Difference between revisions of "Cisco NetFlow"
Helikopter (talk | contribs) |
Helikopter (talk | contribs) |
||
| Line 1: | Line 1: | ||
| − | Netflow är ett Cisco-properitärt protokoll som används för att | + | Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates, Flexible NetFlow. Det finns även IETF-standard, [https://en.wikipedia.org/wiki/IP_Flow_Information_Export IPFIX]. |
Komponenter: | Komponenter: | ||
| − | * Flow exporter | + | * Flow exporter, t.ex. en router |
* Flow collector, t.ex. [[Pmacct]] | * Flow collector, t.ex. [[Pmacct]] | ||
* Analysis application, t.ex. [[Ntopng]], [[FastNetMon]] | * Analysis application, t.ex. [[Ntopng]], [[FastNetMon]] | ||
=Konfiguration= | =Konfiguration= | ||
| + | IOS | ||
int gi0/0 | int gi0/0 | ||
ip flow ingress | ip flow ingress | ||
| Line 21: | Line 22: | ||
===ASR=== | ===ASR=== | ||
| − | OBS en ASR kan inte sitt management-interface som source för NetFlow-exporten | + | OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten |
flow exporter COLLECTOR | flow exporter COLLECTOR | ||
destination 10.0.0.10 | destination 10.0.0.10 | ||
| Line 69: | Line 70: | ||
show flow monitor | show flow monitor | ||
show flow interface | show flow interface | ||
| + | |||
| + | =IP Accounting= | ||
| + | IP Accounting är en feature i IOS som också kan användas för att kolla trafik. Dock mindre populär än NetFlow. | ||
| + | ip accounting-threshold 1200 | ||
| + | ip accounting-list 10.0.10.0 0.0.0.255 | ||
| + | int g2/0 | ||
| + | ip accounting output-packets | ||
| + | |||
| + | show ip accounting | ||
| + | clear ip accounting | ||
| + | Stores the old accounting databse into a checkpoint | ||
| + | show ip accounting checkpoint | ||
| + | |||
| + | MAC adress | ||
| + | ip accounting mac-address input | ||
| + | show interface gi2 mac-accounting | ||
[[Category:Cisco]] | [[Category:Cisco]] | ||
Revision as of 20:20, 24 May 2016
Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates, Flexible NetFlow. Det finns även IETF-standard, IPFIX.
Komponenter:
- Flow exporter, t.ex. en router
- Flow collector, t.ex. Pmacct
- Analysis application, t.ex. Ntopng, FastNetMon
Contents
Konfiguration
IOS
int gi0/0 ip flow ingress ip flow egress
Top-talkers
ip flow-top-talkers sort-by bytes top 5
Show
show ip flow top-talkers show ip cache flow
ASR
OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten
flow exporter COLLECTOR destination 10.0.0.10 transport udp 2055 source gi0/1 export-protocol netflow-v9 flow monitor FLOW-MONITOR record netflow ipv4 original-input exporter COLLECTOR cache timeout active 60 interface gi0/3 ip flow monitor FLOW-MONITOR input
"Random Sampled NetFlow is more statistically accurate than Sampled NetFlow." - Cisco
sampler SAMPLER-1 mode random 1 out-of 1000 interface gi0/3 ip flow monitor FLOW-MONITOR sampler SAMPLER-1 input
Verify
show flow exporter show flow interface show flow monitor show flow exporter statistics
Nexus
feature netflow
flow exporter COLLECTOR destination 10.0.0.10 use-vrf management export Version 9 transport udp 2055 source mgmt 0 flow monitor FLOW-MONITOR exporter COLLECTOR record netflow-original
Ska man samla in netflow på ett interface i ett F3-kort måste samplar användas.
sampler SAMPLER-1 mode 1 out-of 5
Interface
interface Ethernet1/1 ip flow monitor FLOW-MONITOR input sampler SAMPLER-1
Verify
show flow record netflow-original show flow exporter show flow monitor show flow interface
IP Accounting
IP Accounting är en feature i IOS som också kan användas för att kolla trafik. Dock mindre populär än NetFlow.
ip accounting-threshold 1200 ip accounting-list 10.0.10.0 0.0.0.255 int g2/0 ip accounting output-packets
show ip accounting clear ip accounting
Stores the old accounting databse into a checkpoint
show ip accounting checkpoint
MAC adress
ip accounting mac-address input show interface gi2 mac-accounting
