monitoreo de trafico con mikrotik y netflownet pro argentina

7
07 may Noticias | Comentarios MONITOREO de TRAFICO con MIKROTIK Y NETFLOW Home » MONITOREO de TRAFICO con MIKROTIK Y NETFLOW Una pregunta recurrente que me suelen hacer es la siguiente… ¿…cómo monitorear el total de tráfico (subida y bajada), de nuestra red de clientes / hosts, de manera tal que podamos visualizar el tráfico IP por IP de manera individual…? Algunos administradores directamente crean “queues simples” en el routeador Mikrotik , y luego, la herramienta graph (del menú tools“), crea automagicamente las gráficas dentro del propio Mikrotik. Sin embargo, no siempre es efectiva esa herramienta, ya sea porque puede ser que no utilicemos queues simples, … o porque no queremos sobrecargar el router (ya que los gráficos son creados, actualizados, procesados y almacenados en el mismo), … o porque a veces sucede que el router pierde éstos gráficos, por diversos motivos. Bien, desde mi punto de vista la mejor manera que yo he encontrado al día de hoy de hacerlo es mediante la utilización del protocolo NetFlow NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria de monitoreo de tráfico de red, y actualmente está soportado para varias plataformas (además de Cisco) Dado a que Mikrotik dispone de NetFlow, al activar el mismo lo que sucede es que el Router comienza a enviar pequeños trozos de información a un servidor (también llamado “colector”) Netflow , que es quien recibe información del router (o sonda o “exporter“), la almacena y procesa. Luego con esta información es posible elaborar gráficos del tráfico. Home Acerca de Servicios Galeria Casos de Exito Blog Contacto

Upload: fernando-lucero

Post on 16-Aug-2015

275 views

Category:

Documents


7 download

DESCRIPTION

Analisis de red

TRANSCRIPT

7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 1/707mayNoticias|ComentariosMONITOREOdeTRAFICOconMIKROTIKYNETFLOWHome MONITOREO de TRAFICO con MIKROTIK Y NETFLOWUna pregunta recurrente que me suelen hacer esla siguientecmo monitorear el total de trfico (subiday bajada), de nuestrared de clientes / hosts,de manera tal que podamos visualizar eltrfico IP por IP de manera individual?Algunos administradores directamente creanqueues simples enel routeador Mikrotik , yluego, la herramientagraph (del mentools), crea automagicamente las grficas dentro del propio Mikrotik.Sin embargo, no siempre es efectiva esa herramienta, ya sea porquepuede ser que no utilicemosqueues simples, o porque no queremossobrecargar el router (ya que los grficos son creados,actualizados, procesados y almacenadosen el mismo), o porque a veces sucede que el routerpierde stosgrficos, por diversos motivos.Bien, desde mi punto de vista la mejor manera que yo he encontradoal da de hoy de hacerlo esmediante la utilizacin del protocoloNetFlowNetFlowesunprotocolodereddesarrolladoporCiscoSystemspararecolectarinformacinsobretrficoIP.Netflow se ha convertido enun estndar de la industria de monitoreo de trfico de red,y actualmente est soportado para varias plataformas (adems de Cisco)Dado a que Mikrotik dispone de NetFlow, al activar el mismo lo que sucedees que el Router comienza a enviar pequeos trozos de informacina un servidor (tambin llamado colector) Netflow , que es quien recibeinformacin del router (o sonda o exporter), la almacena y procesa.Luego con esta informacin es posible elaborar grficos del trfico.Home Acerca de Servicios Galeria Casos de Exito Blog Contacto7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 2/7Ms informacin sobre NetFlowhttp://es.wikipedia.org/wiki/Netflow*****************************************************************************ManosalaObra!Lo primero que vamos a necesitar es un servidor (colector) que recibalos paquetes NetFlowenviadospor el router (sonda).Para el desarrollo del presente ejemplo, optamos por un servidor Linux Debian.No es el propsito de ste artculo indicar como se monta un Linux Debian. Quienes necesiteninformacion al respecto recomiendo el sitio web HowToForgehttps://www.howtoforge.com/Una vez que tengamos en marcha nuestro equipo con Linux Debian, con los siguientes paquetesadicionales podremos montar nuestro colector NetFlowapache2 (para poder desplegar el grfico por web)pmacct (paquete de linux que contiene el colector netflow)pnrg (pequea aplicacin que realiza grficos a partir de losinformes generados porpmacct)*****************************************************************************InstalacindelcolectorNetFlowenLinuxComo sealamos, el paquete que contiene el colector NetFlowen Linux es PMACCT, el cualinstalaremos as:aptitudeinstallpmacctDicho paquete pmacct incluye ademas:pmacctd: convierte al Linux en una sonda (o exporter),de cada paquete que loatraviesa.No lo vamos a utilizardado a que en ste escenario el servidor Linux no acta como sonda,sino en realidadlo vamos a configurar como colectornfacctd: es la aplicacin que vamos a utilizar y es la que realmentecolectapaquetesNetFlow proveniente de la sonda o exporterpmacct: (no confundir con pmacctd)es la aplicacion que lee los paquetesnetFlowcolectadospor nfacctd y permite mostrar estadsticas y hacerlos humanamenteleibles.Existen otras aplicaciones incluidas en el paquete como sfacctd y uacctdque son similares perotrabajan sobre variaciones del protocolo NetFlow.Rpidamente diremos que sfacctd es el colector del protocolo sFlow (http://www.sflow.org)y uacctd es el colector basado en Linux Netlink ULOG(http://rlworkman.net/howtos/ulogd.html)7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 3/7Lo siguiente que vamos a hacer es quitar del proceso de booteoel pmacctd ya que el paquete loactiva automticamente cada vezque arranca la maquina Linux. Para elloupdaterc.dfsfacctdremoveupdaterc.dfuacctdremoveupdaterc.dfpmacctremoveCon sto, slo quedar activo el servicio nfacctd, es decirel colector NetFlow, el cuales el que nos interesa ya que recibir del router Mikrotik (sonda) los paquetes NetFlowAhora configuramos nfacctd:Podemos renombrar el archivo original para no perderlo:mv/etc/pmacct/nfacctd.conf/etc/pmacct/nfacctd.conf.distY ahora creamos un archivo nuevo de configuracin:vim/etc/pmacct/nfacctd.conf!!NFACCTDCONFIGURATION,ACEPTARTRAFICODESDEMIKROTIK!TRAFFICFLOW.!debug:falsedaemonize:true!plugin_buffer_size:2048plugin_pipe_size:2048000!networks_file:/etc/pmacct/hosts.def!!IMPORTANTEDEFINIRELPUERTOQUEESCUCHARAELCOLECTOR!LUEGOENELMIKROTIKDEBEMOSINDICARESTENUMERODEPUERTO!nfacctd_port:5055!!!NOSINTERESAELTRAFICOIN/OUT!plugins:memory[in],memory[out]!aggregate[in]:dst_hostaggregate[out]:src_host!!LAINFORMACIONDELOSFLOWSRECIBIDOSSEALMACENARA!ENLAMEMORIA,PARALUEGOSERPROCESADAYGRAFICADA!imt_path[in]:/tmp/pmacct_in.pipeimt_path[out]:/tmp/pmacct_out.pipeEn ste archivo de configuracin hacemos referenciaal archivo hosts.def, en el cual debemosindicar las subredesque nos interesan monitorear (en ste caso, las subredesde nuestrosclientes)172.16.0.0/1610.0.0.0/8192.168.0.0/16RangosdeIpspublicas,etc...Reiniciamos el servicio para que tome los cambios/etc/init.d/nfacctdstop7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 4/7/etc/init.d/nfacctdstartChequeamos que realmente se encuentre funcionando el colector, medianteel comando netstat.Debera arrojarnos un resultado as:COLECTORSERVER:/etc/pmacct#netstatpunlt|grep5055udp600:::5055:::*4503/nfacctd:CoreY con esto, finalmente hemos terminado de configurar el colector!!!!*****************************************************************************ActivacindelasondaNetFlowenRouterOSDebemos activar la sonda (Routeador MIKROTIK) para que envie los flujosNetFlow al colector,es decir el Linux.Esto es mucho ms sencillo de hacer/iptrafficflowsetactiveflowtimeout=30mcacheentries=4kenabled=yesinactiveflowtimeout=15s\interfaces=all/iptrafficflowtargetaddaddress=172.16.21.2:5055disabled=nov9templaterefresh=20v9templatetimeout=30m\version=9Con esto, le estamos diciendo al Mikrotik que active el envio de paquetesNetFlow a 172.16.21.2 (en este ejemplo, la IP de nuestro servidor colector Linux), puerto5055, usando la version 9 de NetFlow.Podemos ver la evolucin de envo de paquetes NetFlow en IP>TrafficFlow>StatusTambin podemos chequear la recepcion de paquetes NetFlow en el debian medianteel comandopmacct (no confundir con pmacctd)pmacctsp/tmp/pmacct_in.pipeo para ver el trafico OUT:pmacctsp/tmp/pmacct_out.pipeSe tiene que desplegar una tabla as como la siguiente:COLECTORSERVER:/etc/pmacct#pmacctsp/tmp/pmacct_out.pipeSRC_IPPACKETSBYTES11.0.1.234223811.0.3.168223811.0.0.42223811.1.2.196260918163611.1.4.1302083415511.1.3.16326166411.1.1.22953588611.0.0.226223811.1.0.2212978120966511.1.3.12273213842111.0.2.119223811.0.1.1522238*****************************************************************************InstalacindePNRGPNRG como indicamos arriba es la aplicacin que toma los datos almacenadosen el colector, leyndolos con el comando pmaccct, y con esta informacin7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 5/7genera los grficos buscados.Para que todo funcione ms fcilmente y no tengamos que modificarla configuracin por defecto, lo ideal es instalarlo en /usr/local/pntgmkdir/usr/local/pnrgcd/usr/local/pnrgLo descargamos:wgethttp://www.pmacct.net/pnrg/pnrg0.1.tar.gzDescomprimimos:tarzxvfpnrg0.1.tar.gzmvpnrg0.1/*.De este modo en /usr/local/pnrg nos quedar instalada la aplicacin.Ahora instalamos algunos paquetes necesarios para el funcionamientode PnrgaptgetinstallrrdtoolAhora debemos indicarle a PNRG que actualice los grficos cada 5 minutosecho"*/5****root(cd/usr/local/pnrg/;./pnrgwrapper.sh)">/etc/cron.d/pnrgY creamos algunos Symbolic Links para que no tengamos que modificar los scripts de Pnrglns/usr/bin/pmacct/usr/local/bin/pmacctmkdirp/usr/local/rrdtool/bin/lns/usr/bin/rrdtool/usr/local/rrdtool/bin/rrdtoollns/usr/bin/rrdcgi/usr/local/rrdtool/bin/rrdcgi*****************************************************************************InstalacinyconfiguracindeApachePara que PNRG pueda desplegar los graficos debemos instalar y configurarel servidor web apacheLa instalacin es sumamente sencilla:aptgetinstallapache2Vamos a configurarlo de tal modo que podamos acceder a las grficasdesde http://IP.SERVIDOR/pnrgEntonces creamos el siguiente enlace simbolico.lns/usr/local/pnrg/spool/var/www/pnrgY habilitamos la ejecucin de los archivos.cgi en /var/www/pnrgEditamos /etc/apache2/sitesenabled/000default7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 6/7y agregamos lo siguienteAddHandlercgiscript.cgi.pl

OptionsIndexesExecCGIAllowOverrideNoneOrderallow,denyAllowfromall

Por ltimo, reiniciamos apache para que tome los cambios/etc/init.d/apache2restartSi todo ha salido bien, podemos acceder a las grficas desdehttp://IP.SERVIDOR/pnrgEn el men de la izquierda debern aparecernos todas las direcciones IPs de los hostspertenecientesa nuestra red declarada en /etc/pmacct/hosts.defDejarunMensajeNombre *Email *7/5/2015 MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINAhttp://www.netproar.com/monitoreodetraficoconmikrotikynetflow/ 7/7Sganosen: Lleve un registro de NetPro en todas susredes sociales favoritas.InformacindeContactoNetProHumboldt 1844Bahia Blanca, b8001dgjArgentinaTel/Fax: (0291) 481 7008Mail: [email protected] 2013 NetPro Todos los derechos reservados.AdicionarComentarioSitio WebComentario