Inhalt
- Installieren des pfflowd-Pakets
- Pfflowd konfigurieren
- SNMP aktivieren
- Anzeigen von NetFlow-Daten
- Auswahl der Capture-Schnittstelle
- NetFlow-Datenanalyse
- Tiefer Graben
Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.
Das Verständnis der Menge und Art des Datenverkehrs, der über ein Netzwerkgerät geleitet wird, ist sehr hilfreich, um Netzwerkprobleme zu beheben, Bandbreitenprobleme zu lokalisieren und den Datenverkehr zu klassifizieren.
NetFlow ist Procotol, mit dem Netzwerkgeräte Informationen über die durch sie übertragenen Daten an einen Analysator übertragen können, der an einem entfernten Ort im Netzwerk ausgeführt wird.
Diese Daten enthalten verschiedene Informationen, einschließlich Quell- und Ziel-IP-Adresse, verwendete Protokolle und Portnummern
Mit pfflowd kann ein pfSense-System PF-Statusmeldungen in einem Standard-NetFlow-Format exportieren.
Indem Sie diese Daten in einem Standardformat zur Verfügung stellen, können Sie die vielen verschiedenen verfügbaren NetFlow-Analysegeräte nutzen.
Installieren des pfflowd-Pakets
Um mit dem Exportieren von NetFlow-Daten aus pfSense zu beginnen, müssen Sie zuerst das Paket pfflowd installieren. Das Paket kann installiert werden, indem Sie auf den Paketmanager im Systemmenü zugreifen.
Suchen Sie das pfflowd-Paket und klicken Sie auf das Pluszeichen neben dem Paket, um die Installation zu starten.
Pfflowd konfigurieren
Nach Abschluss der Installation muss das Paket konfiguriert werden. Die Konfigurationsseite für pfflow finden Sie im Menü Dienste auf der Weboberfläche.
Gastgeber - Geben Sie die IP-Adresse des Computers ein, auf dem Sie die NetFlow-Verkehrsdaten empfangen möchten. Dies ist der Speicherort, an dem Sie den NetFlow Analyzer-Client ausführen möchten.
Hafen -Diese Einstellung steuert den Ziel-UDP-Port für die NetFlow-Datagramme. Die meisten Clients verwenden standardmäßig Port 2205, daher sollten Sie dies in den meisten Fällen eingeben.
Quellhostname / IP -Diese Einstellung steuert, über welche Schnittstelle das pfSense-System die NetFlow-Pakete sendet. Normalerweise möchten Sie die IP-Adresse der LAN-Schnittstelle der pfSense-Box eingeben. Sie finden die IP im Menü Status / Schnittstellen.
pfSense-Regelrichtungsbeschränkung - Belassen Sie diese Einstellung auf einem beliebigen Wert, um den Verkehr in beide Richtungen zu erfassen. Auf Wunsch können Sie eine einzelne Verkehrsrichtung erfassen.
NetFlow-Version - Die meisten Clients sollten Version 9 unterstützen. Wenn Sie NetFlow Analyzer nur eine ältere Version unterstützen, können Sie diese mit dieser Einstellung konfigurieren.
Sobald Sie die Einstellungen gespeichert haben, sendet pfflow NetFlow-Pakete an die in den Einstellungen angegebene Ziel-IP-Adresse.
SNMP aktivieren
Die meisten NetFlow-Clients verwenden SNMP, um die Konnektivität zu einem Host zu bestätigen. Ich empfehle daher, diese zu aktivieren, bevor Sie einen Analyzer-Client starten.
Um die Konfiguration zu ändern, öffnen Sie die Einstellungsseite auf der Seite Dienste / SNMP.
1. Aktivieren Sie das Kontrollkästchen "Aktivieren", um den SNMP-Dienst zu aktivieren.
2. Legen Sie eine schreibgeschützte Community-Zeichenfolge fest. Dies ist im Wesentlichen ein Kennwort für den Zugriff auf pfSense über SNMP.
3. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
Anzeigen von NetFlow-Daten
Zu diesem Zeitpunkt ist pfSense so konfiguriert, dass NetFlow-Daten in Echtzeit an die zuvor konfigurierte IP-Adresse gestreamt werden.
Es stehen mehrere NetFlow-Analysegeräte zur Verfügung. SolarWinds bietet einen kostenlosen Echtzeit-Durchflussanalysator, der diese Aufgabe recht gut erfüllt.
Klicken Sie nach dem Herunterladen und Installieren des SolarWinds-Analysators auf das Menü Extras und wählen Sie NetFlow-Gerät hinzufügen.
Geben Sie die IP-Adresse des pfSense-Computers ein, auf dem pfflowd ausgeführt wird, und die SNMP-Community-Zeichenfolge, die mit der Zeichenfolge auf dem System übereinstimmt.
Auswahl der Capture-Schnittstelle
Wenn der vorherige Schritt erfolgreich war, sollte eine Liste der Schnittstellen angezeigt werden, die an das pfSense-System angeschlossen sind, auf dem pfflowd ausgeführt wird.
Um eine Flow-Capture-Sitzung zu starten, wählen Sie die gewünschte Schnittstelle aus und klicken Sie auf die Schaltfläche Flow-Capture starten.
In den meisten Fällen möchten Sie wahrscheinlich Daten von der LAN-Schnittstelle erfassen, aber in einigen Situationen sind auch WAN-Daten nützlich.
Die mit den LAN- und WAN-Schnittstellen verknüpften Schnittstellennamen finden Sie im Menü Status / Schnittstellen.
NetFlow-Datenanalyse
Sobald die Erfassung beginnt, zeigt der Analysator Daten für den Datenverkehr an, der durch pfSense auf der von Ihnen ausgewählten Schnittstelle geleitet wird.
Der SolarWinds-Analysator kann den Datenverkehr in Anwendungen, Konversationen, Domänen, Endpunkte und Protokolle aufteilen. Das Capture kann auch gespeichert und zur späteren Analyse heruntergeladen werden.
Tiefer Graben
Hoffentlich hat dieser Artikel Ihre Augen für die vielfältigen Verwendungsmöglichkeiten von pfflowd- und NetFlow-Daten geöffnet. NetFlow exportiert nicht das gesamte Paket, ist jedoch eine schlechte Wahl für die Lösung hochkomplexer Netzwerkprobleme.
Wenn Sie vollständige Ethernet-Frames erfassen müssen, können Sie dies tun Führen Sie Wireshark direkt von pfSense aus ebenso gut wie Captures herunterladen für die Offline-Analyse.
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
