Анализ трафика на Mikrotik + NetFlow Analyzer

NetFlow Analyzer это программа написанная на Java. В нем можно быстро создавать «комплексные панели», для мониторинга критических сегментов сети. В моем случае, потребовалось считать трафик с каждого порта на Mikrotik с возможностью его детализации за определенный срок (день/неделя/месяц). Dashboard настраивается под задачи определенного пользователя и может состоять из многочисленных виджетов, отвечающих за получение информации с разных устройств. Из-за простоты работы с NetFlow Analyzer можно быстро оценить сложившуюся ситуацию, получить представление о текущей нагрузке на критические участки сети и изучить показатели производительности, не тратя времени на поиски и просмотр разрозненных отчетов. В комплект поставки NetFlow Analyzer включено более полусотни «виджетов».

С установкой данного продукта сложностей возникнуть не должно. Для теста была взята Windows 7 x64 и установлена JRE аналогичной битности. После успешной установки переходим по адресу: http://localhost:8080/netflow/jspui/dashBoard.do
По умолчанию используются эти порты:
web: 8080
NetFlow: 9996

SNMP Community: public
SNMP: 161

Теперь перейдем к настройке микротика:
Идете в IP -> TraficFlow и выставляете настройки как в примере изменяя адрес назначение на требуемый.

Галкой включаем Traffic flow
Interfaces — Имена тех интерфейсов, которые будут использоваться для сбора статистики трафика. Можно указать несколько
cache-entries (128k | 16k | 1k | 256k | 2k | … ; по умолчанию: 4k) — Количество потоков, которые могут одновременно находиться в памяти маршрутизатора.
active-flow-timeout (по умолчанию: 30 мин.) — Максимальный срок жизни потока.
inactive-flow-timeout (по умолчанию: 15 сек.) — Как долго поддерживать поток, если он неактивен. Если в этом тайм-ауте соединение не увидит пакет, то он будет помечен как новый. Если тайм-аут слишком мал, то возможно создание значительного количества потоков и переполнение буфера.

В окне Targets:
address (IP : порт) — IP адрес и порт (UDP) хоста, который получает статистические пакеты потока от маршрутизатора.
v9-template-refresh (по умолчанию: 20) — Количество пакетов, после которых шаблон отправляется на принимающий хост (только для NetFlow версии 9)
v9-template-timeout (по умолчанию: 1800 ) — Как долго отправлять шаблон, если он не был отправлен.
version (по умолчанию: 9 ) —  Какую версию NetFlow использовать.

Для настройки из под терминала требуется выполнить следующие команды:

# Включаем traffic-flow
/ip traffic-flow set enabled=yes

# Проверяем
/ip traffic-flow print         
                enabled: yes
             interfaces: all
          cache-entries: 4k
    active-flow-timeout: 1m
  inactive-flow-timeout: 15s

# Указываем IP-адрес и порт хоста, которые будут получать пакеты трафика потока
/ip traffic-flow target add dst-address=10.10.1.3 port=9996 version=9

Включаем SNMP:
IP -> SNMP

После повторного входа в меню NetFlow Analyzer должны увидеть примерно следующее:

Если порты на Mikrotik’е будут отображаться не правильно или не корректно, идем в Devices -> Set SNMP
В открывшимся окне выбираем требуемое устройство, проверяем что бы правильно было указано SNMP Community и порт. Далее Interface Name устанавливаем ifName и ставим галку на also retrieve the router name. После обновления все должно отображаться корректно.

Если вообще ничего не завелось, то надо проверить порты которые установлены на mikrotik и которые слушает коллектор.
Admin -> Server settings

NetFlow / sFlow Listener Port — порт, на который принимаются потоки с устройств.
WebServer Port — порт веб интерфейса.
Count Of Top Records to Store — максимальное количество строк, выводимое в таблицах с данными.

Если NetFlow Analyzer не видит ethernet портов соединенных в бридж, введите:

/interface bridge settings set use-ip-firewall yes

На этом все. Надеюсь данный материал помог вам в настройке. Если остались вопросы, пишите в комментарии.