Difference between revisions of "Cisco NetFlow"
Helikopter (talk | contribs) m (→IP Accounting) |
Helikopter (talk | contribs) m |
||
| Line 1: | Line 1: | ||
| − | Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates | + | Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates. Det finns även IETF-standard, [https://en.wikipedia.org/wiki/IP_Flow_Information_Export IPFIX]. |
Komponenter: | Komponenter: | ||
| Line 7: | Line 7: | ||
=Konfiguration= | =Konfiguration= | ||
| − | IOS | + | Legacy IOS syntax |
int gi0/0 | int gi0/0 | ||
ip flow ingress | ip flow ingress | ||
| Line 22: | Line 22: | ||
===ASR=== | ===ASR=== | ||
| − | OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten | + | IOS-XE använder den modernare syntaxen som kallas Flexible NetFlow. Man kan även definiera och använda egna flow records, dvs vilken information som ska exporteras. <br/> |
| + | OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten. | ||
flow exporter COLLECTOR | flow exporter COLLECTOR | ||
destination 10.0.0.10 | destination 10.0.0.10 | ||
| Line 28: | Line 29: | ||
source gi0/1 | source gi0/1 | ||
export-protocol netflow-v9 | export-protocol netflow-v9 | ||
| + | |||
flow monitor FLOW-MONITOR | flow monitor FLOW-MONITOR | ||
| − | record netflow ipv4 original-input | + | record netflow ipv4 original-input |
exporter COLLECTOR | exporter COLLECTOR | ||
cache timeout active 60 | cache timeout active 60 | ||
| + | |||
interface gi0/3 | interface gi0/3 | ||
ip flow monitor FLOW-MONITOR input | ip flow monitor FLOW-MONITOR input | ||
| Line 45: | Line 48: | ||
show flow monitor | show flow monitor | ||
show flow exporter statistics | show flow exporter statistics | ||
| + | show flow record | ||
| + | show sampler | ||
| + | |||
| + | '''MPLS-aware NetFlow''' | ||
| + | interface gi2 | ||
| + | mpls netflow egress | ||
===Nexus=== | ===Nexus=== | ||
| Line 54: | Line 63: | ||
transport udp 2055 | transport udp 2055 | ||
source mgmt 0 | source mgmt 0 | ||
| + | |||
flow monitor FLOW-MONITOR | flow monitor FLOW-MONITOR | ||
exporter COLLECTOR | exporter COLLECTOR | ||
record netflow-original | record netflow-original | ||
| − | Ska man samla in netflow på ett interface i ett F3-kort måste | + | Ska man samla in netflow på ett interface i ett F3-kort måste sampler användas. |
sampler SAMPLER-1 | sampler SAMPLER-1 | ||
mode 1 out-of 5 | mode 1 out-of 5 | ||
Revision as of 19:13, 9 October 2016
Netflow är ett Cisco-properitärt protokoll som används för att kunna exportera data om vilka adresser och protokoll som används i ett nätverk och hur mycket trafik de genererar. De vanligaste versioner som används är 5 och 9. Den stora skillnaden är att v5 inte har stöd för IPv6 eller MPLS. Samt att v5-paket har ett fixerat paketformat. Paket för version 9 kan se olika ut och man kan ändra det med templates. Det finns även IETF-standard, IPFIX.
Komponenter:
- Flow exporter, t.ex. en router
- Flow collector, t.ex. Pmacct
- Analysis application, t.ex. Ntopng, FastNetMon
Contents
Konfiguration
Legacy IOS syntax
int gi0/0 ip flow ingress ip flow egress
Top-talkers
ip flow-top-talkers sort-by bytes top 5
Show
show ip flow top-talkers show ip cache flow
ASR
IOS-XE använder den modernare syntaxen som kallas Flexible NetFlow. Man kan även definiera och använda egna flow records, dvs vilken information som ska exporteras.
OBS en ASR 1000 kan inte sitt management-interface som source för NetFlow-exporten.
flow exporter COLLECTOR destination 10.0.0.10 transport udp 2055 source gi0/1 export-protocol netflow-v9 flow monitor FLOW-MONITOR record netflow ipv4 original-input exporter COLLECTOR cache timeout active 60 interface gi0/3 ip flow monitor FLOW-MONITOR input
"Random Sampled NetFlow is more statistically accurate than Sampled NetFlow." - Cisco
sampler SAMPLER-1 mode random 1 out-of 1000 interface gi0/3 ip flow monitor FLOW-MONITOR sampler SAMPLER-1 input
Verify
show flow exporter show flow interface show flow monitor show flow exporter statistics show flow record show sampler
MPLS-aware NetFlow
interface gi2 mpls netflow egress
Nexus
feature netflow
flow exporter COLLECTOR destination 10.0.0.10 use-vrf management export Version 9 transport udp 2055 source mgmt 0 flow monitor FLOW-MONITOR exporter COLLECTOR record netflow-original
Ska man samla in netflow på ett interface i ett F3-kort måste sampler användas.
sampler SAMPLER-1 mode 1 out-of 5
Interface
interface Ethernet1/1 ip flow monitor FLOW-MONITOR input sampler SAMPLER-1
Verify
show flow record netflow-original show flow exporter show flow monitor show flow interface
IP Accounting
IP Accounting är en annan feature i IOS som också kan användas för att kolla trafik, dock mindre populär än NetFlow.
ip accounting-threshold 1200 ip accounting-list 10.0.10.0 0.0.0.255 int g2/0 ip accounting output-packets
show ip accounting clear ip accounting
Stores the old accounting databse into a checkpoint
show ip accounting checkpoint
Det går även att kolla MAC-adresser.
interface gi2 ip accounting mac-address input show interface gi2 mac-accounting
