Netflow è uno di quegli argomenti che mi ha sempre incuriosito ma non ho mai avuto tempo/occasione di testare e dato che anche gli ASA ora lo supporteranno è giunto il tempo di provarlo! All’ultimo PINT è stato presentato NetFlow sulla piattaforma 5580 ma dovrebbe via via scendere fino al 5510, spero anche nel 5505.

Passo 1: individuare un Netflow Collector, meglio se sotto forma di virtual machine, licenza GPL o simile. Ho scelto NTOP, che è installato su parecchie distribuzioni Linux sia in formato “live-cd” che virtual machine.

Passo 2: configurare Netflow sul router:

ip flow-export version 5
ip flow-export destination 10.0.0.102 9996 udp

Passo 3: configurare Netflow su NTOP

Dal menù “Plugins - Netflow - Configure” impostare i parametri necessari (es. UDP porta 9996), infine “Admin - Switch NIC” per impostare la visualizzazione dei dati raccolti da Netflow.


Per vedere se tutto funziona:

Sul router:
ROUTER#debug ip flow export

Sulla macchina NTOP:
tcmdump | grep 9996

9996 è la porta su cui arrivano le informazioni di Netflow dal router, personalizzabile su NTOP e sul Router.

Ora nei report di NTOP dovrebbero comparire i dati relativi ai flussi di traffico sul router.

Naturalmente possibile impostare il router a mandare le informazioni anche su IP fuori dalla LAN, p.e. per fare troubleshooting sulla rete di un cliente per traffico “anomalo”.


Update: Solardwinds distribuisce un tool gratuito per visualizzare i dati Netflow, pur con qualche limitazione.

Interessante questa funzione avanzata del PING sui router Cisco:

Sweep range of sizes [n]:
Allows you to vary the sizes of the echo packets that are sent. This is used to determine the minimum sizes of the MTUs configured on the nodes along the path to the destination address. Performance problems caused by packet fragmentation is thus reduced. The default is no.