Traffic Flow

Traffic Flow MikroTik

Опубликовано Автор: WinBox

Ранее мы отслеживали кто куда ходит только средствами самого MikroTik, пришла пора использовать специализированные инструменты Traffic Flow

Профессиональная настройка MikroTik
Без предоплаты

Telegram: @Engineer_MikroTik

Использовать будем NetFlow Traffic Analyzer, который с полным функционалом работает 1 месяц, а в бесплатном позволяет снимать трафик с 2 интерфейсов.

Система в первую очередь полезна для ответа на вопрос руководства — зачем нам 100-200-300Мбит? Где сидят пользователи? Кто и куда сливает данные?

А это все сети, где маршрутизатором стоит MikroTik.

Установка NetFlow Traffic Analyzer

Скачиваем на сайте https://www.manageengine.com/products/netflow/download.html под вашу Windows или Linux (в этой статье рассматривается только Windows, но интерфейс не отличается от Linux)

Устанавливаем все стандартно не меняя порты, которые по уполчанию:

  1. HTTP Port: 8060
  2. HTTPS Port
  3. NetFlow: 9996

Не забываем разрешить на сервере входящие соединения на эти порты

Настройка Traffic Flow на MikroTik

Traffic Flow MikroTik Interfaces
IP > Traffic Flow
Включаем и выбираем нужные интерфейсы
Traffic Flow MikroTik Targets
Targets >
Настраиваем отправку на сервер NetFlow Analyzer, причем можно указать несколько серверов
Указываем IP источника и IP сервера с портом и версией

Настройка на стороне MikroTik закончена, нам больше ничего от него не требуется, кроме как добавлять или менять отслеживаемые порты.

Настройка NetFlow Traffic Analyzer

После настройки на стороне MikroTik, сервер уже начал собирать и хранить данные кто куда подключался (не сам трафик, а факт подключения)

Логин и пароль NetFlow Analyzer
admin/admin
Интерфейсы MikroTik NetFlow Analyzer
Инвентаризация > Интерфейсы
Видим уже информацию о интерфейсах

Как смотреть трафик MikroTik

Система хранит информацию о трафике (src. address/dst.address protocol/port), который прошел через маршрутизацию MikroTik

В этих же интерфейсах нажимаем на нужный (тут придется разобраться кто есть кто и дать названия и скорость, либо настроить SNMP для автоматического определения имен)

Переименование интерфейса MikroTik на NetFlow Analyzer
В моем случае это bridgeLAN, он же Vlan1 или Native Vlan1
Задаю понятное имя и скорость 600Мбит
Интерфейсы NetFlow Analyzer с нормальным названием
Так же можно подписать остальные интерфейсы и на них получить бесплатную лицензию
Traffic Flow MikroTik
Нажимаем на интерфейс и попадаем в его статистику
Traffic Flow MikroTik
Можно выбрать статистику за произвольный период
MikroTik статистика трафика по приложениям
Статистика трафика по приложениям
MikroTik статистика трафика по src. address
Статистика по Src. Address
MikroTik статистика трафика по dst. address
Статистика по Dst. Address

А так же при нажатии на адрес, увидим кто к нему или от него обращался

MikroTik статистика куда ходил IP
Куда обращался хост источник 10.88.1.15
MikroTik статистика кто ходил на IP
Кто обращался к назначению 93.188.40.130

Заключение

Traffic Flow даже с использованием бесплатных версий программ может упростить анализ трафик и даже помочь в расследовании инцидентов. Платная версия позволяет определять с помощью Active Directory имена пользователей, строить интересные отчеты и многое другое.

Если вы знаете аналог из импортозамещения, напишите мне в Телеграм.

WinBox
Top
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.