Netflow è uno di quegli argomenti che mi ha sempre incuriosito ma non ho mai avuto tempo/occasione di testare e dato che anche gli ASA ora lo supporteranno è giunto il tempo di provarlo! All’ultimo PINT è stato presentato NetFlow sulla piattaforma 5580 ma dovrebbe via via scendere fino al 5510, spero anche nel 5505.

Passo 1: individuare un Netflow Collector, meglio se sotto forma di virtual machine, licenza GPL o simile. Ho scelto NTOP, che è installato su parecchie distribuzioni Linux sia in formato “live-cd” che virtual machine.

Passo 2: configurare Netflow sul router:

ip flow-export version 5
ip flow-export destination 10.0.0.102 9996 udp

Passo 3: configurare Netflow su NTOP

Dal menù “Plugins - Netflow - Configure” impostare i parametri necessari (es. UDP porta 9996), infine “Admin - Switch NIC” per impostare la visualizzazione dei dati raccolti da Netflow.


Per vedere se tutto funziona:

Sul router:
ROUTER#debug ip flow export

Sulla macchina NTOP:
tcmdump | grep 9996

9996 è la porta su cui arrivano le informazioni di Netflow dal router, personalizzabile su NTOP e sul Router.

Ora nei report di NTOP dovrebbero comparire i dati relativi ai flussi di traffico sul router.

Naturalmente possibile impostare il router a mandare le informazioni anche su IP fuori dalla LAN, p.e. per fare troubleshooting sulla rete di un cliente per traffico “anomalo”.


Update: Solardwinds distribuisce un tool gratuito per visualizzare i dati Netflow, pur con qualche limitazione.