4- ) Flexible Netflow ( FnF ) ve IPFIX Nedir ?
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 3 sonuçtan 1 ile 3 arasındakiler gösteriliyor.
Like Tree1Likes
  • 1 Post By MCyagli
4- ) Flexible Netflow ( FnF ) ve IPFIX Nedir ?

4-) Flexible Netflow ( FnF ) ve IPFIX Nedir ? *********************************** Netflow teknoloji içindeki Version 5 Version 9 ve IPFIX ( Version 10 da denilebilir ) hepside birer Netflow Versiyonudur.

  1. #1
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Bulunduğu yer
    Corum - Turkiye
    Mesajlar
    565

    Standart 4- ) Flexible Netflow ( FnF ) ve IPFIX Nedir ?

    4-) Flexible Netflow ( FnF ) ve IPFIX Nedir ?
    ***********************************



    Netflow teknoloji içindeki

    Version 5
    Version 9

    ve IPFIX ( Version 10 da denilebilir )

    hepside birer Netflow Versiyonudur.

    Ancak Flexible Netflow ( FnF diyelim artık ) ise yeni bir Versiyon DEĞİLDİR.
    Bize Netflow konfigure ederken süper kolaylık sağlayan yeni bir yöntemdir.AYnı zamanda istediğimiz gibi
    ayarlamalar yapabiliriz.

    Öyle ki,

    FnF ile kendimiz bir FLOW un tanımını yapabiliriz !!!
    Ve FLOW içindeki KEY ve NON-KEY lerin neler olacağını
    belirleyebiliriz.

    İşte olay budur.


    FnF için 4 adımımız olacak.


    1- ) RECORD : Neyi FLOW olarak kabul edicez, ve ne gibi FIELD ler KEY ve ne gibi FIELD lar NON-KEY olacak.


    2-) EXPORTER : Bu FLOW ları kime göndereceğiz.

    3-) MONITOR : 1. ve 2. Adımları Bağlıcaz. Her Monitor un kendine ait bir CAHCE i olacak.

    4-) Ve bu 3. adımdaki MONITOR u bir Interface e uygulucaz.


    Sırasıyla Version 5, Version 9 , IPFIX i FnF ile konfigure edelim.

    Ardından yine FnF kullanarak Filtering ve Top-Talkers nasıl yapılıyor görelim...



    FnF ile Version 5
    ______________

    Öncelikle şunu söyleyeyim,

    FnF ile Version 5 konfigure ederken maalesef kafamıza göre FLOW tanımlaması yapamıyoruz.
    FnF ile bize bazı önceden tanımlanmış RECORD ları kullanmak zorundayız.





    Onun için RECORD kısmını atlıcam.



    Kod:
    CONF T
    flow exporter myexporter
    destination 23.0.0.3
    transport udp 9996
    export-protocol netflow-v5

    sanırım kodlar oldukca acık...


    kontrol edelim...

    Kod:
    R2(config-flow-exporter)#do sh flow exporter
    Flow Exporter myexporter:
      Description:              User defined ( evet ben tanımladım )
      Export protocol:          NetFlow Version 5
      Transport Configuration:
        Destination IP address: 23.0.0.3
        Source IP address:      23.0.0.2  ( 23.0.0.3 erişmek için bunu kullanacak)
        Transport Protocol:     UDP
        Destination Port:       9996
        Source Port:            60666
        DSCP:                   0x0
        TTL:                    255
        Output Features:        Not Used


    devam edelim Monitor ile ...


    Kod:
    conf t
    flow monitor mymonitor
    exporter myexporter
    cache entries 4096
    cache timeout active 1
    cache timeout inactive 10
    record netflow-original  ( önceden tanımlanmış bir tane )

    kontrol edelim

    Kod:
    R2(config-flow-monitor)#do sh flow moni
    Flow Monitor mymonitor:
      Description:       User defined
      Flow Record:       netflow-original
      Flow Exporter:     myexporter (inactive)
      Cache:
        Type:              normal
        Status:            not allocated
        Size:              4096 entries / 0 bytes
        Inactive Timeout:  10 secs
        Active Timeout:    1 secs
        Update Timeout:    1800 secs

    Şimdi bunu bir interface e uygulayalım...

    Kod:
    conf t
    int fa0/0
    ip flow monitor mymonitor input
    Kontrol edelim ...


    Kod:
    R2(config-if)#do show flow interface
    Interface FastEthernet0/0
      FNF:  monitor:          mymonitor
            direction:        Input
            traffic(ip):      on

    Şimdi ise TEST edelim.

    Yine PC den PING göndericem.
    Sonra hem Router üzerindeki CACHe e bakıcam,
    hemde Wireshark a !

    Ping Gönderdim ve önce ROUTER üzerinde
    mymonitor isimli CACHE imize bakayım.


    Kod:
    R2#show flow monitor mymonitor cache format record
    
      Cache type:                               Normal
      Cache size:                                 4096
      Current entries:                               0
      High Watermark:                                1
    
      Flows added:                                   1
      Flows aged:                                    1
        - Active timeout      (     1 secs)          1
        - Inactive timeout    (    10 secs)          0
        - Event aged                                 0
        - Watermark aged                             0
        - Emergency aged                             0

    "Cache Type" kısmında NORMAL yazıyor.
    FnF ile 3 türlü CACHE geldi.
    NORMAL olan bizim v5 ve v9 gördüğümüzün aynısıdır.
    Digerleri ise IMMEDIATE ve PERMANENT dır.

    Immediate adı üzerinde gelen FLOW u hemen gönderir.
    Permanent ise hep orda tutar.

    Wireshark a baktım ve bir de ne göreyim
    Netflow 5 makalesinde ne gördüysem aynısını





    FnF ile Version 9
    ______________




    İşte burda işler baya bir renkli hale geliyor.
    Version 9 konusunu işlerken bir sürü TEMPLATE görmüştük,
    neden bu kadar TEMPLATE var diye düşünenler şimdi cevabını alacak...


    Hemen konfigurasyona başlıcam ...

    Kod:
    conf t
    flow record myrecord
    match ipv4 protocol
    match ipv4 source address
    match transport icmp ipv4 type
    collect interface input
    collect timestamp absolute first
    TEst edip açıklayalım...

    Kod:
    R2(config-flow-record)#do sh flow record myrecord
    flow record myrecord:
      Description:        User defined
      No. of users:       0
      Total field space:  18 bytes
      Fields:
        match ipv4 protocol
        match ipv4 source address
        match transport icmp ipv4 type
        collect interface input
        collect timestamp absolute first

    FIELDS denilen kısmın altında aslında biz FLOW nedir i tanımladık !!!

    Ve MATCH ile KEY FIELD leri belirledik.
    Ve COLLECT ile ise NON-KEY FIELD leri belirledik !

    Devam edelim...


    Kod:
    conf t
    flow expoeter myexporter
    destination 23.0.0.3
    transport udp 9996
    export-protocol netflow-v9
    template data timeout 10
    kontrol edelim..

    Kod:
    R2(config-flow-exporter)#do show flow exporter myexporter
    Flow Exporter myexporter:
      Description:              User defined
      Export protocol:          NetFlow Version 9
      Transport Configuration:
        Destination IP address: 23.0.0.3
        Source IP address:      23.0.0.2
        Transport Protocol:     UDP
        Destination Port:       9996
        Source Port:            53523
        DSCP:                   0x0
        TTL:                    255
        Output Features:        Not Used
    kodlar açık...


    Monitor kısmına gelelim...

    Kod:
    conf t
    flow monitor mymonitor
    record myrecord
    exporter myexporter
    cache timeout active 1
    cache timeout inactive 10
    cache entries 4096
    
    kontrol edelim...


    Kod:
    R2(config-flow-monitor)#do show flow monitor mymonitor
    Flow Monitor mymonitor:
      Description:       User defined
      Flow Record:       myrecord
      Flow Exporter:     myexporter (inactive)
      Cache:
        Type:              normal
        Status:            not allocated
        Size:              4096 entries / 0 bytes
        Inactive Timeout:  10 secs
        Active Timeout:    1 secs
        Update Timeout:    1800 secs

    Şimdide Interface e uygulayalım.


    Kod:
    CONF T
    INT FA0/0
    ip flow monitor mymonitor input


    Şimdi PC den Ping gönderelim ve Router u ve Wireshark ı inceleyelim.


    PC den Ping gönderdim...

    Kod:
    R2#show flow monitor mymonitor cache format record
      Cache type:                               Normal
      Cache size:                                 4096
      Current entries:                               1
      High Watermark:                                1
    
      Flows added:                                   1
      Flows aged:                                    0
        - Active timeout      (     1 secs)          0
        - Inactive timeout    (    10 secs)          0
        - Event aged                                 0
        - Watermark aged                             0
        - Emergency aged                             0
    Wireshark a bakalım...

    FnF-Template-Tanimi.jpg

    FnF-Yakalan-Flow.jpg



    Kısacan 3 tane belirlediğimiz KEY lere bakıp bir FLOW yaptı,
    extradan da yanına 2 tane NON-KEY FIELD koydu !






    FnF ile IPFIX
    _____________



    IPFIX ( yani Version 10 ) aslında IETF in geliştirdiği ve bunu yaparkende
    Cisco Netflow V9 u esas alıp birazcık daha geliştirerek ortaya çıkardığı Standard haline gelmiş Netflow Versiyonudur.


    Ve biz IPFIX i FnF kullanarak konfigure edicez.
    Böylece V9 ile arasındaki farklarıda göreceğiz.
    Cisco için ayrı bir başlıkta anlatılması gerekmeyen bir konu bence.

    Version 9 ile benzer bir konfigurasyonu yapıcam.

    Ve Farkı Router daki CACHE ve Wiresharkda görmeye çalışacağım.

    Kod:
    R2#
    
    conf t
    flow record myrecord
    match ipv4 protocol
    match transport destination-port
    collect counter bytes
    exit
    
    Kod:
    flow expoeter myexporter
    destination 23.0.0.3
    transport udp 9996
    export-protocol ipfix
    template data timeout 10
    exit

    Kod:
    
    flow monitor mymonitor
    record myrecord
    exporter myexporter
    cache timeout active 1
    cache timeout inactive 10
    cache entries 4096
    exit
    
    Kod:
    INT FA0/0
    ip flow monitor mymonitor input

    Sanırım bu kodların ne oldugu artık çok açık.

    Şimdi ise 2 tane KEY FIELD belirledim.
    1 Tane NON-KEY FIELD belirledim.
    Ve bu bilgilerin nasıl işleneceği bilgisi
    Template ile 10 saniyede bir EXPORTER a gidiyor.


    Yine Ping Gönderip Router un Cache ini ve Wireshark ı inceleyelim.


    Kod:
    R2#show flow monitor mymonitor cache format record
      Cache type:                               Normal
      Cache size:                                 4096
      Current entries:                               0
      High Watermark:                                1
    
      Flows added:                                   1
      Flows aged:                                    1
        - Active timeout      (     1 secs)          1
        - Inactive timeout    (    10 secs)          0
        - Event aged                                 0
        - Watermark aged                             0
        - Emergency aged                             0


    Şimdi bir de Wiresharka bakalım :


    Ipfix-Yakalanan.jpg


    IPFIX ile V9 arasındaki farklar Google yapılabilir.
    Mesele Vendor ID gibi Fieldler eklenebiliyormuş diye okudum.




    FnF ile FILTERING
    __________________



    Daha önceki makalelerde Filterin nasıl yapıldıgını görmüştük.

    Aynı şeyi burda yapmaya gerek görmüyorum.

    Çünkü yine SAMPLER kullanıcaz ve uygulucaz o kadar.
    Merak edenler için RECORD, EXPORTER, MONITOR
    konfigurasyonundan farklı olarak yapılacak şeyler :


    Kod:
    R2#
    
    conf t
    sampler xxx
    mode random 1 out-of 2
    exit
    
    int fa0/0
    ip flow monitor mymonitor xxx input 
    



    Kod:
    R2#sh sampler xxx
    Sampler xxx:
      ID:             2402023343
      export ID:      2
      Description:    User defined
      Type:           random
      Rate:           1 out of 2
      Samples:        0
      Requests:       0
      Users (0):


    Not : MQC kullanarakda Filtering yapabiliriz.


    FnF ile TOP-TALKERS
    __________________


    Gelelim son konumuz olan TOP-TALKERS a.

    Daha önce V5 ve V9 da görmüştük.

    Burda ise biraz daha farklı olacak.
    Ve oldukça etkili.

    FnF ile oluşturduğumuz MOnitor CACHE in içinden istediğimiz bilgiyi istediğimiz gibi çekebiliriz.

    Yani Buraya kadar ki CACHE i görmek için kullandığımız komut ile sadece FLOW sayısını falan gördük.
    FLOW ları görmek için, aggregation yapmak için, sort yapmak için ayrı komutlar göreceğiz.

    Mesela V9 daki uyguladığım tüm komutları kopyala - yapıştır yapayım uğraşmamak için ardından komutları görelim.

    Çünkü FnF ile TOP-TALKERS diye bir konfirasyon yok!!!

    MONITOR cache in farklı türlü nasıl görerirz diye komutlar var.

    Tek fark olarak ise CACHE TYPE = PERMANENT yapayım da Exporter a gönderdikten sonra FLOW lar silinmesin.

    PC den Ping gönderdim...


    Normalde CACHE i görmek için komut şuydu :
    Kod:
    R2#show flow monitor mymonitor cache format record
      Cache type:                            Permanent
      Cache size:                                 4096
      Current entries:                               1
      High Watermark:                                1
    
      Flows added:                                   1
      Updates sent            (  1800 secs)          0
    
    IPV4 SOURCE ADDRESS:  12.0.0.1
    ICMP IPV4 TYPE:       8
    IP PROTOCOL:          1
    interface input:      Fa0/0
    timestamp abs first:  11:25:51.671

    Permanent oldugu için son bilgileri yakaladık...



    Mesela ROUTER a sadece FA0/0 interface inden giren FLOW ları
    göster dicem..


    Kod:
    R2#show flow monitor mymonitor cache filter interface input fastEthernet 0/0
      Cache type:                            Permanent
      Cache size:                                 4096
      Current entries:                               1
      High Watermark:                                1
    
      Flows added:                                   1
      Updates sent            (  1800 secs)          0
    
    IPV4 SRC ADDR    ICMP IPV4 TYPE  IP PROT  intf input            time abs first
    ===============  ==============  =======  ====================  ==============
    12.0.0.1                      8        1  Fa0/0                   11:25:51.671
    Matched 1 flow

    Yada FLOW içindeki şu FIELD ı olanları group yap ve göster diyebilirim...


    Kod:
    R2#show flow monitor mymonitor cache aggregate timestamp absolute first
    Processed 1 flow
    Aggregated to 1 flow
    
    TIME ABS FIRST       flows
    ==============  ==========
      11:25:51.671           1


    yada en TOP ping gönderen 5 flow u göster diyebilirim


    Kod:
    R2#show flow monitor mymonitor cache sort highest transport icmp ipv4 type top 5
    Processed 1 flow
    Aggregated to 1 flow
    Showing the top flow
    
    IPV4 SRC ADDR    ICMP IPV4 TYPE  IP PROT  intf input            time abs first
    ===============  ==============  =======  ====================  ==============
    12.0.0.1                      8        1  Fa0/0                   11:25:51.671

    Hatta Regular Expression kullanarak acayip şeyler yapabiliriz :

    Örneğin aşağıdaki komut ne işe yarayabilir sizce ?

    show flow monitor mymonitor cache filter ipv4 protocol regexp (1|6) aggregate ipv4 destination address collect ipv4 protocol sort counter bytes top 4



    Uzun süredir makale yazmıyordum.

    Bundan sonra makale yazmayacağım.

    Video lar çekeceğim. ( Türkçe yada İngilizce Dilinde olabilir )

    Ve Ciscotr ye ekleyeceğim.















    cheat likes this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach

    www.mcyagli.com

  2. #2
    cheat isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2013
    Mesajlar
    59

    Standart

    hocam, video cekeceksen, bence en iyisi türkce olarak cek, cünki bildigim kadariyla cok az kaynak var. Ingilizce zaten yeteri kadar var, türkce olsa süper olur.

    simdiden iyi calismalar.

  3. #3
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,994

    Standart

    Eline sağlık hocam.

    LG-D855 cihazımdan Tapatalk kullanılarak gönderildi
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok