В маршрутизаторах серии ME для учёта сетевого трафика включена поддержка протокола Netflow/IPFIX.
Для работы Netflow/IPFIX в маршрутизаторе должна быть установлена плата статистики SM-STAT.
Наличие платы можно узнать командой:
| Блок кода |
|---|
0/ME5100revX:R17-246# show system inventory |
...
Thu Aug 25 09:59:06 2022 |
...
Hardware inventory information for chassis 0 |
...
|
...
Main system module is ME5100 rev.X |
...
Serial number: ME18000021 |
...
Hardware version: 1v0 |
...
Hardware revision: 0 |
...
MAC address: e4:5a:d4:5b:29:80 |
...
Installed RAM: 8 GB |
...
Bank 0: InnoDisk M3DT-8GSS6LPC-E |
...
Capacity: 8 GB |
...
Serial number: 114c030 |
...
Storage: |
...
Device model: 8GB SATA Flash Drive |
...
Serial number: B4500778072400226076 |
...
Capacity: 8.01 GB |
...
Fuse state: |
...
Secure fuse: Set |
...
Secure key: Set |
...
SM-STAT board: 10AX048H3F34E2SG ME5000-SM-STAT ------------- Плата SM-STAT присутствует |
...
Serial number: ME0A000141 |
...
Hardware version: 1v3 |
...
|
...
Module in slot power supply 1 is PM350-220/12:rev.B |
...
Serial number: PM26001580 |
...
Hardware version: 2v8 |
...
|
...
Module in slot power supply 2 is not present |
Кроме того необходимо выделить аппаратные ресурсы под Netflow в hw-module (для применения внесенных изменений необходимо перезагрузить устройство):
| Блок кода |
|---|
0/ME5100revX:R17-246# hw-module maximum ipv4 flows |
...
FLOWS NUMBER (0-441520) Set maximum possible flows number |
Далее конфигурим flow monitor, где указываем интерфейсы на которых будет считаться трафик.
| Блок кода |
|---|
flow monitor Monitor1 |
...
interface bundle-ether 2 |
...
interface tengigabitethernet 0/1/5.44 |
...
interface tengigabitethernet 0/1/7.160-200 timeout 15 |
...
exit |
И собственно flow exporter, где указывается Netflow коллектор и прочие настройки, так же привязывается flow monitor
| Блок кода |
|---|
flow exporter |
...
observation-domain 100 |
...
vrf mgmt-intf |
...
destination 192.168.16.77 |
...
encapsulation ipfix |
...
monitor Monitor1 |
...
port 9001 |
...
report-interval 1 |
...
source-address 192.168.17.146 |
...
template-timeout 5 |
...
exit |
...
exit |
...
exit |
Смотрим зарегистрированные потоки:
| Блок кода |
|---|
0/ME5100revX:R17-246# |
...
show flow monitor |
...
Thu Aug 25 10:16:50 2022 |
...
id packets bytes source destination started last updated |
...
-------- --------------------- --------------------- ---------------- ---------------- ------------------ ------------------ |
...
1 2786 4024620 10.51.0.1 10.51.0.11 09:57:15 09:58:07 |
...
25/08/2022 25/08/2022 |
...
2 384 24870 10.0.0.46 10.0.0.45 09:57:30 10:16:46 |
...
25/08/2022 25/08/2022 |
...
3 12 1511 10.0.0.2 10.0.0.1 09:57:34 09:57:57 |
...
25/08/2022 25/08/2022 |
...
4 9 822 10.246.10.2 10.246.10.1 09:57:52 09:59:50 |
...
25/08/2022 25/08/2022 |
...
5 9 774 10.246.10.6 10.246.10.5 09:57:52 09:59:50 |
...
25/08/2022 25/08/2022 |
...
6 10 1100 10.246.10.1 10.246.10.2 09:57:52 09:59:50 |
...
25/08/2022 25/08/2022 |
...
7 10 888 10.246.10.5 10.246.10.6 09:57:53 09:59:50 |
...
25/08/2022 25/08/2022 |
...
8 1 78 10.0.0.2 10.0.0.1 09:58:26 09:58:26 |
...
25/08/2022 25/08/2022 |
...
9 1 78 10.0.0.2 10.0.0.1 09:58:33 09:58:33 |
...
25/08/2022 25/08/2022 |
...
10 7 884 10.0.0.2 10.0.0.1 09:58:39 09:58:48 |
...
25/08/2022 25/08/2022 |
...
11 3 218 10.51.0.1 10.51.0.11 09:58:39 09:58:41 |
...
25/08/2022 25/08/2022 |
...
12 51 4621 10.0.0.2 10.0.0.1 09:58:47 10:16:30 |
...
25/08/2022 25/08/2022 |
...
13 3 218 10.51.0.1 10.51.0.11 09:58:47 09:58:48 |
...
25/08/2022 25/08/2022 |
...
14 31583 39495410 10.51.0.1 10.51.0.11 09:59:10 10:16:46 |
Мониторинг трафика осуществляется только по ingress направлению (входной трафик).
В настоящий момент реализованы следующие поля:
| IPFIX | NetFlow5 | NetFlow9 |
|---|---|---|
IPFIX_OCTET_TOTAL_COUNT (bytes) | IPV4_SRC IPV4_DST SRC_PORT DST_PORT IN_IFACE PROTO FIRST_SWITCH LAST_SWITCH BYTES PACKETS | NF9_IN_BYTES |