8.0. Het netwerk bewaken

8.0.1. Inleiding

Het monitoren van een operationeel netwerk kan een netwerkbeheerder informatie verschaffen om het netwerk proactief te beheren en om netwerkgebruiksstatistieken aan anderen te rapporteren. Linkactiviteit, foutpercentages en linkstatus zijn enkele van de factoren die een netwerkbeheerder helpen de gezondheid en het gebruik van een netwerk te bepalen. Door deze informatie in de loop van de tijd te verzamelen en te beoordelen, kan een netwerkbeheerder groei zien en projecteren, en kan de beheerder een defect onderdeel detecteren en vervangen voordat het volledig defect raakt.

Dit hoofdstuk behandelt drie protocollen die een netwerkbeheerder kan gebruiken om het netwerk te bewaken. Syslog, SNMP en NetFlow zijn populaire protocollen met verschillende sterke en zwakke punten. Samen bieden ze een goede toolset om te begrijpen wat er op een netwerk gebeurt. Het Network Time Protocol (NTP) wordt gebruikt om tijd tussen apparaten te synchroniseren, wat vooral belangrijk is bij het vergelijken van logbestanden van verschillende apparaten.

8.1. Syslog

8.1.1. Syslog werking

8.1.1.1. Inledeiding tot Syslog

Wanneer bepaalde gebeurtenissen plaatsvinden op een netwerk, beschikken netwerkapparaten over vertrouwde mechanismen om de beheerder op de hoogte te stellen met gedetailleerde systeemberichten. Deze berichten kunnen niet-kritiek of significant zijn. Netwerkbeheerders hebben verschillende opties om deze berichten op te slaan, te interpreteren en weer te geven, en om gewaarschuwd te worden voor die berichten die de grootste impact kunnen hebben op de netwerkinfrastructuur.

De meest gebruikelijke methode om toegang te krijgen tot systeemberichten die netwerkapparaten leveren, is het gebruik van een protocol genaamd syslog.

Syslog is een term die wordt gebruikt om een ​​standaard te beschrijven. Het wordt ook gebruikt om het protocol te beschrijven dat voor die standaard is ontwikkeld. Het syslog-protocol is in de jaren tachtig ontwikkeld voor UNIX-systemen, maar werd voor het eerst gedocumenteerd als RFC 3164 door IETF in 2001. Syslog gebruikt UDP-poort 514 om gebeurtenismeldingsberichten via IP-netwerken naar gebeurtenisberichtenverzamelaars te verzenden, zoals geïllustreerd in de afbeelding.

Syslog

Veel netwerkapparaten ondersteunen syslog, waaronder: routers, switches, applicatieservers, firewalls en andere netwerkapparatuur. Met het syslog-protocol kunnen netwerkapparaten hun systeemberichten over het netwerk naar syslog-servers sturen. Het is mogelijk om hiervoor een speciaal out-of-band (OOB) netwerk te bouwen.

Er zijn verschillende syslog-serversoftwarepakketten voor Windows en UNIX. Velen van hen zijn freeware.

De syslog-registratieservice biedt drie primaire functies:

  • De mogelijkheid om logboekinformatie te verzamelen voor monitoring en probleemoplossing
  • De mogelijkheid om het type logboekinformatie te selecteren dat wordt vastgelegd
  • De mogelijkheid om de bestemmingen van vastgelegde syslog-berichten te specificeren

8.1.1.2. Syslog werking

Op Cisco-netwerkapparaten begint het syslog-protocol met het verzenden van systeemberichten en foutopsporingsuitvoer naar een lokaal logboekproces dat intern in het apparaat is. Hoe het logproces deze berichten en outputs beheert, is gebaseerd op apparaatconfiguraties. Syslog-berichten kunnen bijvoorbeeld via het netwerk naar een externe syslog-server worden verzonden. Deze berichten kunnen worden opgehaald zonder toegang tot het eigenlijke apparaat. Logberichten en outputs die op de externe server zijn opgeslagen, kunnen in verschillende rapporten worden opgenomen om ze gemakkelijker te kunnen lezen.

Als alternatief kunnen syslog-berichten naar een interne buffer worden verzonden. Berichten die naar de interne buffer worden verzonden, kunnen alleen worden bekeken via de CLI van het apparaat.

Ten slotte kan de netwerkbeheerder specificeren dat alleen bepaalde typen systeemberichten naar verschillende bestemmingen worden verzonden. Het apparaat kan bijvoorbeeld worden geconfigureerd om alle systeemberichten door te sturen naar een externe syslog-server. Berichten op foutopsporingsniveau worden echter doorgestuurd naar de interne buffer en zijn alleen toegankelijk voor de beheerder vanuit de CLI.

Sylog berichtbestemmingsopties

Zoals te zien is in de afbeelding, zijn populaire bestemmingen voor syslog-berichten:

  • Logboekbuffer (RAM in een router of switch)
  • Console lijn
  • Terminal line
  • Syslog-server

Het is mogelijk om systeemberichten op afstand te controleren door de logboeken op een syslog-server te bekijken of door toegang tot het apparaat te krijgen via Telnet, SSH of via de consolepoort.

8.1.1.3. Syslog bericht formaat

Cisco-apparaten produceren syslog-berichten als gevolg van netwerkgebeurtenissen. Elk syslog-bericht bevat een ernstniveau en een faciliteit.

De kleinere numerieke niveaus zijn de meer kritische syslog-alarmen. Het ernstniveau van de berichten kan worden ingesteld om te bepalen waar elk type bericht wordt weergegeven (d.w.z. op de console of de andere bestemmingen). De volledige lijst met syslog-niveaus wordt weergegeven in de volgende tabel.

ErnstnaamErnst niveauUitleg
EmergencyLevel 0Systeem onbruikbaar
AlertLevel 1Onmiddellijke actie nodig
CriticalLevel 2Kritieke toestand
ErrorLevel 3Foutconditie
WarningLevel 4Waarschuwingsconditie
NotificationLevel 5Normale, maar significante toestand
InformationalLevel 6Informatief bericht
DebuggingLevel 7Foutopsporingsbericht

Elk syslog-niveau heeft zijn eigen betekenis:

  • Waarschuwingsniveau – Noodniveau – Deze berichten zijn foutmeldingen over software- of hardwarestoringen; dit soort berichten betekent dat de functionaliteit van het apparaat wordt aangetast. De ernst van het probleem bepaalt het daadwerkelijk toegepaste syslog-niveau.
  • Foutopsporingsniveau – Dit niveau geeft aan dat de berichten worden gegenereerd door het geven van verschillende foutopsporingsopdrachten.
  • Meldingsniveau – Het meldingsniveau is alleen ter informatie, de apparaatfunctionaliteit wordt niet beïnvloed. Interface-overgangen naar boven of naar beneden en berichten over het opnieuw opstarten van het systeem worden weergegeven op het meldingsniveau.

Naast het specificeren van de ernst, bevatten syslog-berichten ook informatie over de faciliteit. Syslog-faciliteiten zijn service-ID’s die systeemstatusgegevens identificeren en categoriseren voor fout- en gebeurtenisberichtrapportage. De beschikbare opties voor het loggen zijn specifiek voor het netwerkapparaat. Cisco 2960 Series-switches met Cisco IOS Release 15.0(2) en Cisco 1941-routers met Cisco IOS Release 15.2(4) ondersteunen bijvoorbeeld 24 faciliteitsopties die zijn onderverdeeld in 12 faciliteitstypen.

Enkele veelvoorkomende syslog-berichtfaciliteiten die op Cisco IOS-routers worden gerapporteerd, zijn onder meer:

  • IP
  • OSPF-protocol
  • SYS-besturingssysteem
  • IP security (IPsec)
  • Interface IP (IF)

De indeling van syslog-berichten op de Cisco IOS-software is standaard als volgt:

seq no: timestamp: %facility-severity-MNEMONIC: description

De velden in het Cisco IOS Software syslog-bericht worden uitgelegd in onderstaande tabel.

VeldUitleg
seq noStempelt logberichten alleen met een volgnummer als service sequence-numbers de globale configuratieopdracht is geconfigureerd.
timestampDatum en tijd van het bericht of de gebeurtenis, die alleen wordt weergegeven als de service timestamps globale configuratieopdracht is geconfigureerd.
facilityDe faciliteit waarnaar het bericht verwijst.
severityEencijferige code van 0 tot 7, dat is de ernst van het bericht.
MNEMONICTeksttekenreeks die het bericht op unieke wijze beschrijft.
descriptionTeksttekenreeks met gedetailleerde informatie over de gebeurtenis die wordt gerapporteerd.

Voorbeelduitvoer op een Cisco-switch voor een EtherChannel-link die van status verandert naar omhoog is bijvoorbeeld:

00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up

Hier is de faciliteit LINK en het ernstniveau is 3, met een MNEMONIC van UPDOWN.

De meest voorkomende berichten zijn link-up en down-berichten en berichten die een apparaat produceert wanneer het de configuratiemodus verlaat. Als ACL-logboekregistratie is geconfigureerd, genereert het apparaat syslog-berichten wanneer pakketten overeenkomen met een parametervoorwaarde.

8.1.1.4. Service timestamp

Logberichten kunnen worden voorzien van een tijdstempel en het bronadres van syslog-berichten kan worden ingesteld. Dit verbetert realtime debugging en beheer.

Wanneer de service tijdstempels log uptime globale configuratiemodus commando wordt ingevoerd, wordt de hoeveelheid tijd sinds de laatste keer opstarten van de switch weergegeven op gelogde gebeurtenissen. Een meer bruikbare versie van dit commando past het datetime-sleutelwoord toe in plaats van het uptime-sleutelwoord; dit dwingt elke geregistreerde gebeurtenis om de datum en tijd weer te geven die aan de gebeurtenis zijn gekoppeld.

Bij gebruik van het datetime-sleutelwoord moet de klok op het netwerkapparaat worden ingesteld. Dit kan op twee manieren worden bereikt:

  • Handmatig instellen, met behulp van de opdracht klok instellen
  • Automatisch ingesteld, met behulp van het Network Time Protocol (NTP)

Bedenk dat NTP een protocol is waarmee netwerkapparaten hun tijdinstellingen kunnen synchroniseren met een NTP-server.

Om de softwareklok te laten synchroniseren door een NTP-tijdserver, gebruikt u de opdracht ntp-server ip-address in de globale configuratiemodus. Een voorbeeldconfiguratie wordt getoond in de onderstaande afbeelding. R1 is geconfigureerd als een NTP-client, terwijl router R2 fungeert als een gezaghebbende NTP-server. Een netwerkapparaat kan worden geconfigureerd als een NTP-server, waardoor andere apparaten buiten zijn tijd kunnen synchroniseren, of als een NTP-client.

NTP configureren
R2(config)# ntp master 1
R1(config)# ntp server 10.1.1.1

Voor de rest van het hoofdstuk wordt aangenomen dat de klok is ingesteld en dat de opdracht service timestamps log datetime op alle apparaten is geconfigureerd.

8.1.2. Syslog configureren

8.1.2.1. Syslog server

Om syslog-berichten te bekijken, moet een syslog-server op een werkstation in het netwerk zijn geïnstalleerd. Er zijn verschillende freeware- en shareware-versies van syslog, evenals enterprise-versies te koop. In onderstaande afbeelding wordt een evaluatieversie van de Kiwi Syslog Daemon weergegeven op een Windows 7-machine.

Kiwi Syslog server

De syslog-server biedt een relatief gebruiksvriendelijke interface voor het bekijken van de syslog-uitvoer. De server analyseert de uitvoer en plaatst de berichten in vooraf gedefinieerde kolommen voor eenvoudige interpretatie. Als tijdstempels zijn geconfigureerd op het netwerkapparaat dat de syslog-berichten levert, worden de datum en tijd van elk bericht weergegeven in de uitvoer van de syslog-server, zoals weergegeven in volgende afbeelding.

TFTPD32 Syslog server

Netwerkbeheerders kunnen gemakkelijk navigeren door de grote hoeveelheid gegevens die op een syslog-server zijn verzameld. Een voordeel van het bekijken van syslog-berichten op een syslog-server is de mogelijkheid om gedetailleerde zoekopdrachten door de gegevens uit te voeren. Ook kan een netwerkbeheerder snel onbelangrijke syslog-berichten uit de database verwijderen.

8.1.2.2. Standaardlogging

Cisco-routers en -switches sturen standaard logberichten voor alle ernstniveaus naar de console. Op sommige IOS-versies buffert het apparaat standaard ook logberichten. Om deze twee instellingen in te schakelen, gebruikt u respectievelijk de logging console en logging buffered globale configuratie opdrachten.

De opdracht show logging geeft de standaard instellingen van de logservice op een Cisco-router weer, zoals weergegeven in het volgend voorbeeld. De eerste regels met output geven informatie over het logproces, met het einde van de output met logberichten.

R1# show logging
Syslog logging: enabled (0 messages dropped, 2 messages rate-limited, 0
flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.

No Inactive Message Discriminator.

 	Console logging: level debugging, 32 messages logged, xml disabled, filtering disabled
 	Monitor logging: level debugging, 0 messages logged, xml disabled, filtering disabled
 	Buffer logging: level debugging, 32 messages logged, xml disabled, filtering disabled
 	Exception Logging: size (4096 bytes)
 	Count and timestamp logging messages: disabled
 	Persistent logging: disabled

No active filter modules.

 	Trap logging: level informational, 34 message lines logged
 	Logging Source-Interface:
        VRF Name:

Log Buffer (8192 bytes):
 
*Jan 2 00:00:02.527: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End UserLicense Agreement is accepted
*Jan 2 00:00:02.631: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module
name = c1900 Next reboot level = ipbasek9 and License = ipbasek9
*Jan 2 00:00:02.851: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module
name = c1900 Next reboot level = securityk9 and License = securityk9
*Jun 12 17:46:01.619: %IFMGR-7-NO_IFINDEX_FILE: Unable to open
nvram:/ifIndex-table No such file or directory
<output omitted>

De eerste gemarkeerde regel geeft aan dat deze router zich aanmeldt bij de console en foutopsporingsberichten bevat. Dit betekent in feite dat alle berichten op foutopsporingsniveau, evenals berichten op een lager niveau (zoals berichten op meldingsniveau), worden vastgelegd in de console. Op de meeste Cisco IOS-routers is het standaard ernstniveau 7, debuggen. De uitvoer merkt ook op dat 32 van dergelijke berichten zijn vastgelegd.

De tweede gemarkeerde regel geeft aan dat deze router zich aanmeldt bij een interne buffer. Omdat deze router logging naar een interne buffer heeft ingeschakeld, geeft de show logging-opdracht ook de berichten in die buffer weer. Aan het einde van de uitvoer kunt u enkele systeemberichten bekijken die zijn vastgelegd.

8.1.2.3. Router en switchopdrachten voor Syslog clients

Er zijn drie stappen om de router te configureren om systeemberichten naar een syslog-server te sturen waar ze kunnen worden opgeslagen, gefilterd en geanalyseerd:

Stap 1. Configureer de bestemmingshostnaam of het IP-adres van de syslog-server in de algemene configuratiemodus:

R1(config)# logging 192.168.1.3

Stap 2. Beheer de berichten die naar de syslog-server worden verzonden met de opdracht logging trap level global configuration mode. Om de berichten bijvoorbeeld te beperken tot niveau 4 en lager (0 tot 4), gebruikt u een van de twee equivalente commando’s:

R1(config)# logging trap 4
R1(config)# logging trap warning

Stap 3. Configureer optioneel de broninterface met de opdracht voor het loggen van broninterface-interfacetype interfacenummer globale configuratiemodus. Dit specificeert dat syslog-pakketten het IPv4- of IPv6-adres van een specifieke interface bevatten, ongeacht welke interface het pakket gebruikt om de router te verlaten. Om bijvoorbeeld de broninterface in te stellen op g0/0, gebruikt u de volgende opdracht:

R1(config)# logging source-interface g0/0

In de het volgend voorbeeld is R1 geconfigureerd om logberichten van niveau 4 en lager naar de syslog-server op 192.168.1.3 te sturen. De broninterface is ingesteld als de G0/0-interface. Er wordt een loopback-interface gemaakt, vervolgens afgesloten en vervolgens weer geopend. De console-uitvoer weerspiegelt deze acties.

R1(config)# logging 192.168.1.3
R1(config)# logging trap 4
R1(config)# logging source-interface gigabitEthernet 0/0
R1(config)# interface loopback 0
R1(config-if)#
*Jun 12 22:06:02.902: %LINK-3-UPDOWN: Interface Loopback0,
changed state to up
*Jun 12 22:06:03.902: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Loopback0, changed state to up
*Jun 12 22:06:03.902: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to
host 192.168.1.3 port 514 started - CLI initiated
R1(config-if)# shutdown
R1(config-if)#
*Jun 12 22:06:49.642: %LINK-5-CHANGED: Interface Loopback0,
changed state to administratively down
*Jun 12 22:06:50.642: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Loopback0, changed state to down
R1(config-if)# no shutdown
R1(config-if)#
*Jun 12 22:09:18.210: %LINK-3-UPDOWN: Interface Loopback0,
changed state to up
*Jun 12 22:09:19.210: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Loopback0, changed state to up
R1(config-if)#

Getoond in volgende afbeelding, is de Tftpd32 syslog-server ingesteld op een Windows 7-machine met IP-adres 192.168.1.3. Zoals u kunt zien, zijn de enige berichten die op de syslog-server verschijnen die met een ernstniveau van 4 of lager (ernstiger). De berichten met een ernstniveau van 5 of hoger (minder ernstig) verschijnen op de uitvoer van de routerconsole, maar niet op de uitvoer van de syslog-server, omdat de logging-trap de syslog-berichten die naar de syslog-server worden verzonden, beperkt op basis van de ernst.

Syslog serveruitvoer

8.1.2.4. Syslog verifiëren

U kunt de opdracht show logging gebruiken om alle berichten te bekijken die zijn gelogd. Als de logbuffer groot is, is het handig om de pipe-optie (|) te gebruiken met de opdracht show logging. Met de pipe-optie kan de beheerder specifiek aangeven welke berichten moeten worden weergegeven.

Bijvoorbeeld het gebruiken van de show logging | include changed opdracht, zoals weergegeven in het volgend voobeeld, zorgt ervoor dat alleen interfacemeldingen die aangeven dat de interface is “veranderd naar status omhoog”, worden weergegeven.

Ook getoond in het voorbeeld, het uitvoeren van de show logging | begin June 12 22:35 geeft de inhoud weer van de logboekbuffer die op of na 12 juni heeft plaatsgevonden.

R1# show logging | include changed state to up
*Jun 12 17:46:26.143: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
*Jun 12 17:46:26.143: %LINK-3-UPDOWN: Interface Serial0/0/1, changed state to up
*Jun 12 17:46:27.263: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
*Jun 12 17:46:27.263: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up
*Jun 12 20:28:43.427: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to up
*Jun 12 20:28:44.427: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
*Jun 12 22:04:11.862: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
*Jun 12 22:06:02.902: %LINK-3-UPDOWN: Interface Loopback0, changed state to up
*Jun 12 22:06:03.902: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
*Jun 12 22:09:18.210: %LINK-3-UPDOWN: Interface Loopback0, changed state to up 
*Jun 12 22:09:19.210: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
*Jun 12 22:35:55.926: %LINK-3-UPDOWN: Interface Loopback0, changed state to up
*Jun 12 22:35:56.926: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
R1# show logging | begin Jun 12 22:35
*Jun 12 22:35:46.206: %LINK-5-CHANGED: Interface Loopback0, changed state to administratively down
*Jun 12 22:35:47.206: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to down
*Jun 12 22:35:55.926: %LINK-3-UPDOWN: Interface Loopback0, changed state to up
*Jun 12 22:35:56.926: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
*Jun 12 22:49:52.122: %SYS-5-CONFIG_I: Configured from console by console
*Jun 12 23:15:48.418: %SYS-5-CONFIG_I: Configured from console by console
R1#

8.1.2. SNMP werking

8.2.1.1. Inleiding tot SNMP

Simpel Network Management (SNMP)

SNMP is ontwikkeld om beheerders in staat te stellen knooppunten, zoals servers, werkstations, routers, switches en beveiligingsapparatuur, op een IP-netwerk te beheren. Het stelt netwerkbeheerders in staat om de netwerkprestaties te beheren, netwerkproblemen op te sporen en op te lossen en netwerkgroei te plannen.

SNMP is een applicatielaagprotocol dat een berichtindeling biedt voor communicatie tussen managers en agenten. Het SNMP-systeem bestaat uit drie elementen:

  • SNMP-manager
  • SNMP-agents (beheerd knooppunt)
  • Management Informatie Basis (MIB)

Om SNMP op een netwerkapparaat te configureren, moet eerst de relatie tussen de manager en de agent worden gedefinieerd.

De SNMP-manager is onderdeel van een netwerkbeheersysteem (NMS). De SNMP-manager voert SNMP-beheersoftware uit. Zoals te zien is in de afbeelding, kan de SNMP-manager informatie verzamelen van een SNMP-agent met behulp van de actie “get” en kan configuraties op een agent wijzigen met de actie “set”. Bovendien kunnen SNMP-agenten informatie rechtstreeks doorsturen naar een NMS met behulp van “traps”.

Simple Network Management Protocol

De SNMP-agent en MIB bevinden zich op netwerkapparaatclients. Netwerkapparaten die moeten worden beheerd, zoals switches, routers, servers, firewalls en werkstations, zijn uitgerust met een SMNP-agentsoftwaremodule. MIB’s slaan gegevens op over de werking van het apparaat en zijn bedoeld om beschikbaar te zijn voor geverifieerde externe gebruikers. De SNMP-agent is verantwoordelijk voor het verlenen van toegang tot de lokale MIB van objecten die bronnen en activiteit weerspiegelt.

SNMP definieert hoe beheerinformatie wordt uitgewisseld tussen netwerkbeheertoepassingen en beheeragenten. SNMP gebruikt UDP, poortnummer 162, om managementinformatie op te halen en te verzenden.

8.2.1.2. SNMP werking

SNMP-agents die zich op beheerde apparaten bevinden, verzamelen en bewaren informatie over het apparaat en de werking ervan. Deze informatie wordt door de agent lokaal in de MIB opgeslagen. De SNMP-manager gebruikt vervolgens de SNMP-agent om toegang te krijgen tot informatie binnen de MIB.

Er zijn twee primaire SNMP-managerverzoeken, ophalen en instellen. Een get-verzoek wordt door de NMS gebruikt om het apparaat naar gegevens te vragen. Een ingesteld verzoek wordt door de NMS gebruikt om configuratievariabelen in het agentapparaat te wijzigen. Een set request kan ook acties initiëren binnen een device. Een set kan er bijvoorbeeld voor zorgen dat een router opnieuw opstart, een configuratiebestand verzendt of een configuratiebestand ontvangt. De SNMP-manager gebruikt de acties Get en Set om de bewerkingen uit te voeren die worden beschreven in de volgende tabel.

OperatieBeschrijving
get-requestHaalt een waarde op uit een specifieke variabele.
get-next-requestHaalt een waarde op uit een variabele in een tabel; de SNMP-manager hoeft de exacte variabelenaam niet te weten. Er wordt een sequentiële zoekopdracht uitgevoerd om de benodigde variabele in een tabel te vinden.
get-bulk-requestHaalt grote gegevensblokken op, zoals meerdere rijen in een tabel, waarvoor anders veel kleine gegevensblokken zouden moeten worden verzonden. (Werkt alleen met SNMPv2 of hoger.)
get-responseAntwoorden op een get-request, get-next-request en set-request verzonden door een NMS.
set-requestSlaat een waarde op in een specifieke variabele.

De SNMP-agent reageert als volgt op verzoeken van SNMP-manager:

  • Een MIB-variabele ophalen – De SNMP-agent voert deze functie uit als reactie op een GetRequest-PDU van de NMS. De agent haalt de waarde van de gevraagde MIB-variabele op en reageert met die waarde op de NMS.
  • Stel een MIB-variabele in – De SNMP-agent voert deze functie uit als reactie op een SetRequest-PDU van de NMS. De SNMP-agent wijzigt de waarde van de MIB-variabele in de waarde die is opgegeven door de NMS. Een antwoord van een SNMP-agent op een ingesteld verzoek bevat de nieuwe instellingen in het apparaat.

Onderstaande afbeelding illustreert het gebruik van een SNMP GetRequest om te bepalen of interface G0/0 up/up is.

SNMP Get Request

8.2.1.3. SNMP agent traps

Een NMS bevraagt ​​periodiek de SNMP-agenten die zich op beheerde apparaten bevinden, door het apparaat naar gegevens te vragen met behulp van het get-verzoek. Met behulp van dit proces kan een netwerkbeheertoepassing informatie verzamelen om de verkeersbelasting te bewaken en om apparaatconfiguraties van beheerde apparaten te verifiëren. De informatie kan worden weergegeven via GUI op het NMS. Er kunnen gemiddelden, minima of maxima worden berekend, de gegevens kunnen in grafieken worden weergegeven of er kunnen drempels worden ingesteld om een ​​meldingsproces te starten wanneer de drempels worden overschreden. Een NMS kan bijvoorbeeld het CPU-gebruik van een Cisco-router bewaken. De SNMP-manager bemonstert de waarde periodiek en presenteert deze informatie in een grafiek die de netwerkbeheerder kan gebruiken bij het maken van een baseline.

Periodieke SNMP-peiling heeft wel nadelen. Ten eerste is er een vertraging tussen het moment dat een gebeurtenis plaatsvindt en het moment waarop deze wordt opgemerkt (via polling) door de NMS. Ten tweede is er een wisselwerking tussen pollingfrequentie en bandbreedtegebruik.

Om deze nadelen te ondervangen, is het voor SNMP-agenten mogelijk om traps te genereren en te verzenden om de NMS onmiddellijk op de hoogte te stellen van bepaalde gebeurtenissen. Traps zijn ongevraagde berichten die de SNMP-manager waarschuwen voor een toestand of gebeurtenis op het netwerk. Voorbeelden van trap-condities omvatten, maar zijn niet beperkt tot, onjuiste gebruikersauthenticatie, herstarten, linkstatus (omhoog of omlaag), MAC-adres volgen, sluiten van een TCP-verbinding, verlies van verbinding met een buur of andere belangrijke gebeurtenissen. Trap-gerichte meldingen verminderen de netwerk- en agentbronnen doordat sommige SNMP-pollingverzoeken niet meer nodig zijn.

De volgende afbeelding illustreert het gebruik van een SNMP-trap om de netwerkbeheerder te waarschuwen dat interface G0/0 is mislukt. De NMS-software kan de netwerkbeheerder een sms-bericht sturen, een venster op de NMS-software laten verschijnen of het routerpictogram rood maken in de NMS GUI.

SNMP Trap

De uitwisseling van alle SNMP-berichten wordt geïllustreerd in volgende afbeelding.

SNMP Operaties

8.2.1.4. SNMP versies

Er zijn verschillende versies van SNMP, waaronder:

  • SNMPv1 – Het Simple Network Management Protocol, een volledige internetstandaard, gedefinieerd in RFC 1157.
  • SNMPv2c – Gedefinieerd in RFC’s 1901 tot 1908; maakt gebruik van een community-string-gebaseerd administratief raamwerk.
  • SNMPv3 – Interoperabel, op standaarden gebaseerd protocol dat oorspronkelijk is gedefinieerd in RFC’s 2273 tot 2275; biedt veilige toegang tot apparaten door pakketten via het netwerk te verifiëren en te versleutelen. Het bevat de volgende beveiligingsfuncties: berichtintegriteit om ervoor te zorgen dat er tijdens het transport niet met een pakket is geknoeid; authenticatie om te bepalen of het bericht afkomstig is van een geldige bron en encryptie om te voorkomen dat de inhoud van een bericht wordt gelezen door een ongeautoriseerde bron.

Alle versies gebruiken SNMP-managers, agenten en MIB’s. Cisco IOS-software ondersteunt de bovenstaande drie versies. Versie 1 is een verouderde oplossing en komt tegenwoordig niet vaak voor in netwerken; daarom richt deze cursus zich op de versies 2c en 3.

Zowel SNMPv1 als SNMPv2c gebruiken een community-based vorm van beveiliging. De community van managers die toegang hebben tot de MIB van de agent, wordt gedefinieerd door een ACL en wachtwoord.

In tegenstelling tot SNMPv1 bevat SNMPv2c een mechanisme voor het in bulk ophalen van berichten en een meer gedetailleerde rapportage van foutmeldingen aan beheerstations. Het bulkophaalmechanisme haalt tabellen en grote hoeveelheden informatie op, waardoor het aantal benodigde retourvluchten wordt geminimaliseerd. De verbeterde foutafhandeling van SNMPv2c omvat uitgebreide foutcodes die verschillende soorten foutcondities onderscheiden. Deze voorwaarden worden gerapporteerd via een enkele foutcode in SNMPv1. Foutretourcodes in SNMPv2c bevatten het fouttype.

Opmerking: SNMPv1 en SNMPv2c bieden minimale beveiligingsfuncties. Met name SNMPv1 en SNMPv2c kunnen de bron van een beheerbericht niet verifiëren en evenmin codering bieden. SNMPv3 wordt momenteel het meest beschreven in RFC’s 3410 tot 3415. Het voegt methoden toe om de veilige overdracht van kritieke gegevens tussen beheerde apparaten te garanderen.

SNMPv3 biedt zowel beveiligingsmodellen als beveiligingsniveaus. Een beveiligingsmodel is een authenticatiestrategie die is opgezet voor een gebruiker en de groep waarbinnen de gebruiker zich bevindt. Een beveiligingsniveau is het toegestane beveiligingsniveau binnen een beveiligingsmodel. Een combinatie van het beveiligingsniveau en het beveiligingsmodel bepaalt welk beveiligingsmechanisme wordt gebruikt bij het afhandelen van een SNMP-pakket. Beschikbare beveiligingsmodellen zijn SNMPv1, SNMPv2c en SNMPv3.

De volgende tabel identificeert de kenmerken van de verschillende combinaties van beveiligingsmodellen en niveaus.

ModelNiveauAuthenticatieEncryptieResultaat
SNMPv1noAuthNoPrivCommunity stringNoGebruikt een community-tekenreeksovereenkomst voor authenticatie.
SNMPv2cnoAuthNoPrivCommunity stringNoGebruikt een community-tekenreeksovereenkomst voor authenticatie.
SNMPv3noAuthNoPrivUsernameNoGebruikt een gebruikersnaamovereenkomst voor authenticatie (een verbetering ten opzichte van SNMPv2c).
SNMPv3authNoPrivMessage Digest 5 (MD5) or Secure Hash Algorithm (SHA)NoBiedt authenticatie op basis van de HMAC-MD5- of HMAC-SHA-algoritmen.
SNMPv3authPriv (requires the cryptographic software image)MD5 or SHAData Encryption Standard (DES) or Advanced Encryption Standard (AES)Biedt authenticatie op basis van de HMAC-MD5- of HMAC-SHA-algoritmen. Hiermee kan het User-based Security Model (USM) worden gespecificeerd met deze coderingsalgoritmen: DES 56-bits codering naast authenticatie op basis van de CBC-DES (DES-56)-standaard.3DES 168-bits coderingAES 128-bits, 192-bits , of 256-bits codering

Een netwerkbeheerder moet de SNMP-agent configureren om de SNMP-versie te gebruiken die door het beheerstation wordt ondersteund. Omdat een agent met meerdere SNMP-managers kan communiceren, is het mogelijk om de software te configureren om communicatie te ondersteunen met SNMPv1, SNMPv2c of SNMPv3.

8.2.1.5. Communitystrings

Om SNMP te laten werken, moet de NMS toegang hebben tot de MIB. Om ervoor te zorgen dat toegangsverzoeken geldig zijn, moet er een vorm van authenticatie zijn.

SNMPv1 en SNMPv2c gebruiken community-strings die de toegang tot de MIB regelen. Community-strings zijn wachtwoorden in platte tekst. SNMP-communitystrings verifiëren de toegang tot MIB-objecten.

Er zijn twee soorten community-strings:

  • Read-only (ro) – Biedt toegang tot de MIB-variabelen, maar staat niet toe dat deze variabelen worden gewijzigd, alleen gelezen. Omdat de beveiliging minimaal is in versie 2c, gebruiken veel organisaties SNMPv2c in alleen-lezen modus.
  • Read-write (rw) – Biedt lees- en schrijftoegang tot alle objecten in de MIB.

Om MIB-variabelen te bekijken of in te stellen, moet de gebruiker de juiste communitystring voor lees- of schrijftoegang specificeren. Bekijk volgende animatie om te zien hoe SNMP werkt met de communitystring.

ISP Management Network

Opmerking: wachtwoorden in platte tekst worden niet als een beveiligingsmechanisme beschouwd. Dit komt omdat wachtwoorden in platte tekst zeer kwetsbaar zijn voor man-in-the-middle-aanvallen, waarbij ze worden gecompromitteerd door het vastleggen van pakketten.

8.2.1.6.Managementinformatie Basisobject-ID

De MIB organiseert variabelen hiërarchisch. Met MIB-variabelen kan de beheersoftware het netwerkapparaat bewaken en besturen. Formeel definieert de MIB elke variabele als een object-ID (OID). OID’s identificeren op unieke wijze beheerde objecten in de MIB-hiërarchie. De MIB organiseert de OID’s op basis van RFC-standaarden in een hiërarchie van OID’s, meestal weergegeven als een boom.

De MIB-structuur voor een bepaald apparaat bevat enkele vertakkingen met variabelen die voor veel netwerkapparaten gelden en enkele vertakkingen met variabelen die specifiek zijn voor dat apparaat of die leverancier.

RFC’s definiëren enkele algemene openbare variabelen. De meeste apparaten implementeren deze MIB-variabelen. Bovendien kunnen leveranciers van netwerkapparatuur, zoals Cisco, hun eigen privétakken van de boom definiëren om rekening te houden met nieuwe variabelen die specifiek zijn voor hun apparaten. Afbeelding 1 toont delen van de MIB-structuur die is gedefinieerd door Cisco Systems, Inc. Merk op hoe de OID kan worden beschreven in woorden of cijfers om een ​​bepaalde variabele in de boomstructuur te lokaliseren. OID’s van Cisco, zoals weergegeven in volgende afbeelding, zijn als volgt genummerd: .iso (1).org (3).dod (6).internet (1).private (4).enterprises (1).cisco (9 ). Dit wordt weergegeven als 1.3.6.1.4.1.9.

Mangement Information Base Object ID

Omdat de CPU een van de belangrijkste bronnen is, moet deze continu worden gemeten. CPU-statistieken moeten op het NMS worden samengesteld en in een grafiek worden weergegeven. Door het CPU-gebruik over een langere periode te observeren, kan de beheerder een basisschatting maken voor het CPU-gebruik. Drempelwaarden kunnen dan relatief ten opzichte van deze basislijn worden ingesteld. Wanneer het CPU-gebruik deze drempel overschrijdt, worden er meldingen verzonden. Een SNMP-grafiektool kan periodiek SNMP-agenten, zoals een router, pollen en de verzamelde waarden in een grafiek weergeven. De volgende afbeelding illustreert voorbeelden van 5 minuten van het CPU-gebruik van de router gedurende een periode van enkele weken.

SNMP grafiek

De gegevens worden opgehaald via het hulpprogramma snmpget, uitgegeven op de NMS. Met behulp van het snmpget-hulpprogramma kan men handmatig waarden verkrijgen voor het gemiddelde van het CPU-bezetpercentage. Het snmpget-hulpprogramma vereist dat de SNMP-versie, de juiste community, het IP-adres van het netwerkapparaat dat moet worden opgevraagd en het OID-nummer zijn ingesteld. Afbeelding 3 toont het gebruik van het freeware-hulpprogramma snmpget, waarmee snel informatie uit de MIB kan worden opgehaald.

De volgende afbeelding toont een vrij lang commando met verschillende parameters, waaronder:

  • -v2c – versie van SNMP
  • -c community – SNMP-wachtwoord, een community-string genoemd
  • 10.250.250.14 – IP-adres van bewaakt apparaat
  • 1.3.6.1.4.1.9.2.1.58.0 – OID van MIB-variabele
snmpget hulpprogramma

De laatste regel geeft het antwoord weer. De uitvoer toont een verkorte versie van de MIB-variabele. Vervolgens wordt de werkelijke waarde weergegeven op de MIB-locatie. In dit geval is het 5 minuten durende exponentiële voortschrijdend gemiddelde van het CPU-bezetpercentage 11 procent. Het hulpprogramma geeft enig inzicht in de basismechanica van hoe SNMP werkt. Het werken met lange namen van MIB-variabelen zoals 1.3.6.1.4.1.9.2.1.58.0 kan echter problematisch zijn voor de gemiddelde gebruiker. Vaker gebruikt het netwerkbeheerspersoneel een netwerkbeheerproduct met een gebruiksvriendelijke GUI, waarbij de volledige naamgeving van MIB-gegevensvariabelen transparant is voor de gebruiker.

Met de Cisco SNMP Navigator-website kan een netwerkbeheerder details over een bepaalde OID onderzoeken. De volgende afbeelding toont een voorbeeld van een configuratiewijziging op een Cisco 2960-switch.

Cisco SNMP navigator

8.2.2. SNMP configureren

8.2.2.1. Stappen voor het configureren van SNMP

Een netwerkbeheerder kan SNMPv2 configureren om netwerkinformatie van netwerkapparaten te verkrijgen. Zoals te zien is in de volgende afbeelding, bevinden de basisstappen voor het configureren van SNMP zich allemaal in de algemene configuratiemodus.

R1(config)# snmp-server community batonaug ro SNMP_ACL
R1(config)# snmp-server location NOC_SNMP_MANAGER
R1(config)# snmp-server contact Wayne World
R1(config)# snmp-server host 192.168.1.3 version 2c batonaug
R1(config)# snmp-server enable traps
R1(config)# ip access-list standard SNMP_ACL
R1(config-std-nacl)# permit 192.168.1.3

Stap 1. (Vereist) Configureer de community string en het toegangsniveau (alleen-lezen of lezen-schrijven) met de snmp-server community string ro | rw opdracht.

Stap 2. (Optioneel) Documenteer de locatie van het apparaat met behulp van de snmp-server location text opdracht.

Stap 3. (Optioneel) Documenteer het systeemcontact met behulp van de snmp-server contact text opdracht.

Stap 4. (Optioneel) Beperk SNMP-toegang tot NMS-hosts (SNMP-managers) die zijn toegestaan ​​door een ACL: definieer de ACL en verwijs vervolgens naar de ACL met de snmp-server community string access-list-number-or-name opdracht. Deze opdracht kan zowel worden gebruikt om een ​​communitystring op te geven als om SNMP-toegang via ACL’s te beperken. Stap 1 en Stap 4 kunnen desgewenst worden gecombineerd tot één stap; het Cisco-netwerkapparaat combineert de twee opdrachten in één als ze afzonderlijk worden ingevoerd.

Stap 5. (Optioneel) Specificeer de ontvanger van de SNMP trap-bewerkingen met de snmp-server host host-id [version{1| 2c | 3 [auth | noauth | priv]}] community-string opdracht. Standaard is er geen trapmanager gedefinieerd.

Stap 6. (Optioneel) Schakel traps in op een SNMP-agent met de opdracht snmp-server enable traps notification-types. Als er geen trap-meldingstypen zijn opgegeven in deze opdracht, worden alle trap-typen verzonden. Herhaald gebruik van deze opdracht is vereist als een bepaalde subset van traptypes gewenst is.

Opmerking: SNMP heeft standaard geen traps ingesteld. Zonder deze opdracht moeten SNMP-managers alle relevante informatie opvragen.

8.2.2.2. SNMP-configuratie verifiëren

Er zijn verschillende softwareoplossingen voor het bekijken van SNMP-uitvoer. Voor onze doeleinden geeft de Kiwi Syslog-server SNMP-berichten weer die zijn gekoppeld aan SNMP-traps.

PC1 en R1 zijn geconfigureerd om uitvoer op een SNMP-manager te demonstreren met betrekking tot SNMP-traps.

Zoals te zien is in de volgende afbeelding, wordt aan PC1 het IP-adres 192.168.1.3/24 toegewezen. De Kiwi Syslog Server is geïnstalleerd op PC1.

R1(config)# snmp-server community batonaug ro SNMP_ACL
R1(config)# snmp-server location NOC_SNMP_MANAGER
R1(config)# snmp-server contact Wayne World
R1(config)# snmp-server host 192.168.1.3 version 2c batonaug
R1(config)# snmp-server enable traps
R1(config)# ip access-list standard SNMP_ACL
R1(config-std-nacl)# permit 192.168.1.3

Nadat R1 is geconfigureerd, worden de SNMP-traps naar de SNMP-manager gestuurd wanneer zich een gebeurtenis voordoet die kwalificeert als een trap. Als er bijvoorbeeld een interface verschijnt, wordt er een trap naar de server gestuurd. Configuratiewijzigingen op de router zorgen er ook voor dat SNMP-traps naar de SNMP-manager worden verzonden. Een lijst met meer dan 60 soorten trapmeldingen kan worden bekeken met de snmp-server enable traps ? opdracht. In de configuratie van R1 zijn er geen typen trapmeldingen gespecificeerd in de opdracht snmp-server enable traps notification-types, dus alle traps worden verzonden.

In de volgende afbeelding is een selectievakje aangevinkt in het Setup-menu om aan te geven dat de netwerkbeheerder wil dat SNMP-managersoftware luistert naar SNMP-traps op UDP-poort 162.

SNMP manger setup

In onderstaande afbeelding geeft de bovenste rij van de weergegeven SNMP-trap-uitgang aan dat interface GigabitEthernet0/0 van status is veranderd naar hoger. Ook wordt elke keer dat de globale configuratiemodus wordt geopend vanuit de bevoorrechte EXEC-modus, een trap ontvangen door de SNMP-manager, zoals weergegeven in de gemarkeerde rij.

SNMP Manager-berichtweergave

Om de SNMP-configuratie te verifiëren, gebruikt u een van de varianten van de opdracht show snmp privileged EXEC-modus. De handigste opdracht is gewoon het commando show snmp, omdat het de informatie weergeeft die gewoonlijk van belang is bij het onderzoeken van de SNMP-configuratie. Tenzij er een betrokken SNMPv3-configuratie is, geven de andere opdrachtopties voor het grootste deel alleen geselecteerde delen van de uitvoer van de opdracht show snmp weer. De volgende code geeft een voorbeeld van show snmp-uitvoer.

R1# show snmp
Chassis: FTX1636848Z
Contact: Wayne World
Location: NOC_SNMP_MANAGER
0 SNMP packets input
    0 Bad SNMP version errors
    0 Unknown community name
    0 Illegal operation for community name supplied
    0 Encoding errors
    0 Number of requested variables
    0 Number of altered variables
    0 Get-request PDUs
    0 Get-next PDUs
    0 Set-request PDUs
    0 Input queue packet drops (Maximum queue size 1000)
19 SNMP packets output
    0 Too big errors (Maximum packet size 1500)
    0 No such name errors
    0 Bad values errors
    0 General errors
    0 Response PDUs
    19 Trap PDUs
SNMP Dispatcher:
   queue 0/75 (current/max), 0 dropped
SNMP Engine:
   queue 0/1000 (current/max), 0 dropped

SNMP logging: enabled
    Logging to 192.168.1.3.162, 0/10, 19 sent, 0 dropped.

De uitvoer van de opdracht show snmp geeft geen informatie weer met betrekking tot de SNMP-communitystring of, indien van toepassing, de bijbehorende ACL. Het volgend voorbeeld geeft de SNMP-communitystring en ACL-informatie weer met de opdracht show snmp community.

R1# show snmp community

Community name: ILMI
Community Index: cisco0
Community SecurityName: ILMI
storage-type: read-only              active

Community name: batonaug
Community Index: cisco7
Community SecurityName: batonaug
storage-type: nonvolatile            active       access-list: SNMP_ACL

Community name: batonaug@1
Community Index: cisco8
Community SecurityName: batonaug@1
storage-type: nonvolatile            active       access-list: SNMP_ACL

8.2.2.3. Best practices voor beveiliging

Hoewel SNMP erg handig is voor monitoring en probleemoplossing, zoals weergegeven in de afbeelding, kan het ook beveiligingsproblemen veroorzaken. Houd daarom rekening met best practices op het gebied van beveiliging voordat u SNMP implementeert.

Zowel SNMPv1 als SNMPv2c vertrouwen op SNMP-communitystrings in platte tekst om toegang tot MIB-objecten te verifiëren. Deze community-strings moeten, zoals bij alle wachtwoorden, zorgvuldig worden gekozen om ervoor te zorgen dat ze niet te gemakkelijk te kraken zijn. Bovendien moeten community-strings met regelmatige tussenpozen en in overeenstemming met het netwerkbeveiligingsbeleid worden gewijzigd. De strings moeten bijvoorbeeld worden gewijzigd wanneer een netwerkbeheerder van rol verandert of het bedrijf verlaat. Als SNMP alleen wordt gebruikt om apparaten te bewaken, gebruik dan alleen-lezen communities.

Zorg ervoor dat SNMP-berichten niet buiten de beheerconsoles worden verspreid. ACL’s moeten worden gebruikt om te voorkomen dat SNMP-berichten verder gaan dan de vereiste apparaten. ACL moet ook worden gebruikt op de bewaakte apparaten om de toegang alleen voor beheersystemen te beperken.

SNMPv3 wordt aanbevolen omdat het beveiligingsverificatie en codering biedt. Er zijn een aantal andere opdrachten voor de globale configuratiemodus die een netwerkbeheerder kan implementeren om te profiteren van de ondersteuning voor authenticatie en versleuteling in SNMPv3:

  • De snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}} opdracht maakt een nieuwe SNMP-groep op het apparaat aan.
  • De snmp-server user username groupname v3 [encrypted] [auth {md5 | shaauth-password] [priv {des | 3des | aes {128 | 192 | 256}} priv-password] opdracht wordt gebruikt om een ​​nieuwe gebruiker toe te voegen aan de SNMP-groep die is opgegeven in de opdracht snmp-server group groupname.

Opmerking: SNMPv3-configuratie valt buiten het bestek van de CCNA-curricula.

8.3. NetFlow

8.3.1. Werking NetFlow

8.3.1.1. Introductie van NetFlow

NetFlow is een Cisco IOS-technologie die statistieken biedt over pakketten die door een Cisco-router of meerlaagse switch stromen. NetFlow is de standaard voor het verzamelen van operationele IP-gegevens van IP-netwerken.

Historisch gezien werd NetFlow-technologie ontwikkeld omdat netwerkprofessionals een eenvoudige en efficiënte methode nodig hadden om TCP/IP-stromen in het netwerk te volgen, en SNMP was niet voldoende voor deze doeleinden. Terwijl SNMP probeert een zeer breed scala aan netwerkbeheerfuncties en -opties te bieden, is NetFlow gericht op het leveren van statistieken over IP-pakketten die door netwerkapparaten stromen.

NetFlow levert gegevens om netwerk- en beveiligingsmonitoring, netwerkplanning, verkeersanalyse met inbegrip van identificatie van netwerkknelpunten en IP-accounting voor factureringsdoeleinden mogelijk te maken. In de afbeelding maakt pc 1 bijvoorbeeld verbinding met pc 2 met behulp van een toepassing zoals HTTPS. NetFlow kan die applicatieverbinding, trackingbyte en pakketaantallen voor die individuele applicatiestroom bewaken. Het stuurt de statistieken vervolgens naar een externe server, een NetFlow-collector genaamd.

NetFlow in het netwerk

NetFlow is een monitoringstandaard geworden en wordt nu breed ondersteund in de netwerkindustrie.

Flexibel NetFlow is de nieuwste NetFlow-technologie. Flexible NetFlow is een verbetering van “originele NetFlow” door de mogelijkheid toe te voegen om de verkeersanalyseparameters aan te passen aan de specifieke vereisten van een netwerkbeheerder. Flexibele NetFlow maakt het mogelijk om complexere configuraties te maken voor verkeersanalyse en gegevensexport door het gebruik van herbruikbare configuratiecomponenten.

Flexible NetFlow gebruikt het exportformaat van versie 9. Het onderscheidende kenmerk van het NetFlow Versie 9-exportformaat is dat het op sjablonen is gebaseerd. Sjablonen bieden een uitbreidbaar ontwerp voor het recordformaat, een functie die toekomstige verbeteringen aan NetFlow-services mogelijk maakt zonder gelijktijdige wijzigingen in het basisstroom-recordformaat. Het is belangrijk op te merken dat veel nuttige Flexible NetFlow-opdrachten zijn geïntroduceerd met Cisco IOS versie 15.1.

8.3.1.2. NetFlow begrijpen

Er zijn veel mogelijke toepassingen van de statistieken die NetFlow biedt; de meeste organisaties gebruiken NetFlow echter voor enkele of alle van de volgende belangrijke gegevensverzamelingsdoeleinden:

  • Meten wie welke netwerkbronnen voor welk doel gebruikt.
  • Boeking en terugboeking volgens het gebruiksniveau van de middelen.
  • De gemeten informatie gebruiken om een ​​effectievere netwerkplanning uit te voeren, zodat de toewijzing en implementatie van middelen goed is afgestemd op de eisen van de klant.
  • De informatie gebruiken om de set van beschikbare applicaties en services beter te structureren en aan te passen aan de behoeften van gebruikers en klantenservice.

Bij het vergelijken van de functionaliteit van SNMP met NetFlow, kan een analogie voor SNMP software voor afstandsbediening van een onbemand voertuig zijn; terwijl een analogie voor NetFlow een eenvoudige, maar gedetailleerde telefoonrekening is. Telefoongegevens bieden call-by-call en geaggregeerde statistieken waarmee de persoon die de rekening betaalt, lange gesprekken, frequente gesprekken of gesprekken die niet hadden mogen worden gevoerd, kan bijhouden.

Trafiekgegevens verzamelen met NetFlow

In tegenstelling tot SNMP gebruikt NetFlow een “push-based” model. De collector luistert gewoon naar NetFlow-verkeer en de netwerkapparaten zijn verantwoordelijk voor het verzenden van NetFlow-gegevens naar de collector, op basis van wijzigingen in hun stroomcache. Een ander verschil tussen NetFlow en SNMP is dat NetFlow alleen verkeersstatistieken verzamelt, zoals weergegeven in de afbeelding, terwijl SNMP ook veel andere prestatie-indicatoren kan verzamelen, zoals interfacefouten, CPU-gebruik en geheugengebruik. Aan de andere kant zijn de verkeersstatistieken die met NetFlow worden verzameld, veel gedetailleerder dan de verkeersstatistieken die kunnen worden verzameld met SNMP.

Opmerking: Verwar het doel en de resultaten van NetFlow niet met die van hardware en software voor het vastleggen van pakketten. Terwijl packet captures alle mogelijke informatie vastleggen die een netwerkapparaat verlaat of binnenkomt voor latere analyse, richt NetFlow zich op specifieke statistische informatie.

Toen Cisco NetFlow wilde creëren, vormden twee belangrijke criteria een leidraad bij de totstandkoming ervan:

  • NetFlow moet volledig transparant zijn voor de applicaties en apparaten in het netwerk.
  • NetFlow hoeft niet op alle apparaten in het netwerk te worden ondersteund en te draaien om te kunnen functioneren.

Het behalen van deze ontwerpcriteria zorgde ervoor dat NetFlow zeer eenvoudig te implementeren is in de meest complexe moderne netwerken.

Opmerking: Hoewel NetFlow eenvoudig te implementeren is en transparant is voor het netwerk, verbruikt het wel extra geheugen op het Cisco-apparaat, omdat NetFlow recordgegevens opslaat in de ‘cache’ op het apparaat. De standaardgrootte van deze cache varieert op basis van het platform en de beheerder kan deze waarde aanpassen.

8.3.1.3. Netwerkstromen

etFlow breekt TCP/IP-communicatie af voor het bijhouden van statistische gegevens met behulp van het concept van een stroom. Een stroom is een unidirectionele stroom van pakketten tussen een specifiek bronsysteem en een specifieke bestemming. De afbeelding toont het stromingsconcept.

Wat is een flow?

Voor NetFlow, dat is opgebouwd rond TCP/IP, worden de bron en bestemming gedefinieerd door hun IP-adressen op de netwerklaag en hun bron- en bestemmingspoortnummers van de transportlaag.

NetFlow-technologie heeft verschillende generaties gekend die meer verfijning bieden bij het definiëren van verkeersstromen, maar “originele NetFlow” onderscheiden stromen met behulp van een combinatie van zeven velden. Mocht een van deze velden in waarde verschillen van een ander pakket, dan kan veilig worden vastgesteld dat de pakketten afkomstig zijn uit verschillende stromen:

  • Bron IP adres
  • Bestemming IP Adres
  • Bronpoortnummer
  • Bestemmingspoortnummer
  • Laag 3-protocoltype
  • Type of Service (ToS)-markering
  • Logische interface invoeren

De eerste vier velden die NetFlow gebruikt om een ​​stroom te identificeren, moeten bekend zijn. De bron- en doel-IP-adressen, plus de bron- en doelpoorten, identificeren de verbinding tussen bron- en doeltoepassing. Het Layer 3-protocoltype identificeert het type header dat volgt op de IP-header (meestal TCP of UDP, maar andere opties omvatten ICMP). De ToS-byte in de IPv4-header bevat informatie over hoe apparaten QoS-regels (Quality of Service) moeten toepassen op de pakketten in die stroom.

Flexibel NetFlow ondersteunt meer opties met stroomgegevensrecords. Flexible NetFlow stelt een beheerder in staat om records te definiëren voor een Flexible NetFlow flowmonitor-cache door de door de gebruiker gedefinieerde optionele en vereiste velden op te geven om de gegevensverzameling aan te passen aan specifieke vereisten. Bij het definiëren van records voor een flexibele NetFlow-stroommonitorcache, worden ze door de gebruiker gedefinieerde records genoemd. De waarden in optionele velden worden toegevoegd aan stromen om aanvullende informatie te geven over het verkeer in de stromen. Een wijziging in de waarde van een optioneel veld creëert geen nieuwe stroom.

8.3.2. NetFlow configureren

8.3.2.1. NetFlow configureren

Om NetFlow op een router te implementeren:

Stap 1. Configureer NetFlow-gegevensregistratie – NetFlow legt gegevens vast van inkomende (inkomende) en uitgaande (uitgaande) pakketten.

Stap 2. Configureer NetFlow-gegevensexport – Het IP-adres of de hostnaam van de NetFlow-collector moet worden opgegeven en de UDP-poort waarnaar de NetFlow-collector luistert.

Stap 3. Controleer NetFlow, de werking en statistieken – Na het configureren van NetFlow kunnen de geëxporteerde gegevens worden geanalyseerd op een werkstation waarop een toepassing wordt uitgevoerd, zoals SolarWinds NetFlow Traffic Analyzer, Plixer Scrutinizer of Cisco NetFlow Collector (NFC). Minimaal kan men vertrouwen op de uitvoer van een aantal showcommando’s op de router zelf.

Enkele overwegingen bij de configuratie van NetFlow zijn:

  • Nieuwere Cisco-routers, zoals de ISR G2-serie, ondersteunen zowel NetFlow als Flexible NetFlow.
  • Nieuwere Cisco-switches, zoals de switches uit de 3560-X-serie, ondersteunen Flexible NetFlow; sommige Cisco-switches, zoals Cisco 2960 Series-switches, ondersteunen echter geen NetFlow of Flexible NetFlow.
  • NetFlow verbruikt extra geheugen. Als een Cisco-netwerkapparaat geheugenbeperkingen heeft, kan de grootte van de NetFlow-cache vooraf worden ingesteld zodat deze een kleiner aantal vermeldingen bevat. De standaardcachegrootte is afhankelijk van het platform.
  • NetFlow-softwarevereisten voor de NetFlow-collector variëren. De Scrutinizer NetFlow-software op een Windows-host vereist bijvoorbeeld 4 GB RAM en 50 GB schijfruimte.

Opmerking: de nadruk ligt hier op Cisco-routerconfiguratie van de originele NetFlow (in de Cisco-documentatie eenvoudigweg NetFlow genoemd). De configuratie van Flexible Netflow valt buiten het bestek van deze cursus.

Een NetFlow-stroom is eenrichtingsverkeer. Dit betekent dat één gebruikersverbinding met een applicatie bestaat als twee NetFlow-stromen, één voor elke richting. De gegevens definiëren die voor NetFlow moeten worden vastgelegd in de interfaceconfiguratiemodus:

  • Leg NetFlow-gegevens vast voor het bewaken van inkomende pakketten op de interface met behulp van de opdracht ip flow ingress.
  • Leg NetFlow-gegevens vast voor het bewaken van uitgaande pakketten op de interface met behulp van de opdracht ip flow egress.

Om ervoor te zorgen dat de NetFlow-gegevens naar de NetFlow-collector worden verzonden, moeten er verschillende items op de router worden geconfigureerd in de algemene configuratiemodus:

  • IP-adres en UDP-poortnummer van NetFlow-collector – Gebruik de opdracht ip flow-export destination ip-address udp-port. De collector heeft standaard een of meer poorten voor het vastleggen van NetFlow-gegevens. Met de software kan de beheerder specificeren welke poort of poorten moeten worden geaccepteerd voor NetFlow-opname. Enkele veelgebruikte toegewezen UDP-poorten zijn 99, 2055 en 9996.
  • (Optioneel) NetFlow-versie volgt bij het formatteren van de NetFlow-records die naar de collector zijn verzonden – Gebruik de opdracht ip flow-export version version. NetFlow exporteert gegevens in UDP in een van de vijf formaten (1, 5, 7, 8 en 9). Versie 9 is het meest veelzijdige formaat voor exportgegevens, maar het is niet achterwaarts compatibel met eerdere versies. Versie 1 is de standaardversie als de versie niet is gespecificeerd met Versie 5. Versie 1 mag alleen worden gebruikt als het de enige versie van het NetFlow-gegevensexportformaat is die wordt ondersteund door de NetFlow Collector-software.
  • (Optioneel) Broninterface die moet worden gebruikt als de bron van de pakketten die naar de collector worden verzonden – Gebruik de opdracht ip flow-export source typenumber.

De afbeelding toont een basis NetFlow-configuratie. Router R1 heeft IP-adres 192.168.1.1 op de G0/1-interface. De NetFlow-collector heeft het IP-adres 192.168.1.3 en is geconfigureerd om de gegevens op UDP-poort 2055 vast te leggen. Inkomend en uitgaand verkeer via G0/1 wordt gecontroleerd. NetFlow-gegevens worden verzonden in versie 5-indeling.

NetFlow routerconfiguratie
R1(config)# interface GigabitEthernet 0/1
R1(config-if)# ip flow ingress
R1(config-if)# ip flow egress
R1(config-if)# exit
R1(config)# ip flow-export destination 192.168.1.3 2055
R1(config)# ip flow-export version 5

8.3.2.2. NetFlow verifiëren

Nadat is geverifieerd dat NetFlow goed werkt, kan het verzamelen van gegevens op de NetFlow-collector beginnen. Netflow-verificatie wordt uitgevoerd door de informatie te onderzoeken die is opgeslagen op de NetFlow-collector. Controleer minimaal de lokale NetFlow-cache op een router om er zeker van te zijn dat de router de gegevens verzamelt.

NetFlow is als volgt geconfigureerd op router R1:

  • IP-adres 192.168.1.1/24 op G0/1
  • Inkomend en uitgaand verkeer gecontroleerd door NetFlow
  • NetFlow-collector op 192.168.1.3/24
  • NetFlow UDP-opnamepoort 2055
  • NetFlow versie 5 exportformaat

Om een ​​samenvatting van de NetFlow-boekhoudstatistieken weer te geven, evenals welk protocol het hoogste verkeersvolume gebruikt, en om te zien tussen welke hosts dit verkeer stroomt, gebruikt u de opdracht show ip cache flow in de EXEC- of bevoorrechte EXEC-modus van de gebruiker. Deze opdracht wordt ingevoerd op R1 om de NetFlow-configuratie te verifiëren, zoals te zien is in onderstaand voorbeeld De opdrachtuitvoer geeft aan welk protocol het hoogste verkeersvolume gebruikt en tussen welke hosts dit verkeer stroomt. De tabel in het voorbeeld beschrijft de significante velden die worden weergegeven in de cacheregels voor stroomwisseling van het scherm.

R1# show ip cache flow
IP packet size distribution (178617 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .002 .080 .008 .005 .001 .000 .001 .001 .000 .000 .000 .000 .000 .000 .000

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .000 .000 .000 .895 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  5 active, 4091 inactive, 1573 added
  18467 ager polls, 0 flow alloc failures
  Active flows timeout in 1 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
  5 active, 1019 inactive, 1569 added, 1569 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol       Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------       Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet         3      0.0         3    50      0.0       1.0      15.0
TCP-WWW          245      0.0         6    93      0.0       0.3       2.4
TCP-other        529      0.0        27    57      0.2       0.7       6.2
UDP-other        328      0.0         6   107      0.0       2.4      15.3
ICMP             711      0.0       226  1261      2.4       0.2      15.4
Total:          1816      0.0        98  1137      2.7       0.8      11.0

SrcIf         SrcIPaddress    DstIf     DstIPaddress    Pr SrcP DstP  Pkts
G0/1          192.168.1.3     Local     192.168.1.1     06 100B 01BB     1 
G0/1          192.168.1.3     Local     192.168.1.1     01 0000 0303     1 
G0/1          192.168.1.3     Local     192.168.1.1     01 0000 0800     1 

De uitvoer bovenaan het scherm bevestigt dat de router gegevens verzamelt. Het eerste gemarkeerde item vermeldt een telling van 178.617 pakketten die worden gecontroleerd door NetFlow. Het einde van de uitvoer toont statistieken over drie stromen, waarvan de gemarkeerde overeenkomt met een actieve HTTPS-verbinding tussen de NetFlow-collector en R1. Het toont ook de bronpoort (SrcP) en de bestemmingspoort (DstP) in hexadecimaal.

Opmerking: Hexadecimaal 01BB is gelijk aan decimaal 443, de bekende TCP-poort voor HTTPS.

De volgende tabel beschrijft de significante velden in de cache-regels voor stroomomschakeling van de uitvoer van de opdracht show ip cache flow.

VeldBeschrijving
bytesAantal bytes geheugen dat wordt gebruikt door de NetFlow Cache.
activeAantal actieve stromen in de NetFlow-cache op het moment dat deze opdracht is ingevoerd.
inactiveAantal stroombuffers dat is toegewezen in de NetFlow-cache, maar momenteel niet aan een specifieke stroom is toegewezen op het moment dat deze opdracht is ingevoerd.

De volgende tabel beschrijft de significante velden in de activiteit door protocolregels van de show ip cache flow opdrachtuitvoer.

OperatieBeschrijving
ProtocolIP-protocol en het bekende poortnummer.
Total FlowsAantal stromen in de cache voor dit protocol sinds de laatste keer dat de statistieken zijn gewist.
Flows/SecGemiddeld aantal stromen voor dit protocol per seconde; gelijk aan de totale stromen gedeeld door het aantal seconden voor deze samenvattingsperiode.
Packets/FlowGemiddeld aantal pakketten voor de stromen voor dit protocol; gelijk aan het totale aantal pakketten voor dit protocol gedeeld door het aantal stromen voor dit protocol voor deze samenvattingsperiode.
Bytes/PktGemiddeld aantal bytes voor de pakketten voor dit protocol; gelijk aan het totaal aantal bytes voor dit protocol gedeeld door het totale aantal pakketten voor dit protocol voor deze samenvattingsperiode.
Packets/SecGemiddeld aantal pakketten voor dit protocol per seconde; gelijk aan het totale aantal pakketten voor dit protocol gedeeld door het totale aantal seconden voor deze samenvattingsperiode.
Active(Sec)/FlowAantal seconden vanaf het eerste pakket tot het laatste pakket van een verlopen stroom gedeeld door het aantal totale stromen voor dit protocol voor deze samenvattingsperiode.
Idle(Sec)/FlowAantal seconden waargenomen vanaf het laatste pakket in elke niet-verlopen stroom voor dit protocol tot het moment waarop de opdracht show ip cache verbose flow werd ingevoerd gedeeld door het totale aantal stromen voor dit protocol voor deze samenvattingsperiode.

Volgende tabel beschrijft de significante velden in de NetFlow-recordregels van de show ip cache flow opdrachtuitvoer.

OperatieBeschrijving
SrcIfInterface waarop het pakket is ontvangen
SrcIPaddressIP-adres van het apparaat dat het pakket heeft verzonden
DstIfInterface van waaruit het pakket is verzonden; als een asterisk (*) onmiddellijk volgt op het veld DstIf, is de weergegeven stroom een uitgaande stroom
DstIPaddressIP-adres van het bestemmingsapparaat
PrIP-protocol “bekend” poortnummer, weergegeven in hexadecimaal formaat
SrcPHet poortnummer van het bronprotocol in hexadecimaal
DstPHet poortnummer van het bestemmingsprotocol in hexadecimaal
PktsAantal pakketten dat door deze stroom is geschakeld

Hoewel de uitvoer van de show ip cache flow opdracht bevestigt dat de router gegevens verzamelt, moet u de show ip flow interface opdracht gebruiken om ervoor te zorgen dat NetFlow is geconfigureerd op de juiste interfaces in de juiste richtingen, zoals weergegeven in het volgend voorbeeld.

R1# show ip flow interface
GigabitEthernet0/1
  ip flow ingress
  ip flow egress

Om de configuratie van de exportparameters te controleren, gebruikt u de opdracht show ip flow export, weergegeven in het volgend voorbeeld. De eerste gemarkeerde regel geeft aan dat NetFlow is ingeschakeld met de exportindeling van versie 5. De laatst gemarkeerde regels in het volgend voorbeeld laten zien dat 1764 stromen zijn geëxporteerd in de vorm van 532 UDP-datagrammen naar de NetFlow-collector op 192.168.1.3 via poort 2055.

R1# show ip flow export
Flow export v5 is enabled for main cache 
  Export source and destination details :
  VRF ID : Default
    Destination(1)  192.168.1.3 (2055)
  Version 5 flow records
  1764 flows exported in 532 udp datagrams
  0 flows failed due to lack of export packet
  0 export packets were sent up to process level
  0 export packets were dropped due to no fib
  0 export packets were dropped due to adjacency issues
  0 export packets were dropped due to fragmentation failures
  0 export packets were dropped due to encapsulation fixup failures

8.3.3. Verkeerspatronen onderzoeken

8.3.3.1. NetFlow Collector-functies identificeren

Een NetFlow-collector is een host waarop toepassingssoftware wordt uitgevoerd. Deze software is gespecialiseerd voor het verwerken van onbewerkte NetFlow-gegevens. Deze collector kan worden geconfigureerd om NetFlow-informatie van veel netwerkapparaten te ontvangen. NetFlow-verzamelaars verzamelen en ordenen NetFlow-gegevens zoals voorgeschreven door de netwerkbeheerder binnen de beperkingen van de software.

Op een NetFlow-collector worden de NetFlow-gegevens met bepaalde tussenpozen naar een schijf geschreven. De beheerder kan meerdere incassoschema’s of threads tegelijk uitvoeren. Er kunnen bijvoorbeeld verschillende delen van gegevens worden opgeslagen om planning versus facturering te ondersteunen; een NetFlow-collector kan eenvoudig de juiste aggregatieschema’s maken.

De volgende afbeelding illustreert een NetFlow-collector die passief luistert naar geëxporteerde NetFlow-datagrammen. Een NetFlow-collectortoepassing biedt een krachtige, gebruiksvriendelijke, schaalbare oplossing voor het verbruik van NetFlow-exportgegevens van meerdere apparaten. Het beoogde gebruik door een organisatie varieert, maar vaak is het doel het ondersteunen van kritieke stromen die verband houden met consumententoepassingen. Deze omvatten boekhouding, facturering en netwerkplanning en -bewaking.

NetFlow collector functies

Er zijn verschillende NetFlow-collectoren op de markt. Deze tools maken verkeersanalyse op het netwerk mogelijk door de top (of meest actieve) hosts, meest gebruikte applicaties en andere manieren om de verkeersgegevens te meten te tonen, zoals weergegeven in onderstaande afbeelding. Een NetFlow-collector toont de soorten verkeer (web, mail , FTP, peer-to-peer, enz.) op het netwerk, evenals de apparaten die het meeste verkeer verzenden en ontvangen. Het verzamelen van gegevens biedt een netwerkbeheerder gegevens over topsprekers, tophosts en topluisteraars. Omdat gegevens in de loop van de tijd worden bewaard, kunnen achteraf analyses van het netwerkverkeer trends in het netwerkgebruik bepalen.

NetFlow collector top talkers

Op basis van het gebruik van NetFlow-analysers kan een netwerkbeheerder het volgende identificeren:

  • Wie zijn de toppraters en met wie praten ze?
  • Welke websites worden routinematig bezocht en wat wordt er gedownload?
  • Wie genereert het meeste verkeer?
  • Is er voldoende bandbreedte om missiekritieke activiteiten te ondersteunen?
  • Wie monopoliseert de bandbreedte?

De hoeveelheid informatie die door een NetFlow-verzamelaar kan worden geanalyseerd, hangt af van de gebruikte NetFlow-versie, omdat verschillende NetFlow-exportformaten uit verschillende NetFlow-recordtypen bestaan. Een NetFlow-record bevat de specifieke informatie over het daadwerkelijke verkeer waaruit een NetFlow-stroom bestaat.

Een NetFlow-collector biedt realtime visualisatie en analyse van geregistreerde en geaggregeerde stroomgegevens. De routers en ondersteunde switches kunnen worden gespecificeerd, evenals het aggregatieschema en het tijdsinterval om gegevens op te slaan voorafgaand aan de volgende periodieke analyse. Men kan de gegevens sorteren en visualiseren op een manier die voor de gebruikers zinvol is: staafdiagrammen, cirkeldiagrammen of histogrammen van de gesorteerde rapporten. De gegevens kunnen vervolgens worden geëxporteerd naar spreadsheets, zoals Microsoft Excel, voor meer gedetailleerde analyse, trending en rapportage.

8.3.3.2. NetFlow-analyse met een NetFlow-collector

Plixer International heeft de Scrutinizer NetFlow Analyzer-software ontwikkeld. Scrutinizer is een van de vele opties voor het vastleggen en analyseren van NetFlow-gegevens op een NetFlow-collector.

Bekijk de configuratie op uit het vorige onderwerp:

  • IP-adres 192.168.1.1/24 op G0/1
  • Inkomend en uitgaand verkeer gecontroleerd voor NetFlow
  • NetFlow-collector op 192.168.1.3/24
  • NetFlow UDP-opnamepoort 2055
  • NetFlow versie 5 exportformaat

De Scrutinizer-software is geïnstalleerd op de NetFlow-collector op 192.168.1.3/24.

De volgende afbeelding toont de software-interface bij het openen van de Scrutinizer-toepassing.

NetFlow analyse

De volgende afbeelding toont het resultaat van het klikken op het tabblad Status nadat de toepassing is gestart. De software geeft een bericht weer: Flows detected, please wait while Scrutinizer prepares the initial reports.

NetFlow analyse

De volgende afbeelding geeft na een paar minuten het statusscherm weer. Router R1 is geconfigureerd met de cisco.com-domeinnaam.

NetFlow analyse

De SNMP-configuratie uit de vorige sectie is nog steeds actief op R1. De Scrutinizer-software is geconfigureerd met de batonaug van de SNMP-gemeenschap op het tabblad Beheerdersinstellingen. Wanneer op de SNMP-link onder R1.cisco.com in het linkerdeelvenster wordt geklikt, verschijnt de weergave in de volgende afbeelding. Dit toont een basisverkeersanalyse voor R1 die via SNMPv2c naar de NetFlow-collector is gecommuniceerd. De Multi Router Traffic Grapher (MRTG) is gratis software die veel netwerkbeheerders gebruiken voor elementaire verkeersanalyse. De Scrutinizer-toepassing integreert MRTG en de grafieken in de volgende afbeelding worden geproduceerd door MRTG. De bovenste grafiek geeft inkomend verkeer weer en de onderste grafiek geeft uitgaand verkeer weer voor interface G0/1 op R1.

NetFlow analyse

Ten slotte geeft het tabblad Dashboard in de volgende afbeelding de werkelijke NetFlow-gegevens weer die zijn gerapporteerd voor Top Hosts en Top Applicaties. De Scrutinizer-software heeft tientallen van deze gadgets beschikbaar voor het weergeven van verschillende categorieën gegevens. In de volgende afbeelding is de tophost R1, met de grootste hoeveelheid verkeer tussen R1 en de NetFlow-collector. De toptoepassing is HTTPS, gevolgd door SNMP, HTTP, SSH, ICMP en NetBIOS.

NetFlow analyse

8.4. Samenvatting

De tijd op Cisco-netwerkapparaten kan worden gesynchroniseerd met NTP.

Cisco-netwerkapparaten kunnen syslog-berichten loggen in een interne buffer, de console, een terminallijn of een externe syslog-server. Een netwerkbeheerder kan de soorten berichten configureren die moeten worden verzameld en waar de berichten met tijdstempel naartoe moeten worden gestuurd.

Het SNMP-protocol heeft drie elementen: de Manager, de Agent en de MIB. De SNMP-manager bevindt zich op de NMS, terwijl de agent en de MIB op de clientapparaten staan. De SNMP Manager kan de clientapparaten voor informatie pollen, of het kan een TRAP-bericht gebruiken dat een client vertelt om onmiddellijk te rapporteren als de client een bepaalde drempel bereikt. SNMP kan ook worden gebruikt om de configuratie van een apparaat te wijzigen. SNMPv3 is de aanbevolen versie omdat het beveiliging biedt. SNMP is een uitgebreide en krachtige tool voor beheer op afstand. Bijna elk item dat beschikbaar is in een show-opdracht is beschikbaar via SNMP.

NetFlow is een Cisco IOS-technologie die de standaard is voor het verzamelen van operationele IP-gegevens van IP-netwerken. NetFlow meet efficiënt welke netwerkbronnen worden gebruikt en voor welke doeleinden. NetFlow gebruikt kopvelden om onderscheid te maken tussen gegevensstromen. NetFlow is een “push”-technologie, waarbij het clientapparaat het verzenden van gegevens naar een geconfigureerde server initieert.