router hat die IP Adresse 192.168.215.1 im internen Netzwerk und im Gästenetz 10.0.0.1. Mein Notebook mit dem Netflow Analyzer hat die IP Adresse 192.168.215.99.

Globale Cisco Router Konfiguration

access-list 23 permit 192.168.215.0 0.0.0.255

snmp-server community public RO 23
snmp-server location Test Router 1.OG, Luzern
snmp-server contact Sandro Matt

ip flow-export version 9
ip flow-export destination 192.168.215.99 2055

Cisco Interface-Konfiguration:
interface Vlan10
ip address 192.168.215.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!
!
interface Vlan20
ip address 10.0.0.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
!

Nachdem man die erfasst hat werden die Netflow Pakete vom Cisco Router an den Notebook auf dem Port 2055 gesendet. Ein Doppelklick im Netflow Analyzer öffnet den erfassten Router und zeigt die Übersicht der vorhanden Interfacesan. Nach einigen Sekunden sieht man auch die aktuelle Auslastung der einzelnen Interfaces. Bei den Interfaces mit konfiguriertem „ip flow ingress oder egress“ steht in der hintersten Spalte NetFlow. Sobald dies erscheint kann man oben auf den Button „Start Flow Caputre“ klicken. Bei dem nun erscheinenden Bild sieht man alle Netflows. Also Absender, Empfänger, TCP oder UDP Port, usw. Ebenfalls werden sofort die Diagramme erstellt, welche man auch speichern kann. (siehe Bild)

Optional kann man natürlich auch das externe Interface monitoren:

interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
load-interval 30
dialer pool 1
ip flow ingress
ip flow egress
ppp authentication chap pap callin
ppp chap hostname xxxxxxx@xxxx.xx
ppp chap password xxxxxxxxxxxxxxx
ppp pap sent-username xxxxxxx@xxxx.xx password xxxxxxxxxxxxxxx
no cdp enable
!

Dieser Beitrag wurde unter TechBlog veröffentlicht. Setze ein Lesezeichen auf den Permalink.