Конфигурирование NetFlow для IPv6

Логи нужно хранить за последние три года… анализировать трафик тоже приходится… Словом, без статистики не обойтись.

Вот, пытаемся сделать учет *IPv6-трафика с использованием *NetFlow. Стандартная схема: сенсоры — это
роутеры Cisco, коллекторы работают под BSD или Debian.

Настройка первого сенсора.

В соответствии с «фирменной» документацией, поддержка Netflow для IPv6 появилась в версиях
Cisco IOS, начиная с 12.2(33), правда в некоторых источниках упоминается, что на самом деле это
началось с 12.4(20). То есть лучше всего заранее проверить, есть ли такая возможность в установлнных IOS-ах.

Итак, начинаем с 7206, версия 12.4(24). Вообще-то там была 12.4(15), но по совету друзей мы сделали апгрейд.

Набор команд, которыми нужно пользоваться, не так уж и велик:

ipv6 cef

(без этого не работает NetFlow)

ipv6 flow-export version 9

в 5й версии нет IPv6

ipv6 flow-export destination 192.168.123.45 9876

(аналогично 4й версии протокола)

Вся прелесть — в последней команде: можно отправлять v4 и v6 трафик на один коллектор,
но на разные порты, чтобы складывать его в разные файлы — это очень удобно для анализа,
особенно в начале работы. А также можно отправлять коллектору статистику раздельно:
используя NetFlow5 для IPv4 и NetFlow9 для IPv6, что мы и сделали. А еще прикольно то, что
отправка статистики по IPv6 осуществляется только на IPv4-адрес коллектора. Без вариантов!

Кстати, команда ipv6 flow-export version 9 в конфигурационном файле не появилась, так как 9 версия используется по-умолчанию.

Ну, и на нужных интерфейсах следует дать команды

ipv6 flow ingress
ipv6 flow egress

или одну, или обе — вопрос вашей схемы учета.

Затем можно наблюдать за результатами: для начала убеждаемся, что статистика по IPv4 продолжает
отправляться, а затем смотрим, идет ли процесс сбора статистики по IPv6.

gw-0#sh ipv6 flow export

(Показать результат)
Судя по всему, процесс идет. Смотрим дальше:

gw-0#sh ipv6 flow cache

(Показать результат)
…и много-много строк…

Ура! Процесс пошел! Можно переходить к коллектору!

Настройка второго сенсора.

А тут подстерегала неудача — несмотря на IOS 12.4(24), команд для конфигурирования NetFlow для IPv6
там не оказалось. Будем разбираться..

Настройка первого коллектора.

Сейчас сбор данных IPv4-NetFlow5 идет на машине под ОС FreeBSD при помощи пакета flow-tools. Пакет
хороший, стабильно работающий, но очень старый, и разработчики давным-давно перестали обновлять его. Начинаем искать замену.

Наибольшее число положительных отзывов приходится на пакет flowd. С нашей точки зрения, у него есть несомненные плюсы:

  • работает и с NetFlow9, и с IPv6
  • существует package для FreeBSD и OpenBSD
  • прост, состоит из 2 утилит и 1 конфигурационного файла

Устанавливаем его. В конфигурационном файле нужно прописать ip-адреса и порты, с которых будет
приниматься трафик, а также путь к файлу, куда будет записываться статистика. Кстати, директории
на пути к файлу должны существовать, так как пакет не умеет создавать их. И, естественно, flowd
должен иметь право записи в этом месте. Для запуска flowd достаточно этих опций.

Перед запуском при помощи tcpdump убеждаемся, что пакеты со статистикой поступают на машину:

# tcpdump -n -i em0 port 9876

(Показать результат)
Вроде работает.. Запускаем flowd:

/usr/local/sbin/flowd -f <path_to_config_file>

Для отладки есть два ключа: -d (генерировать вспомогательную информацию) и -g (не переходить в фоновый
режим) . В результате файл со статистикой появился и начал расти.

В отличие от flow-tools здесь нет «естественного» механизма ротации файлов, но в мануале сказано, что
при получении сигнала SIGUSR1 происходит закрытие файла с логом и открытие его заново. Это свойство
позволяет написать несложный скрипт, который осуществляет ротацию файлов. Вообще-то, достаточно трех строк:

DATE=date +%Y%m%d%-H%M%S

mv /opt/netflow6/gw-core/ipv6-flow /opt/netflow6/gw-core/$DATE-ipv6-flow

kill -SIGUSR1 cat /var/run/flowd.pid

Осталось только сделать вызов такого скрипта из cron с заданным интервалом. По аналогии с flow-tools
делаем интервал равным 15 мин.

Просматриваем файлы, очень любопытно, что в них. Оказалось, что практически весь
трафик — это ICMP-пакеты и DNS запросы и ответы. Интересно, когда появится первое обращение к www-серверу?

Тремя днями позже

Обьединить файлы со статистикой за одни сутки очень просто. Поскольку они имеют
вид filename-yyyymmddhhmmss, то достаточно такой команды:

flowd-reader -q -o ./daily/daily-yyyymmdd filename-yyyymmdd*

(ключ -о задает результирующий файл)

после чего исходные файлы можно удалить

rm filename-yyyymmdd*

Поработаем с суточным файлом, для чего переходим в ./daily и для начала экспортируем в ascii-вид:

flowd-reader daily-yyyymmdd > daily-yyyymmdd.txt

Разумеется, комбинацию yyyymmdd следует заменить на реальные данные.

Для начала — самое любопытное: смотрим, были ли (вообще) обращения к веб-серверам:

grep «]:80 » daily-yyyymmdd.txt

Увы, пока не было. А вот

grep «]:25 » daily-yyyymmdd.txt

показывает, что почтовый обмен (точнее — его попытки) были, и не одна. При рассмотрении почтовых
логов выяснилось, что нас пытались посетить несколько спамеров (и были отсеяны еще на сетевом
уровне), а пара нормальных почтовых сессий была отвергнута по причине отсутствия реверсных
записей IPv6 у почтовиков. То есть кто-то настроил почтовик (и ОС, под которой он работает) для
работы с IPv6, а созданием реверсной записи не удосужился. Вот, почта и не пошла..

Итоги: 18 апреля 2011 года нас навестил первый IPv6-спамер.

Для удобства написали несложный скрипт (фактически состоящий из нескольких совсем простых скриптов), чтобы
автоматически обьединять мелкие дневные flow-файлы в один большой, вычислять суммарный входящий и исходящий
IPv6-трафик и отправлять результат по почте. Скрипт вызывается из cron после часа ночи, а утром мы видим результат.

Первая часть: нужно только скорректировать пути к директориям с файлами в первых строках. И — обрабатываются
файлы за предыдущий день! После успешной обработки исходные файлы удаляются, а в директории с исходными
файлами в поддиректории summ появитсся файл вида 20110423-summ, то есть файл с данными за 23 апреля 2011г.

Следующий фрагмент служит для вычисления суммарного входящего и исходящего IPv6-трафика (предполагается,
что файл с дневной статистикой уже сформирован).

Для этого нужно добавить еще один файл с названием stat.awk с таким содержимым (всего три строчки):

$13 ~ /[2001:0db8/ {totalout+=$19}
$15 ~ /[2001:0db8/ {totalin+=$19}
END { print "Total bytes in: ", totalin; print "Total bytes out: ", totalout; }

Нужно заменить 2001:0db8 на фактический префикс, любой (!) длины, но только по 4-битной границе.

Затем нужно выполнить вот этот скрипт:

(Показать файл)

Тут все очевидно. Берется файл-результат работы предыдущего скрипта, экспортируется в текстовый
формат, затем применяется awk-скрипт. Результат отправляется по почте.

Обе части Perl-скриптов легко обьединяются. Полагаю, что добавить файл на awk, состоящий из 3 строчек, также не составит труда.

И вот результат — сейчас у нас за сутки (апрель 2011г.) проходит 50Мбайт входящего IPv6-трафика, и 15Мбайт
исходящего. И это на фоне террабайтного IPv4….

Дополнение от 12.02.2012

Вот небольшой скрипт, который парсит логи веб-сервера и выдает статистику по посещаемости с IPv6-адресов.

Написан на Великом и Могучем AWK (помещается в файл v6log.awk):

BEGIN {i=0}
$0 ~ /^[23][a-h0-9]*:/ {
v6[$1]++ }
END { for (word in v6)
print ++ii,v6[word],word «\n» }

А вызывается он так:

awk -f v6log.awk access

Скрипт выдает кол-во IPv6-адресов, попавших в логи, кол-во обращений с каждого адреса и сам адрес.
Проверено, работает. Скрипт должен иметь право читать логи веб-сервера, считаем, что файл с логом называется access.

У нас сейчас (апрель 2011г.) наблюдается посещение с 1-2 уникальных IPv6-адресов в день.

Еще проще посмотреть то же самое в логах почтовой машины, у нас это Postfix. Например так:

grep -E ‘[[23][a-h0-9]*:’ maillog | grep disconnect

а если хочется посчитать число таких обращений, то нужно добавить wc -l в конце строки:

grep -E ‘[[23][a-h0-9]*:’ maillog | grep disconnect| wc -l

Опять-таки скрипт должен иметь право читать файл с логом «почтовика», и предполагаем, что
этот файл называется maillog. Проверено, работает.

https://ip.v6net.ru
129626 Москва, 3 Мытищинская 16
Хостинг ЗАО Бэст-Телеком
+7 (495) 787-47-76
AMP
AMP
AMP
Мы включили IPv6 в апреле 2011г.