VyOS(Vyatta)にNetflowを設定してみる

こーめいです。

今回もVyOSです。netflowとsflowに対応しているということで、今回netflowを確認してみます。フローはfluetdに入れて可視化します。

fluentd + elastic search + kibanaのエントリーはこちら

Netflowコレクターを無償のFluend＋ElasticSearch＋Kibanaで構築する - ぽぽぽぽーんのネットワークとOSS

設定は例によってsetコマンドで設定します。192.168.100.100宛てに300秒のサンプリングレートで送信しています。

vyos@vyos# set system flow-accounting netflow version 5
[edit]
vyos@vyos# set system flow-accounting netflow server 192.168.100.100 port 2055
[edit]
vyos@vyos# set system flow-accounting interface eth0
[edit]
vyos@vyos# set system flow-accounting netflow timeout expiry-interval 60
[edit]
vyos@vyos# set system flow-accounting netflow sampling-rate 300
[edit]

commitするとflow accountingがスタートします。

vyos@vyos# commit
[ system flow-accounting interface eth0 ]
Adding flow-accounting for [eth0]

[ system flow-accounting ]
Starting flow-accounting

[edit]

showコマンドで確認すると以下の通りです。テスト的に上げたものでしたので実通信はなく、zabbix-agentの通信が流れていました。

vyos@vyos:/tmp$ show flow-accounting
flow-accounting for [eth0]
Src Addr        Dst Addr        Sport Dport Proto    Packets      Bytes   Flows
10.0.0.2      172.17.100.200  58292 10050   tcp          6        337       1
10.0.0.2      172.17.100.200  58297 10050   tcp          5        310       1
10.0.0.2      172.17.100.200  58283 10050   tcp          5        309       1
10.0.0.2      172.17.100.200  58322 10050   tcp          5        309       1
10.0.0.2      172.17.100.200  58289 10050   tcp          5        299       1
10.0.0.2      172.17.100.200  58274 10050   tcp          5        299       1

fluetnd側のログは以下の通りです。しっかりとフロー情報が送られていました。

2014-10-24 23:05:10 +0900 netflow.event: {"version":"5","flow_seq_num":"0","engine_type":"1","engine_id":"0","sampling_algorithm":"1","sampling_interval":"300","flow_records":"6","ipv4_src_addr":"10.0.0.2","ipv4_dst_addr":"172.17.100.200","ipv4_next_hop":"0.0.0.0","input_snmp":"2","output_snmp":"0","in_pkts":"1","in_bytes":"52","first_switched":"2014-10-24T23:02:18.474Z","last_switched":"2014-10-24T23:02:18.474Z","l4_src_port":"35652","l4_dst_port":"10050","tcp_flags":"17","protocol":"6","src_tos":"0","src_as":"0","dst_as":"0","src_mask":"0","dst_mask":"0","host":"10.0.0.2"}

シェアして頂けると嬉しいです。
参考になったという方がいれば是非お願いしますm(_ _ )m
モチベーション維持の観点で非常に励みになります。