Inhaltsverzeichnis

Konfiguration von sFlow mit OmniSwitch AOS Release 8

Leider sind mir die Bilder aus diesem Artikel verloren gegangen!

Konfiguration und Nutzung von sFlow mit OmniVista 2500

OmniVista 2500 (z.B. das aktuelle Release 4.6R2) verfügt über einen sFlow Collector. Die Daten werden gesammelt und grafisch aufbereitet. Die folgenden Schritte zeigen wie die Übermittlung von sFlow eingerichtet wird.

Konfiguration via OmniVista 2500

Profil für "Top N Apps & Clients" auswählen und benennen

Es steht außerdem auch „Top N Ports“ zur Verfügung!

Auswahl der Switches auf denen sFlow konfiguriert werden soll

Auswahl der Ports auf denen sFlow aktiviert werden soll

Ergebnis auf der Kommandozeile

Router-> show configuration snapshot pmm
! Port Mirroring:
sflow receiver 1 name ovAnalyticService address 192.168.2.15 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow sampler 1 port 1/1/1-12 receiver 1 rate 128 sample-hdr-size 128

Verwendung der sFlow-Daten in OmniVista

Hinzufügen des/der Widgets auf dem Dashboard

Anzeigen der Daten im Summary View

Detailliertere Darstellung der Daten im Detail View

Detailliertere Darstellung der Daten im Detail View (Top N Clients)

InMon sFlow-RT

InMon sFlow-RT ermöglicht die schnelle Analyse von Daten und auch die Entwicklung eigener Applikationen/Erweiterungen auf Basis der Software.

Bitte beachten dass sFlow-RT zwar für Testzwecke mit einer „Research and Evaluation“-Lizenz verwendet werden kann, für den produktiven Einsatz aber lizensiert werden muss! Vielen Dank an das Team von Peter Phaal das der Test so unproblematisch möglich ist!

Konfiguration von sFlow-RT

Installation der Erweiterung "browse-flows"

benny@tiger:~/sflow$ ./sflow-rt/get-app.sh sflow-rt browse-flows

Start von sFlow-RT

benny@tiger:~/sflow$ ./sflow-rt/start.sh
2022-05-25T15:45:05+02:00 INFO: Starting sFlow-RT 3.0-1665
2022-05-25T15:45:06+02:00 INFO: Version check, running latest
2022-05-25T15:45:06+02:00 INFO: Listening, sFlow port 6343
2022-05-25T15:45:06+02:00 INFO: Listening, HTTP port 8008
2022-05-25T15:45:06+02:00 INFO: app/world-map/scripts/countries.js started
2022-05-25T15:45:06+02:00 INFO: app/topology/scripts/topology.js started
2022-05-25T15:45:06+02:00 INFO: app/ddos-protect/scripts/ddos.js started
2022-05-25T15:45:06+02:00 INFO: app/browse-flows/scripts/top.js started
2022-05-25T15:45:06+02:00 INFO: app/particle/scripts/flows.js started

Konfiguration des OmniSwitch

Konfiguration des Ziels: sFlow-RT (tiger)

Router-> show configuration snapshot pmm
! Port Mirroring:
sflow receiver 1 name ovAnalyticService address 192.168.2.15 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow receiver 2 name tiger address 192.168.2.134 udp-port 6343 packet-size 1400 version 5 timeout 0
sflow sampler 1 port 1/1/1-12 receiver 1 rate 128 sample-hdr-size 128
sflow sampler 2 port 1/1/1-12 receiver 2 rate 128 sample-hdr-size 128

Konfiguration einer bestimmten Absende-IP vom OmniSwitch

ip service source-ip "vlan-2" sflow

Verwendung von sFlow-RT um einen Angreifer zu identifizieren

Szenario: System "tiger" greift 192.168.11.164 an

Identifizieren des Angreifers mit Hilfe von sFlow-RT

Der „Angreifer“ hat also die IP-Adresse 192.168.2.134!

Ein weiterer Angreifer startet einen Flood-Ping

Sehr schnelle/dynamische Analyse möglich

Bei Beendung des konstruierten Angriffs fallen auch die Kurven so schnell wie sie anstiegen (in Sekunden). Aus meiner Sicht gehört sFlow bzw. sFlow-Tools aufgrund des Einblicks in Echtzeit zum Handwerkszeug eines jeden Netzwerkadministrierenden.