====== Konfiguration von sFlow mit OmniSwitch AOS Release 8 ======
Leider sind mir die Bilder aus diesem Artikel verloren gegangen!
===== Konfiguration und Nutzung von sFlow mit OmniVista 2500 =====
OmniVista 2500 (z.B. das aktuelle Release 4.6R2) verfügt über einen sFlow Collector. Die Daten werden gesammelt und grafisch aufbereitet. Die folgenden Schritte zeigen wie die Übermittlung von sFlow eingerichtet wird.
==== Konfiguration via OmniVista 2500 ====
=== Profil für "Top N Apps & Clients" auswählen und benennen ===
Es steht außerdem auch „Top N Ports“ zur Verfügung!
=== Auswahl der Switches auf denen sFlow konfiguriert werden soll ===
=== Auswahl der Ports auf denen sFlow aktiviert werden soll ===
=== Ergebnis auf der Kommandozeile ===
Router-> show configuration snapshot pmm
! Port Mirroring:
sflow receiver 1 name ovAnalyticService address 192.168.2.15 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow sampler 1 port 1/1/1-12 receiver 1 rate 128 sample-hdr-size 128
==== Verwendung der sFlow-Daten in OmniVista ====
=== Hinzufügen des/der Widgets auf dem Dashboard ===
=== Anzeigen der Daten im Summary View ===
=== Detailliertere Darstellung der Daten im Detail View ===
=== Detailliertere Darstellung der Daten im Detail View (Top N Clients) ===
===== InMon sFlow-RT =====
[[https://sflow-rt.com/index.php|InMon sFlow-RT]] ermöglicht die schnelle Analyse von Daten und auch die Entwicklung eigener Applikationen/Erweiterungen auf Basis der Software.
Bitte beachten dass sFlow-RT zwar für Testzwecke mit einer „Research and Evaluation“-Lizenz verwendet werden kann, für den produktiven Einsatz aber lizensiert werden muss! Vielen Dank an das Team von Peter Phaal das der Test so unproblematisch möglich ist!
==== Konfiguration von sFlow-RT ====
=== Installation der Erweiterung "browse-flows" ===
benny@tiger:~/sflow$ ./sflow-rt/get-app.sh sflow-rt browse-flows
=== Start von sFlow-RT ===
benny@tiger:~/sflow$ ./sflow-rt/start.sh
2022-05-25T15:45:05+02:00 INFO: Starting sFlow-RT 3.0-1665
2022-05-25T15:45:06+02:00 INFO: Version check, running latest
2022-05-25T15:45:06+02:00 INFO: Listening, sFlow port 6343
2022-05-25T15:45:06+02:00 INFO: Listening, HTTP port 8008
2022-05-25T15:45:06+02:00 INFO: app/world-map/scripts/countries.js started
2022-05-25T15:45:06+02:00 INFO: app/topology/scripts/topology.js started
2022-05-25T15:45:06+02:00 INFO: app/ddos-protect/scripts/ddos.js started
2022-05-25T15:45:06+02:00 INFO: app/browse-flows/scripts/top.js started
2022-05-25T15:45:06+02:00 INFO: app/particle/scripts/flows.js started
==== Konfiguration des OmniSwitch ====
=== Konfiguration des Ziels: sFlow-RT (tiger) ===
Router-> show configuration snapshot pmm
! Port Mirroring:
sflow receiver 1 name ovAnalyticService address 192.168.2.15 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow receiver 2 name tiger address 192.168.2.134 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow sampler 1 port 1/1/1-12 receiver 1 rate 128 sample-hdr-size 128
sflow sampler 2 port 1/1/1-12 receiver 2 rate 128 sample-hdr-size 128
=== Konfiguration einer bestimmten Absende-IP vom OmniSwitch ===
ip service source-ip "vlan-2" sflow
==== Verwendung von sFlow-RT um einen Angreifer zu identifizieren ====
=== Szenario: System "tiger" greift 192.168.11.164 an ===
* Flood-Ping
* Absende-IP derzeit unbekannt
=== Identifizieren des Angreifers mit Hilfe von sFlow-RT ===
* Keys: ipsource,ipdestination
* Value: fps
* Filter: ipdestination=192.168.11.164
Der „Angreifer“ hat also die IP-Adresse 192.168.2.134!
=== Ein weiterer Angreifer startet einen Flood-Ping ===
=== Sehr schnelle/dynamische Analyse möglich ===
Bei Beendung des konstruierten Angriffs fallen auch die Kurven so schnell wie sie anstiegen (in Sekunden). Aus meiner Sicht gehört sFlow bzw. sFlow-Tools aufgrund des Einblicks in Echtzeit zum Handwerkszeug eines jeden Netzwerkadministrierenden.