NetFlow v9でMACアドレスを取得する方法

Mar.18, 2010 in NetFlow

少し前にフレキシブルネットフロー（aka ネットフローｖ9）を使用しているMACアドレスの入手について尋ねてきた顧客がいました。　可能ですが、正しく動かすためにMACアドレスを手に入れるには２つ問題があります。

・ルータがMACアドレスをエクスポートする必要がある

・コレクターが、MACアドレスを許可・表示させる必要がある

ルータ設定

MACアドレスをエクスポートするにはルータの設定が必要です。その方法がここにあります。

ステップ１: フローレコードを作り、あなたがエクスポートしたいフィールドを明確にしてください。それに名前をつけます。ここにMACアタックと呼ばれているものがあります。他にもたくさんのフィールドがあります。アウトプットMACｓもエクスポートします。そうすることによりルータがMACになったら表示されます。

flow record MAC_ATTACK
description MAC address flow monitor
match application name
collect ipv4 id
collect ipv4 source address
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination address
collect ipv4 destination mask
collect transport source-port
collect transport destination-port
collect transport tcp source-port
collect transport tcp destination-port
collect transport udp source-port
collect transport udp destination-port
collect interface input
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect datalink mac source address input
collect datalink mac destination address input

ステップ２: エクスポータ作成

flow exporter my-happy-funtime-exporter

description flexible NF v9
destination 66.186.184.205
source FastEthernet0/1
transport udp 2055
template data timeout 60

ステップ３:フローモニタ作成

使用するどのエクスポータとレコードなのかルータに通知します。

flow monitor My-flow-monitor
description app traffic analysis
record app-traffic-analysis
exporter export-to-scrut7

ステップ 4: Add モニターをデザイナーインタフェイスに加える

interface FastEthernet0/0
ip flow monitor My-flow-monitor input
interface FastEthernet0/1
ip flow monitor My-flow-monitor input

ステップ 5: MAC の良さを楽しんで

ネットフローコレクターはMAC対応している必要があります
ネットフローコレクタはMACアドレスがある新しいネットフローパケットに対応している必要があります。さらに、ネットフローレポートインタフェースは送信先MACアドレスとソースを探してそれを見れるようにしている必要があります。ここにこのデータのはじめのインタフェースがあります。
vlandId の上の画像の右に注意してください。ソートとサーチがどのコラムでもできます。下記でMACアドレスを検索しています。

MACのIPアドレスとを見ることやIPのトラフィックをトレンドすることができます。これらは全てScrutinizerの無料バージョンです。

「異常なネットワークトラフィックパターンとIPとMACアドレスと同じようにエンドユーザのアイデンティティを関連付ける能力は企業のITセキュリティにとって重要です。」とヤンキーグループのシニアアナリストであるPhil Hochmuthが言っていました。
Scrutinizerｖ７はフレキシブルネットフローをサポートしCisco NSEL (i.e. NetFlow Security Event Logs)と PSAMP,などを受信して保存できます。このため私たちのコレクターはNetFlow v9 formatではじかれたものを受信・表示することができます。しかしそのデータがテンプレートの中になかったりレコードが私たちのデフォルトでないものがあると、表示するのが難しいときもあります。

ネットフローｖ９のデータが表示できないときは、わたしにWireShark packet traceをテンプレートがあるキャプチャということを確認して送って下さい。

Scrutinizer Has It Covered

Michael Patterson

Welcome!

This blog is dedicated to bringing you the most current and informative articles about NetFlow, sFlow, NetStream, IPFIX and other flow based network traffic monitoring technologies.

Categories
Categories
- Bandwidth Monitoring (1)
- NetFlow (79)
- NetFlow Analyzer (20)
- NetFlow Collector (5)
- Network Traffic Analysis (15)
- sFlow (9)
- SNMP (2)
Archives
- September 2010 (1)
- August 2010 (8)
- July 2010 (13)
- June 2010 (1)
- May 2010 (2)
- April 2010 (11)
- March 2010 (12)
- February 2010 (14)
- January 2010 (9)
- December 2009 (3)
- November 2009 (6)
Blogroll
Tags
Cisco WAAS egress flows netflow analysis NetFlow analyzers NetFlow products NetFlow reporting NetFlow solutions wan optimization
Login

Blogroll
- Brad Reese on Cisco Brad Reese blogs about Cisco at NetworkWorld.com
- Free NetFlow Analyzer Scrutinizer NetFlow and sFlow Analyzer software
- Logic Vein Inc. LogicVein, Inc is Japan and Korea distributor for Plixer products.
- Systrax Community Site NetFlow and sFlow resources and community
Archives
Tag Cloud
Cisco WAAS egress flows netflow analysis NetFlow analyzers NetFlow products NetFlow reporting NetFlow solutions wan optimization

Free NetFlow Resources

NetFlow and sFlow guides and information