Diese Webseite nutzt Cookies

Diese Webseite nutzt Cookies zur Verbesserung des Erlebnisses unserer Besucher. Indem Sie weiterhin auf dieser Webseite navigieren, erklären Sie sich mit unserer Verwendung von Cookies einverstanden.

Einige dieser Cookies sind technisch zwingend notwendig, um gewissen Funktionen der Webseite zu gewährleisten.

Darüber hinaus verwenden wir einige Cookies, die dazu dienen, Informationen über das Benutzerverhalten auf dieser Webseite zu gewinnen und unsere Webseite auf Basis dieser Informationen stetig zu verbessern.

IsarNet IsarFlow IsarFlow-Partner NetFlow.de

Flexible Netflow Cisco

Flexible Netflow ist verfügbar auf den Software-basierten Routern und den Nexus 7000 Switches.

Flexible Netflow nutzt meist Netflow Version 9 als Transportprotokoll.

Um flexible netflow zu nutzen (mit IsarFlow ab Version 4.7), müssen folgende Konfigurationen ausgeführt werden:

  1. Definition eines "Flow Exporter", also wohin die Netflow-Daten wie (über welches Protokoll) geschickt werden sollen
  2. Definition eines "Flow Record", also welche Felder gesammelt werden sollen (collect) und welche Felder definieren, was ein einzelner Flow ist (match; diese werden auch gesammelt)
  3. Definition eines "Flow Monitor", also die Verknüpfung obiger Definitionen mit Cache-Timeout-Werten u.a.
  4. Zuweisen des Flow-Monitors auf die gewünschten Interface

Achtung! Im Umkehrschluss bedeutet dies, wenn der "Flow Record" geändert werden soll, dann muss der "Flow Monitor"vorher von allen Interfacen entfernt werden!

1. Bespiel eines Flow Exporters:

flow exporter IsarFlow-FLOW-EXPORTER
 description Isarflow Export
 destination <IP des IsarFlow-Analyzer> <Port> [vrf <VRF Name>]
 source <interface>
 template data timeout 60
output-features !(siehe Netflow & IPsec/QoS)

2. Achtung! Zur optimalen Zusammenarbeit mit IsarFlow empfehlen wir, anstelle eines selbstdefinierten Records einen von Cisco vordefinierten Record im Monitor zu nutzen:

3. Beispiel eines Flow Monitors:

flow monitor IsarFlow-FLOW-MONITOR
 record netflow-original
 ! record netflow ipv4 original-input ! alternativ
 exporter IsarFlow-FLOW-EXPORTER
 cache timeout active 60
 cache timeout inactive 15 ! default

4. Zuweisung des Flow Monitor zum Interface:

snmp-server ifindex persist 
interface <interface>
 ip flow monitor IsarFlow-FLOW-MONITOR input
 ip flow monitor IsarFlow-FLOW-MONITOR output

Der Cache kann bei Flexible Netflow direkt auf der CLI ausgelesen werden mittels

show flow monitor IsarFlow-FLOW-MONITOR cache format table

Der Befehl

show flow monitor IsarFlow-FLOW-MONITOR statistics

zeigt die Anzahl Flows/Sekunde an, dieser Wert wird als Anhaltspunkt für die Dimensionierung des IsarFlow Systems genutzt.

Manueller Flow Record
Falls das Kommando

record netflow-original ! oder 
! record netflow ipv4 original-input ! alternativ

nicht verfügbar ist, wird folgender Record empfohlen (d.h. diese Felder sind für IsarFlow Voraussetzung):

flow record IsarFlow-FLOW-RECORD
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
collect transport tcp flags
collect interface output
collect counter bytes
collect counter packets

Alle per "match" definierten Felder werden zur Unterscheidung verschiedener Flows herangezogen. Im Gegensatz dazu werden per "collect" definierte Felder nur gesammelt (und natürlich mit exportiert), sind aber nicht für die Unterscheidung von zwei Flows relevant.

Weiterhin können diese Felder im Record gesammelt werden, um so volle Kompatibilität zu Netflow Version 5 herzustellen (diese Felder sind KEINE Voraussetzung für IsarFlow, aber die „collect routing“ Kommandos werden für BGP-Analysen benötigt):

 collect routing destination as [peer]
collect routing source as [peer]
collect routing next-hop address ipv4 bgp
collect ipv4 source mask
collect ipv4 destination mask
collect timestamp sys-uptime first
collect timestamp sys-uptime last
 
Sie finden uns auf Stand 58 der "World of Solutions"

Wir sind jedes Jahr auf der auf der CiscoLive vertreten.