7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA

Home

Acerca de

Servicios

Galeria

Casos de Exito

Blog

Contacto

MONITOREOdeTRAFICOconMIKROTIKY
NETFLOW
Home MONITOREO de TRAFICO con MIKROTIK Y NETFLOW

07may

Noticias|Comentarios
Una pregunta recurrente que me suelen hacer es
la siguiente
cmo monitorear el total de trfico (subida
y bajada), de nuestrared de clientes / hosts,
de manera tal que podamos visualizar el
trfico IP por IP de manera individual?

Algunos administradores directamente crean

queues simples enel routeador Mikrotik , y
luego, la herramientagraph (del men
tools), crea automagicamente las grficas dentro del propio Mikrotik.
Sin embargo, no siempre es efectiva esa herramienta, ya sea porquepuede ser que no utilicemos
queues simples, o porque no queremossobrecargar el router (ya que los grficos son creados,
actualizados, procesados y almacenadosen el mismo), o porque a veces sucede que el router
pierde stosgrficos, por diversos motivos.
Bien, desde mi punto de vista la mejor manera que yo he encontradoal da de hoy de hacerlo es
mediante la utilizacin del protocoloNetFlow

NetFlowesunprotocolodereddesarrolladoporCiscoSystems
pararecolectarinformacinsobretrficoIP.
Netflow se ha convertido enun estndar de la industria de monitoreo de trfico de red,
y actualmente est soportado para varias plataformas (adems de Cisco)
Dado a que Mikrotik dispone de NetFlow, al activar el mismo lo que sucede
es que el Router comienza a enviar pequeos trozos de informacin
a un servidor (tambin llamado colector) Netflow , que es quien recibe
informacin del router (o sonda o exporter), la almacena y procesa.
Luego con esta informacin es posible elaborar grficos del trfico.

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

1/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA

Ms informacin sobre NetFlowhttp://es.wikipedia.org/wiki/Netflow

*****************************************************************************
ManosalaObra!
Lo primero que vamos a necesitar es un servidor (colector) que recibalos paquetes NetFlow
enviadospor el router (sonda).
Para el desarrollo del presente ejemplo, optamos por un servidor Linux Debian.
No es el propsito de ste artculo indicar como se monta un Linux Debian. Quienes necesiten
informacion al respecto recomiendo el sitio web HowToForge
https://www.howtoforge.com/
Una vez que tengamos en marcha nuestro equipo con Linux Debian, con los siguientes paquetes
adicionales podremos montar nuestro colector NetFlow
apache2 (para poder desplegar el grfico por web)
pmacct (paquete de linux que contiene el colector netflow)
pnrg (pequea aplicacin que realiza grficos a partir de losinformes generados por
pmacct)

*****************************************************************************
InstalacindelcolectorNetFlowenLinux
Como sealamos, el paquete que contiene el colector NetFlowen Linux es PMACCT, el cual
instalaremos as:

aptitudeinstallpmacct

Dicho paquete pmacct incluye ademas:

pmacctd: convierte al Linux en una sonda (o exporter),de cada paquete que lo
atraviesa.
No lo vamos a utilizardado a que en ste escenario el servidor Linux no acta como sonda,
sino en realidadlo vamos a configurar como colector
nfacctd: es la aplicacin que vamos a utilizar y es la que realmentecolecta
paquetesNetFlow proveniente de la sonda o exporter
pmacct: (no confundir con pmacctd)es la aplicacion que lee los paquetes
netFlowcolectadospor nfacctd y permite mostrar estadsticas y hacerlos humanamente
leibles.
Existen otras aplicaciones incluidas en el paquete como sfacctd y uacctdque son similares pero
trabajan sobre variaciones del protocolo NetFlow.
Rpidamente diremos que sfacctd es el colector del protocolo sFlow (http://www.sflow.org)
y uacctd es el colector basado en Linux Netlink ULOG
(http://rlworkman.net/howtos/ulogd.html)

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

2/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA
Lo siguiente que vamos a hacer es quitar del proceso de booteoel pmacctd ya que el paquete lo
activa automticamente cada vezque arranca la maquina Linux. Para ello

updaterc.dfsfacctdremove
updaterc.dfuacctdremove
updaterc.dfpmacctremove

Con sto, slo quedar activo el servicio nfacctd, es decirel colector NetFlow, el cual
es el que nos interesa ya que recibir del router Mikrotik (sonda) los paquetes NetFlow
Ahora configuramos nfacctd:
Podemos renombrar el archivo original para no perderlo:

mv/etc/pmacct/nfacctd.conf/etc/pmacct/nfacctd.conf.dist

Y ahora creamos un archivo nuevo de configuracin:

vim/etc/pmacct/nfacctd.conf

!
!NFACCTDCONFIGURATION,ACEPTARTRAFICODESDEMIKROTIK
!TRAFFICFLOW.
!
debug:false
daemonize:true
!
plugin_buffer_size:2048
plugin_pipe_size:2048000
!
networks_file:/etc/pmacct/hosts.def
!
!IMPORTANTEDEFINIRELPUERTOQUEESCUCHARAELCOLECTOR
!LUEGOENELMIKROTIKDEBEMOSINDICARESTENUMERODEPUERTO
!
nfacctd_port:5055
!
!
!NOSINTERESAELTRAFICOIN/OUT
!
plugins:memory[in],memory[out]
!
aggregate[in]:dst_host
aggregate[out]:src_host
!
!LAINFORMACIONDELOSFLOWSRECIBIDOSSEALMACENARA
!ENLAMEMORIA,PARALUEGOSERPROCESADAYGRAFICADA
!
imt_path[in]:/tmp/pmacct_in.pipe
imt_path[out]:/tmp/pmacct_out.pipe

En ste archivo de configuracin hacemos referenciaal archivo hosts.def, en el cual debemos

indicar las subredesque nos interesan monitorear (en ste caso, las subredesde nuestros
clientes)

172.16.0.0/16
10.0.0.0/8
192.168.0.0/16
RangosdeIpspublicas,etc...

Reiniciamos el servicio para que tome los cambios

/etc/init.d/nfacctdstop

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

3/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA
/etc/init.d/nfacctdstart

Chequeamos que realmente se encuentre funcionando el colector, medianteel comando netstat.

Debera arrojarnos un resultado as:

COLECTORSERVER:/etc/pmacct#netstatpunlt|grep5055
udp600:::5055:::*4503/nfacctd:Core

Y con esto, finalmente hemos terminado de configurar el colector!!!!

*****************************************************************************
ActivacindelasondaNetFlowenRouterOS
Debemos activar la sonda (Routeador MIKROTIK) para que envie los flujosNetFlow al colector,
es decir el Linux.
Esto es mucho ms sencillo de hacer

/iptrafficflowsetactiveflowtimeout=30mcacheentries=4kenabled=yesinactiveflowtimeout=15s\
interfaces=all

/iptrafficflowtargetaddaddress=172.16.21.2:5055disabled=nov9templaterefresh=20v9templatetimeout=30m\
version=9

Con esto, le estamos diciendo al Mikrotik que active el envio de paquetes

NetFlow a 172.16.21.2 (en este ejemplo, la IP de nuestro servidor colector Linux), puerto
5055, usando la version 9 de NetFlow.
Podemos ver la evolucin de envo de paquetes NetFlow en IP>TrafficFlow>Status
Tambin podemos chequear la recepcion de paquetes NetFlow en el debian medianteel comando
pmacct (no confundir con pmacctd)

pmacctsp/tmp/pmacct_in.pipe

o para ver el trafico OUT:

pmacctsp/tmp/pmacct_out.pipe

Se tiene que desplegar una tabla as como la siguiente:

COLECTORSERVER:/etc/pmacct#pmacctsp/tmp/pmacct_out.pipe
SRC_IPPACKETSBYTES
11.0.1.2342238
11.0.3.1682238
11.0.0.422238
11.1.2.1962609181636
11.1.4.13020834155
11.1.3.163261664
11.1.1.229535886
11.0.0.2262238
11.1.0.22129781209665
11.1.3.122732138421
11.0.2.1192238
11.0.1.1522238

*****************************************************************************
InstalacindePNRG
PNRG como indicamos arriba es la aplicacin que toma los datos almacenados
en el colector, leyndolos con el comando pmaccct, y con esta informacin

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

4/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA
genera los grficos buscados.
Para que todo funcione ms fcilmente y no tengamos que modificar
la configuracin por defecto, lo ideal es instalarlo en /usr/local/pntg

mkdir/usr/local/pnrg
cd/usr/local/pnrg

Lo descargamos:

wgethttp://www.pmacct.net/pnrg/pnrg0.1.tar.gz

Descomprimimos:

tarzxvfpnrg0.1.tar.gz
mvpnrg0.1/*.

De este modo en /usr/local/pnrg nos quedar instalada la aplicacin.

Ahora instalamos algunos paquetes necesarios para el funcionamiento
de Pnrg

aptgetinstallrrdtool

Ahora debemos indicarle a PNRG que actualice los grficos cada 5 minutos

echo"*/5****root(cd/usr/local/pnrg/;./pnrgwrapper.sh)">/etc/cron.d/pnrg

Y creamos algunos Symbolic Links para que no tengamos que modificar los scripts de Pnrg

lns/usr/bin/pmacct/usr/local/bin/pmacct
mkdirp/usr/local/rrdtool/bin/
lns/usr/bin/rrdtool/usr/local/rrdtool/bin/rrdtool
lns/usr/bin/rrdcgi/usr/local/rrdtool/bin/rrdcgi

*****************************************************************************
InstalacinyconfiguracindeApache
Para que PNRG pueda desplegar los graficos debemos instalar y configurar
el servidor web apache
La instalacin es sumamente sencilla:

aptgetinstallapache2

Vamos a configurarlo de tal modo que podamos acceder a las grficas

desde http://IP.SERVIDOR/pnrg
Entonces creamos el siguiente enlace simbolico.

lns/usr/local/pnrg/spool/var/www/pnrg

Y habilitamos la ejecucin de los archivos.cgi en /var/www/pnrg

Editamos /etc/apache2/sitesenabled/000default

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

5/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA
y agregamos lo siguiente

AddHandlercgiscript.cgi.pl
<Directory/var/www/pnrg/>
OptionsIndexesExecCGI
AllowOverrideNone
Orderallow,deny
Allowfromall
</Directory>

Por ltimo, reiniciamos apache para que tome los cambios

/etc/init.d/apache2restart

Si todo ha salido bien, podemos acceder a las grficas desdehttp://IP.SERVIDOR/pnrg

En el men de la izquierda debern aparecernos todas las direcciones IPs de los hosts
pertenecientes
a nuestra red declarada en /etc/pmacct/hosts.def

DejarunMensaje
Nombre *
Email *
http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

6/7

7/5/2015

MONITOREOdeTRAFICOconMIKROTIKYNETFLOWNETPROARGENTINA

Sitio Web
Comentario

AdicionarComentario

Sganosen:

Lleve un registro de NetPro en todas sus

redes sociales favoritas.

InformacindeContacto
NetPro
Humboldt 1844
Bahia Blanca, b8001dgj
Argentina
Tel/Fax: (0291) 481 7008
Mail: netpro@netproar.com

Copyright 2013 NetPro Todos los derechos reservados.

http://www.netproar.com/monitoreodetraficoconmikrotikynetflow/

7/7