今回のブログ記事は、NetFlowエクスポートが出来ないルーターやスイッチを遠隔拠点に数多く抱え、
- 各拠点のネットワーク機器のNetFlow監視を実施したい
- PRTGでどのようにそれらをサポートするかを知りたい
といった要望のあるネットワーク/システム管理者様向けの記事です。
文:ジュピターテクノロジー よしひろ
ここでいうNetFlowエクスポートが出来ないネットワーク機器とは、NetFlow v5/v9, sFlow v5, jFlowといった所謂、xFlow系のプロトコルを出力することができないネットワーク機器とご理解ください。
実現方法 – PRTGとnProbeの連携
今回実現したい構成は以下図1の通りです。
あなたは、図1環境のネットワーク管理者です。
工場B、支社Aのエッジルーター及びL2スイッチは全てNetFlowエクスポートできない機器です。
図1左上の工場Bと右上の支社Aのトラフィックがどのように使われているか?をNetFlow監視で実現する必要があります。
実は、PRTGにはリモートプローブという機能があり、このリモートプローブをインストールしたPCの空きNICにエッジルーターやスイッチのミラーポートをUTPケーブルで接続、パケットスニファーセンサーを追加すれば図1の構成にも対応できます。
しかし、頻繁に頂くシステム要件の中にNetFlowダンプ(NetFlowのrawデータ出力)の長期保存といったものがあるのですが、PRTG単独ではこの要件をクリアすることができません。
こういったご要件を頂いた際に弊社がご案内させていただくのが、ntop社のnProbeを遠隔拠点に配置、NetFlowプローブとて動作させPRTGが連携するシステム構成です。
nProbeをインストールする筐体に複数NICを搭載し、各遠隔拠点に配布すればエッジルータ、スイッチのミラーポートやTAP利用で各拠点の通信をNetFlow v5/v9, IPFIXに変換してPRTGや他のフローコレクター製品にエクスポートすることができます。
本記事では、PRTGのNetFlow v9カスタムセンサーの設定方法、nProbeの設定方法を詳細にご説明致します。
PRTG、NetFlow v9カスタムセンサーの導入
NetFlow v9カスタムセンサーの追加
PRTGの運用者であれば、既に慣れている作業かもしれません。監視対象デバイスにNetFlow v9カスタムセンサーを追加します。センサーの追加画面、検索で「netflow」と入力し、「NetFlow v9カスタムセンサー」を追加してください。
設定画面が表示されますので、以下のフィールドを設定します。
センサー名: NetFlow v9 (カスタム)@工場BNetFlowパケットを受信するUDPポート: 2055送信者のIP: 192.168.91.46 ※工場Bのエッジルーターを想定アクティブフロータイムアウト(分): 10分チャネル定義: ※追加したいチャネルを以下の様にユーザー定義
#1445:SMB(445)Protocol[TCP] and (SourcePort[445] or DestinationPort[445])#1001:HTTPProtocol[TCP] and ( SourcePort[80] or DestinationPort[80] or SourcePort[8080] or DestinationPort[8080])#1023:HTTPSProtocol[TCP] and (SourcePort[443] or DestinationPort[443])#1024:FTP (Control)Protocol[TCP] and (DestinationPort[20-21] OR SourcePort[20-21])#1006:IMAP(Protocol[TCP] or Protocol[UDP]) and ( DestinationPort[143] or SourcePort[143] or DestinationPort[220] or SourcePort[220] or DestinationPort[993] or SourcePort[993])#1008:POP3Protocol[TCP] and (SourcePort[110] or DestinationPort[110] or SourcePort[995] or DestinationPort[995])#1011:SMTPProtocol[TCP] and (SourcePort[25] or DestinationPort[25])#1007:IRCProtocol[TCP] and (SourcePort[6667] or DestinationPort[6667])#1025:AIMProtocol[TCP] and (SourcePort[5190] or DestinationPort[5190])#1009:RDP(Protocol[TCP] or Protocol[UDP]) and (SourcePort[3389] or DestinationPort[3389])#1014:SSHProtocol[TCP] and (SourcePort[22] or DestinationPort[22])#1016:TelnetProtocol[TCP] and (SourcePort[23] or DestinationPort[23])#1017:VNCProtocol[TCP] and (SourcePort[5800] or DestinationPort[5800] or SourcePort[5900] or DestinationPort[5900])#1003:DHCPProtocol[UDP] and ((SourcePort[68] and DestinationPort[67]) or (SourcePort[67] and DestinationPort[68]))#1004:DNS(Protocol[TCP] or Protocol[UDP]) and (SourcePort[53] or DestinationPort[53])#1005:IdentProtocol[TCP] and (SourcePort[113] or DestinationPort[113])#1018:ICMPProtocol[ICMP]#1012:SNMPProtocol[UDP] and (SourcePort[161-162] or DestinationPort[161-162])#1019:NETBIOS(Protocol[TCP] OR Protocol[UDP]) AND (DestinationPort[137-139] OR SourcePort[137-139])#1026:CitrixProtocol[TCP] and (Port[1494] or Port[2598] or Port[2512])#1021:OtherUDPProtocol[UDP]#1022:OtherTCPProtocol[TCP]
以上を設定し、「作成」ボタンを押してください。
nProbeの設定
nProbeをインストールしたPCを工場Bのエッジルータ、L2スイッチのミラーポートに接続します。nProbeからPRTGにNetFlow v9をエクスポートするよう設定します。/etc/nprobe配下に以下の設定ファイルを配置してください。[/etc/nprobe/nprobe-prtg.conf]
-i=enp1s0f1 ・・・ミラーポートに接続するインターフェイス名-n=192.168.91.240:2055 ・・・PRTGのIPアドレス-T=@NTOPNG@ ・・・テンプレート-P=/var/log/nprobe/prtg ・・・ダンプフォルダ-V=9 ・・・NetFlow v9指定
最後に以下のコマンドを実行するだけです。
$systemctl start nprobe@prtg
PRTGのNetFlow v9カスタムセンサー表示
最後に今迄設定したNetFlow v9カスタムセンサーが実際にどのようにPRTG COREサーバーのWebコンソールで表示されるのかをご紹介します。
如何でしたでしょうか?PRTGとnProbeを活用して、組織ネットワークの可視化を低コストで実現しましょう!
新しくなったPRTGの日本語インタフェースをぜひお試しください!
