Home

Cisco Flexible NetFlow (with NetFlow Sampling)

Leave a comment

Another material from CCNP Route 300-101

In CCNA we configure Original NetFlow, in CCNP we configure Flexible NetFlow with Sampler

what is Flexible NetFlow?

According to Cisco “Flexible NetFlow improves on original NetFlow by adding the capability to customize the traffic analysis parameters for your specific requirements.

Intinya Traffic Analysis yg biasa di-produce oleh NetFlow bisa kita custom sesuai dengan keinginan kita, mau ngeliat apa..IP kah? Security kah? BGP kah?

Jadi ini fitur biar CPU nya ga meledak aja (baca: overload)

trus apa bedanya NetFlow dengan NBAR? Kebetulan gue pernah buat artikelnya nih tentang NBAR

NetFlow ada di layer 3 & 4, biasa buat “liteweight” analysis (ip sama port biasanya)

Sedangkan NBAR di layer 3 sampe 7, buat analysis kelas berat…QoS, Application, etc..

Flexible NetFlow = NetFlow with NBAR capabilities, dari layer 2 sampe 7

heres the article about Cisco finally unify NBAR and NetFlow

Don’t worry…Flexible NetFlow (user-defined NetFlow) has backward compatibility with Original One (pre-defined NetFlow)

Typical Deployment for Flexible NetFlow is like below pic (Taken from cisco.com)

how? Lets start

———————-

The Topology

Using GNS3 (recommended pake real device), with 7200-IOS 15 we configure first the IP (like below)

Int fa0/0 yang kearah R2 (ceritanya LAN komputer) dikasi “ip nat inside” dengan IP 10.1.1.1, sedangkan yg fa0/1 dikasi “ip nat outside” with “ip address dhcp”

Dapet IP nya dari interface loopback GNS3 (baca artikel GNS3 klo ga tau, link dikasi dibawah di bagian reference), soalnya kita mau konekin ke Real Network

————————-

The Configuration

Ada 4 tahap

  1. Create Flow Exporter (klo mau kirim NetFlow ke NetFlow Collector)
  2. Create Flow Record setelahnya (bikin semacam template tentang apa aja yg mau di”tangkep” ama NetFlow)
  3. Create Flow Monitor after (export dan template-nya dimasukin ke Monitor)
  4. Trus Create Flow Sampler (dari sekian banyak yg masuk…mau dianalisa berapa, 1 out-of 2…1 out-of 100…etc)
  5. Jgn lupa taro di interface yg mau dimonitoring

Berikut contohnya:

First…flow exporter

Second….flow record

Bonus (boleh diketik boleh engga), contohnya gue mau liat waktu sistem uptime terakhir kali saat paket dikirim

Dengan keyword collect timestamp sys-uptime last

Note:

  • Keyword Match itu adalah key field alias data2 yg nge-build netFlow statistics (ip address and port…src-dst)
  • Keyword Collect itu adalah non-key field alias data2 tambahan yg di “collect” pas NetFlow bekerja (contohnya timestamp, byte counter, tcp flag, dll)

Third…flow monitor, masukin flow record sama flow export-nya kesini

Keuntungan dari config seperti ini (dibandingkan Original NetFlow) adalah…

kita bisa ngasih Flow-monitor buat SERVER A (isi nya data tentang src-dst ip flow) dengan exporter-1

trus dengan Flow-monitor-2 (yg ga gue bikin) dengan exporter-2 ke SERVER B, tarolah data tentang statistic src-dst Port

Fourth….bikin Sampler…dari berapa “X” traffic, mau berapa yg ditangkep

1 out-of 2…1 out-of 100…1 out-of 1000…you name it (jadi ga semua traffic ditangkep, namanya juga sampling)

Fifth…jgn lupa di taro di interface dengan keyword…

ip flow monitor [nama monitor] sampler [nama sampler] [input/output]

Nyok kita tes

————————————————–

Verifikasi

Tes ping dan juga (klo bisa) tes telnet (untuk nge-cek port 23-nya di”detect” sama NetFlow ga)

Cek flow exporter pake show flow exporter

Untuk nge-cek sampler tinggal ketik “show sampler

Untuk cek flow monitor tinggal ketik show flow monitor

Klo kita mau spesifik…contohnya mau liat traffic dari 8.8.8.8 ke network kita (soalnya td kita pasang input kan?)

Bisa dengan cara show flow monitor [nama monitor] cache filter [ipv4/v6] source address [ip-nya]

Contoh lain, gue delete source port-nya di flow monitor dengan no match source-port address

(remove dulu dari interface itu konfig netflow nya…soalnya ga akan bisa di delete klo ga di remove)

Kita liat diatas…ga ada stat tentang source port pada gambar diatas

Untuk liat top-N “talkers” on the network kita bisa merefer ke sini (link di referensi juga di cantumkan), pake keyword sort highest

———————–

References:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/use-fnflow-redce-cpu.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/fnf-fnetflow.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/cgf-topn.html

https://gns3.com/news/article/connect-gns3-to-internet-over-la

http://www.networkworld.com/article/2232579/cisco-subnet/how-to-configure-cisco-flexible-netflow-for-nbar-exports.html

Advertisements

Cisco EVN (Easy Virtual Network)

Leave a comment

Another new material from CCNP Route 300-101, this EVN thing…

Sebenernya sama saja dengan VRF-Lite, Cuma ini di-“simplified”

Kek klo kemaren kita harus setting 1-1 sub-interface, sekarang konfig-nya inherited ke sub-interface

VRF mirip kek VLAN…EVN lebih mirip lagi

Walaupun begitu, ada beberapa command baru disini yg worth mentioning

Prerequisite:

  • Understand VRF
  • Inter-VLAN sub-interface (CCNA)
  • Or MPLS VPN…even better

Note for EVN:

  • IOS 15
  • Up to 32 routing-context (VRF-nya EVN)
  • VRF and EVN cant co-exist on same interface (salah satu aja yg aktif)
  • OSPFv3, IS-IS, RIP, RR-BGP (Route Replication), NAT, ACL, NetFlow, and certain SNMP option not supported
  • BGP Interface command not inherited to sub-interfaces
  • ACL not supported
  • WCCP (web-cache communication protocol) not supported, itu loh…redirect traffic ke proxy server

Kok banyak ga support-nya ya? Namanya juga EASY plus SIMPLIFIED…konfig ribet2 ga disupport, ini “generic” VRF-lite versi Cisco (but not propiertary…I think)

————————————-

SCENARIO

Kita akan bikin Divisi A dan Divisi B punya VRF sendiri2..plus nanti Divisi A dapet akses ke Server (ip 2.2.2.2)

Berarti kita akan bikin 2 VRF di R1 (VRF A dan VRF B ) dan 3 VRF di R2 (plus VRF SHARED) a.k.a “route leaking”

First, bikin VRF (R1 dan R2 sama persis)

Kedua, kita bikin trunk…ya TRUNK…kek di SWITCH, dengan command “vnet trunk” di interface R1<->R2. Trus bikin sub-interface disitu

Notice diatas…sub-interface-nya “not manually configurable“, don’t worry…auto-config, lets see below config

Inget command-nya…show derived-config a.k.a obtainable from…

Next, bikin Routing-nya…pake OSPF aja, sama kek VRF-lite kemaren

Trus, taro itu VRF ke interface (mirip sama VRF), Cuma bedanya command yang diketik (biasanya kan pake “IP VRF FORWARDING“)

SELESAI, lets verify

———————————-

VERIFICATION

show vnet counters” untuk liat jumlah VNET plus interface2 yg dikonfig VNET

Ngeliatnya juga sama….”show ip route vrf A“, tapi EVN has something even better…”routing-context vrf” (kek versi liteweight-nya VDC nexus gitu)

Contoh lain….ngeliat OSPF khusus VRF A saja (ga perlu ngetik additional kata2 lagi)

—————————————————–

EVN Route Leaking

Berarti di R2 harus bikin lagi selain VRF A dan B, VRF SHARED (with VNET TAG too)

Trus bikin “route-replicate” dari VRF A (kek route import di MP-BGP)

*(optional, klo mau pake route map)

Import pasti ada export…sekarang kearah sebaliknya…setelah sebelumnya dari VRF SHARED kita replica, sekarang dari VRF A

Karena yang mau di share dari VRF SHARED hanya int lo0 yang directly connected, so…”unicast connected

Nyok kita liat di R2, ada tanda “+”nya

Tapi ini baru di R2 aja…import rute-nya local

Nah, biar OSPF-nya si R1 dapet itu “C +”, kita redistribute

Yg kita redistribute adalah yg connected-nya aja, nyok verifikasi di R1

Cek di A1

——————————————-

Tuning EVN Trunk

Pernah denger “switchport trunk allowed vlan“??? di EVN juga bisa, bikin vrf list

Dari konfigurasi diatas..yg boleh lewat hanya VRF A dan VRF B

—————————–

Bonus from Cisco (terlalu males nulis gue)

032817_0653_CiscoEVNEas20.png

(open image in new tab, klo kurang jelas)

Intinya…kita bisa kasi VNET secara global (dalem vrf) atau secara spesifik per-interface, nanti yg per-interface akan override yg global (klo link kita terhubung sama yg ga bisa EVN)

——————–

References

http://blog.ipspace.net/2012/02/easy-virtual-network-nothing-new-under.html

http://www.cisco.com/c/en/us/support/docs/ip/ip-routing/117974-configure-evn-00.html

Older Entries