Difference between revisions of "Cisco NetFlow"
Helikopter (talk | contribs) |
Helikopter (talk | contribs) m (→IP Accounting) |
||
| Line 72: | Line 72: | ||
=IP Accounting= | =IP Accounting= | ||
| − | IP Accounting är en feature i IOS som också kan användas för att kolla trafik | + | IP Accounting är en annan feature i IOS som också kan användas för att kolla trafik, dock mindre populär än NetFlow. |
ip accounting-threshold 1200 | ip accounting-threshold 1200 | ||
ip accounting-list 10.0.10.0 0.0.0.255 | ip accounting-list 10.0.10.0 0.0.0.255 | ||
| Line 83: | Line 83: | ||
show ip accounting checkpoint | show ip accounting checkpoint | ||
| − | MAC | + | Det går även att kolla MAC-adresser. |
| − | ip accounting mac-address input | + | interface gi2 |
| + | ip accounting mac-address input | ||
show interface gi2 mac-accounting | show interface gi2 mac-accounting | ||
[[Category:Cisco]] | [[Category:Cisco]] | ||
Revision as of 17:29, 27 May 2016
Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates, Flexible NetFlow. Det finns även IETF-standard, IPFIX.
Komponenter:
- Flow exporter, t.ex. en router
- Flow collector, t.ex. Pmacct
- Analysis application, t.ex. Ntopng, FastNetMon
Contents
Konfiguration
IOS
int gi0/0 ip flow ingress ip flow egress
Top-talkers
ip flow-top-talkers sort-by bytes top 5
Show
show ip flow top-talkers show ip cache flow
ASR
OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten
flow exporter COLLECTOR destination 10.0.0.10 transport udp 2055 source gi0/1 export-protocol netflow-v9 flow monitor FLOW-MONITOR record netflow ipv4 original-input exporter COLLECTOR cache timeout active 60 interface gi0/3 ip flow monitor FLOW-MONITOR input
"Random Sampled NetFlow is more statistically accurate than Sampled NetFlow." - Cisco
sampler SAMPLER-1 mode random 1 out-of 1000 interface gi0/3 ip flow monitor FLOW-MONITOR sampler SAMPLER-1 input
Verify
show flow exporter show flow interface show flow monitor show flow exporter statistics
Nexus
feature netflow
flow exporter COLLECTOR destination 10.0.0.10 use-vrf management export Version 9 transport udp 2055 source mgmt 0 flow monitor FLOW-MONITOR exporter COLLECTOR record netflow-original
Ska man samla in netflow på ett interface i ett F3-kort måste samplar användas.
sampler SAMPLER-1 mode 1 out-of 5
Interface
interface Ethernet1/1 ip flow monitor FLOW-MONITOR input sampler SAMPLER-1
Verify
show flow record netflow-original show flow exporter show flow monitor show flow interface
IP Accounting
IP Accounting är en annan feature i IOS som också kan användas för att kolla trafik, dock mindre populär än NetFlow.
ip accounting-threshold 1200 ip accounting-list 10.0.10.0 0.0.0.255 int g2/0 ip accounting output-packets
show ip accounting clear ip accounting
Stores the old accounting databse into a checkpoint
show ip accounting checkpoint
Det går även att kolla MAC-adresser.
interface gi2 ip accounting mac-address input show interface gi2 mac-accounting
