3- ) Netflow Version 9
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 1 sonuçtan 1 ile 1 arasındakiler gösteriliyor.
Like Tree1Likes
  • 1 Post By MCyagli
3- ) Netflow Version 9

3-) NETFLOW VERSION 9 *********************** Netflow Version 5 de kullandığım TOPOLOGY yi kullanacağım. Netflow ile temel kavramları önceden anlattığımız için, hemen KOnfigurasyon yaparak başlayalım. Böylece farklıları yakında görmüş oluruz. Kod:

  1. #1
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart 3- ) Netflow Version 9

    3-) NETFLOW VERSION 9
    ***********************


    Netflow Version 5 de kullandığım TOPOLOGY yi kullanacağım.

    Netflow ile temel kavramları önceden anlattığımız için, hemen KOnfigurasyon yaparak başlayalım.

    Böylece farklıları yakında görmüş oluruz.


    Kod:
    CONF T
    
    IP FLOW-EXPORT DESTINATION 23.0.0.3 9996
    IP FLOW-EXPORT VERSION 9
    IP FLOW-CACHE  TIMEOUT ACTIVE 1
    IP FLOW-CACHE  TIMEOUT INACTIVE 10
    IP FLOW-CACHE  ENTRIES 4096

    Kod:
    ip flow-export template refresh-rate 5
    ip flow-export template timeout-rate 5
    ip flow-export template options export-stats
    ip flow-export template options timeout-rate 30
    ip flow-export template options refresh-rate 20

    Kod:
    INT FA0/0
    IP FLOW IGRESS


    İlk kısım Version 5 ile aynı oldugu çok açık.
    Ancak ikinci kısım TEMPLATE diye birşeyler gördük.

    Hatta şu komutu bir uygulayayım :


    Kod:
    R2#sh ip flow export template | b Main
    Main cache version 9 export is enabled
     Template export information
       Template timeout = 5
       Template refresh rate = 5
     Option export information
       Option timeout = 30
       Option refresh rate = 20
    İlginç şeyler çıktı.


    Version 9 un en büyük farkı ve üstünlüğü TEMPLATE bazlı olmasıdır.
    Version 5 sabit bir yapıya sahipti.

    Artık Cisco cihazımız FLOW ile beraber TEMPLATE gönderiyor.
    Flow içindeki FIELD lerin ne anlama geldiğini TEMPLATE e bakarak anlacak Collector.
    Yani bunlardan hangileri KEY-FIELD hangileri NON-KEY FIELD diye belirleyebiliyoruz.
    Bunuda COLLECTOR a TEmplate ler ile söyleyeceğiz.

    TEMPLATE lerin ne sıklıkla gönderileceğinide yukarda belirttik.
    Yani benim size bir sürü VERİ gönderdiğimi düşünün,
    ama bunların ne oldugu hakkında bilginiz yok,
    sonra bir tane TEMPLATE gönderip, o VERİlerle ne yapacağınızı açıklıyorum.

    Yalnız kötü bir haberim var.
    Version 9 içinde sabit bir TEMPLATE var.
    Ve hala o 7 tane alan BİR FLOW tanımlıyor.
    NON-KEY Field ların sayısı biraz artmış.

    Eee ne farkı var diye sorabilirsiniz.
    Bundan sonraki konu olan FnF de çok net göreceğiz neden TEMPLATE oldugunu.

    Ancak Version 5 den farklarından bahsedeceksek, mesela AGGREGATION CACHE hakkında konuşmamız lazım önce !



    AGGREGATION CACHE
    *******************




    Netflow Version 9 un diger bir özelliği ise bizim CACHE içinde ( buna MAIN CACHE diyelim artık )
    küçük CACHE ler oluşturabiliriz ve MAIN CACHE den Filtreleme yaparak buraya koyup ondan sonra COLLECTOR a
    gönderebiliriz.

    Bu özellik Version 5 da yoktu.

    Yani MAIN CACHE için küçük AGGREGATION CACHE ler oluşturucaz.

    Aslında buda bir nevi FILTERING dir.
    ÜStelikde CACHE i filtrelemiş oluyoruz.

    Burda şuna dikkat etmek gerekir :

    BU küçük AGGREGATION CACHE lere bizim istediğimiz FLOW lar MAIN CACHE den gelirler
    ve yine TIMEOUT olduktan sonra gelirler !!!! Bu bilgi önemlidir !!!

    Ayrıca birde AGGREGATION CACHE içinde birde kendi TIMEOUT ları VARDIR !!! Bu Bilgide önemlidir.

    Örnek yapalım :


    Öncelikle MAIN CACHE den COLLECTOR a FLOW gitmesini engellemek istiyorum.
    Orda sadece biriksin, ben Küçük CACHE lere alıp öyle göndermek istiyorum COLLECTOR a.


    Kod:
    CONF T
    NO IP FLOW-EXPORT DESTINATION 23.0.0.3 9996
    Şimdi ise MAIN CACHE e gelen bilgiyi süzerek daha küçük bir CACHE e alıcam.



    Kod:
    CONF T
    IP FLOW-AGGREGATION CACHE protocol-port
    CACHE TIMEOUT ACTIVE 1
    CACHE TIMEOUT inactive 10
    CACHE ENTRIES 4096
    EXPORT VERSION 9
    EXPORT DESTINATION 23.0.0.2 9996
    export template timeout-rate 1
    export template refresh-rate 1
    enabled ( bunu girmek zorundayız )
    
    ENABLED komutunu girmezseniz bu CACHE oluşturulmaz. Dolayısıyla çalışmaz.


    Burda CACHE leri oluştururken bize verilen sunulan HAZIR CACHE leri kullanıcaz.
    BUnların neler oldugunu bilmemiz lazım.

    Kod:
    R2(config)#ip flow-aggregation cache ?
      as                      AS aggregation
      as-tos                  AS-TOS aggregation
      bgp-nexthop-tos         BGP nexthop TOS aggregation
      destination-prefix      Destination Prefix aggregation
      destination-prefix-tos  Destination Prefix TOS aggregation
      prefix                  Prefix aggregation
      prefix-port             Prefix-port aggregation
      prefix-tos              Prefix-TOS aggregation
      protocol-port           Protocol and port aggregation
      protocol-port-tos       Protocol, port and TOS aggregation
      source-prefix           Source Prefix aggregation
      source-prefix-tos       Source Prefix TOS aggregation

    Örneğin " protocol-port " seçersek :
    Aynı IP PRotocolü kullanan,
    Aynı Source PORT numarası kullanan,
    Aynı Destination Port numarası kullanan,
    FLOW ları bir group haline getirecek ( AGGREGATE yapacak )
    ve bizim CACHE e koyacak!


    Bu CACHE i görmek için :

    Kod:
    R2#sh ip cache flow aggregation protocol-port
    
    
    Protocol  Source Port  Dest Port  Flows  Packets  Bytes/Packet  Active
      0x01       0x0000      0x0800      2       10       100          2.0
    1. Protocol
    2. Source Port
    3. Dest Port
    Bilgilerini alıyor sadece.
    İki tane FLOW varmış bu tanıma UYAN !!!


    Wireshark da inceledeğimde yine aynı şeyi gördüm :

    AggregationCACHE.jpg




    FILTERING
    __________


    Version 5 içinde Filtering Yapmıştık.
    Yani Interface den giren her paket yerine her 10 paketten 1 ini al demiştik.


    MAIN CACHE girecek olan paketleri daha detaylı inleceyerek alabiliriz.
    Version 5 deki gibi her 10 paketten 1 ini al yerine Mesela sadece ICMP packetlerini al diyebiliriz.


    Yine Interface altındaki IP FLOW INGRESS/EGRESS si silmemiz lazım.



    Örnek yapalım :


    Bunun için yine FLOW-SAMPLER kullanmamız lazım.
    Çünkü sadece bu komutla Netflow Filtreleme yapabiliyoruz.


    Kod:
    CONF T
    flow-sampler aaa
    mode random one-out-of 1
    Şimdi buraya kadar olan komut ile
    aslında one-out-of 1 ile herşeyi al demiş olduk !

    Devam edelim.



    Kod:
    CONF T
    IP ACCESS-LIST EXTENDED ABC
    PERMIT ICMP any any
    
    class-map myclass
    match access-group name abc
    
    policy-map mypol
    class myclass
    netflow-sampler AAA
    
    int fa0/0
    service-policy input mypol


    CCNP RS yada CCNA SECURITY almamış birisi için bu komutlar karışık gelebilir.
    MQC konusunu bilenler için komutlar açık.
    Bu kısmı dilerseniz okumayabilirsiniz.

    Böylece sadece ICMP paketlerini inceleyeceğiz.

    Test edelim.
    PC den PING attım.


    Kod:
    R2#sh ip ca flow
    
    SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
    SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
    Fa0/0         12.0.0.1        Local         12.0.0.2        01 0000 0800     5

    PC den TELNET yaptım.
    Ancak CACHE de göremedim !!!



    NOT :
    BU işlemi Version 5 de de yapabilirdik.
    Version 9 ile olacak diye bişi yok.





    TOP-TALKERS
    _____________



    Version 5 den hatırlıyoruz bunu.
    Cisco cihazı içinde bir COLLECTOR vardı.
    Ve mesela en çok PACKET i olan TOP 5 Flow u alıp GEÇİCİ OLUŞTURULAN CACHE içinde 5 saniye tutuyordu.

    Burda biraz daha detaylı yapalım !!!

    Bu sefer basitçe PACKET sayısına yada BYTE miktarına bakmanın yanında farklı şeylere bakalım.

    CONF T
    IP FLOW-TOP-TALKERS
    TOP 5
    CACHE-TIMEOUT 5000
    SORT-BY BYTES


    #match ?
    byte-range Match a range of bytes
    class-map Match a class
    destination Match destination criteria
    direction Match direction
    flow-sampler Match a flow sampler
    input-interface Match input interface
    nexthop-address Match next hop
    output-interface Match output interface
    packet-range Match a range of packets
    protocol Match protocol
    source Match source criteria
    tos Match TOS

    Bundan bahsediyorum
    Mesela PROTOCOL TCP seçicem..


    Kod:
    #match protocol tcp
    yaptım.

    PC den PING attım.


    Kod:
    R2#sh ip flow top-talkers
    % There are no matching flows to show

    Pc den TELNET yaptım.

    Kod:
    R2#sh ip flow top-talkers
    
    SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP Bytes
    Fa0/0         12.0.0.1        Local         12.0.0.2        06 43C9 0017   468
    1 of 5 top talkers shown. 1 of 1 flows matched.


    Not:
    BU işlemi Version 5 de de yapabilirdik.
    Version 9 ile olacak diye bişi yok.



    SCTP
    ____



    FLOW ların UDP ile yolculuk yaptıgını biliyoruz.

    Maalesef TCP ile gönderemiyoruz.

    Ancak TCP den çok daha iyi bir yöntem var.

    SCTP !

    TCP ve SCTP arasındaki fark için ayrı bir makale yazacağız.

    SCTP kullanarak konfigurasyon yapalım .


    Kod:
    CONF T
    ip flow-export destination 1.1.1.1 9222 sctp
    backup destination 2.2.2.2 9222 
    backup mode redundant | fail-over


    Bu konu üzerinde çok durmaya gerek yok.
    1.1.1.1 adresindeki COLLECTOR a SCTP ile göndericez
    FLOW larımız 9222 port ile .
    Hatta bişi olursa 2.2.2.2 ip li COllector a göndericez.

    Redundant = ile backup olan Collector ile daimi bir iletişim var.
    FAil-OVer = ile ise backup olan COllector da problem çıkarsa
    iletişim kurarız.


    NOT:
    BU işlemi Version 5 de de yapabilirdik.
    Version 9 ile olacak diye bişi yok.




    Sonuç olarak AGGREGATION CACHE ler şuan itibariyle Version 5 den farklı özellik olarak karşımıza çıktı.
    Birde TEMPLATE ler var.
    Aslında bir sürü yenilikler var. Mpls, Multicasting gibi ama şimdilik çok da önemli değil bizim için.


    Bir sonraki konu 4-Flexible Netflow ( FnF ) ve IPFIX Nedir ?
    Konu MCyagli tarafından (08.09.2015 Saat 12:54 ) değiştirilmiştir.
    cheat likes this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok