Inleiding

Soms is het handig om Netflow informatie te kunnen uitlezen van verbindingen waarbij de apparatuur dit niet ondersteund. Een voorbeeld hiervan is een lijn van een derde partij welke in een Cisco 3750 is geprikt. De Cisco 3750 ondersteund geen netflow maar toch willen we weten wat de grootverbruiker is van deze verbinding.

Promiscuous Mode traffic ACCountant

Onder Ubuntu kan je deze eenvoudig installeren met

apt-get install pmacct

Vervolgens rest je alleen nog het configureren van deze daemon.

Voorbeeld configuratie

/etc/pmacct/pmacctd.conf

daemonize: true
pidfile: /var/run/pmacctd.pid
syslog: daemon
aggregate: src_host, dst_host, src_port, dst_port, proto, tos, vlan
interface: eth1
plugins: nfprobe
nfprobe_receiver: 10.0.0.10:2055
nfprobe_version: 9

Inrichting

Tenslotte zal je er nog voor moeten zorgen dat het systeem intressante informatie ontvangt op zijn eth1. Immers we willen de lijnbelasting bekijken van een bestaande lijn.

De makkelijkste manier hiervoor is om een monitor sessie aan te maken op een Cisco Switch (andere switch fabrikanten noemen dit vaak port replication, port mirroring enz.)

Voor een Cisco Switch voer je hier uit:

monitor session 1 source interface Gi1/0/1
monitor session 1 destination interface Gi1/0/2

In dit voorbeeld zal een bestaande verbinding op Gi1/0/1 worden gerepliceerd naar Gi1/0/2, hierin prikken we dus onze eth1.

Het is belangrijk dat de Ubuntu machine op eth0 normaal in het netwerk is geplaatst, anders zal de netflow informatie niet afgeleverd kunnen worden.