Difference between revisions of "Cisco NetFlow"

From HackerNet
Jump to: navigation, search
Line 72: Line 72:
  
 
=IP Accounting=
 
=IP Accounting=
IP Accounting är en feature i IOS som också kan användas för att kolla trafik. Dock mindre populär än NetFlow.
+
IP Accounting är en annan feature i IOS som också kan användas för att kolla trafik, dock mindre populär än NetFlow.
 
  ip accounting-threshold 1200
 
  ip accounting-threshold 1200
 
  ip accounting-list 10.0.10.0 0.0.0.255
 
  ip accounting-list 10.0.10.0 0.0.0.255
Line 83: Line 83:
 
  show ip accounting checkpoint
 
  show ip accounting checkpoint
  
MAC adress
+
Det går även att kolla MAC-adresser.
  ip accounting mac-address input
+
  interface gi2
 +
  ip accounting mac-address input
 
  show interface gi2 mac-accounting
 
  show interface gi2 mac-accounting
  
 
[[Category:Cisco]]
 
[[Category:Cisco]]

Revision as of 17:29, 27 May 2016

Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates, Flexible NetFlow. Det finns även IETF-standard, IPFIX.

Komponenter:

Konfiguration

IOS

int gi0/0
 ip flow ingress
 ip flow egress

Top-talkers

ip flow-top-talkers
 sort-by bytes
 top 5

Show

show ip flow top-talkers 
show ip cache flow 

ASR

OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten

flow exporter COLLECTOR
 destination 10.0.0.10
 transport udp 2055
 source gi0/1
 export-protocol netflow-v9
flow monitor FLOW-MONITOR
 record netflow ipv4 original-input
 exporter COLLECTOR
 cache timeout active 60
interface gi0/3
 ip flow monitor FLOW-MONITOR input

"Random Sampled NetFlow is more statistically accurate than Sampled NetFlow." - Cisco

sampler SAMPLER-1
 mode random 1 out-of 1000
interface gi0/3
 ip flow monitor FLOW-MONITOR sampler SAMPLER-1 input

Verify

show flow exporter
show flow interface
show flow monitor
show flow exporter statistics

Nexus

feature netflow
flow exporter COLLECTOR
 destination 10.0.0.10 use-vrf management
 export Version 9
 transport udp 2055
 source mgmt 0
flow monitor FLOW-MONITOR
 exporter COLLECTOR
 record netflow-original

Ska man samla in netflow på ett interface i ett F3-kort måste samplar användas.

sampler SAMPLER-1
 mode 1 out-of 5

Interface

interface Ethernet1/1
 ip flow monitor FLOW-MONITOR input sampler SAMPLER-1

Verify

show flow record netflow-original
show flow exporter
show flow monitor 
show flow interface

IP Accounting

IP Accounting är en annan feature i IOS som också kan användas för att kolla trafik, dock mindre populär än NetFlow.

ip accounting-threshold 1200
ip accounting-list 10.0.10.0 0.0.0.255
int g2/0
 ip accounting output-packets
show ip accounting
clear ip accounting

Stores the old accounting databse into a checkpoint

show ip accounting checkpoint

Det går även att kolla MAC-adresser.

interface gi2
 ip accounting mac-address input
show interface gi2 mac-accounting