Advertisements
Home

Cisco Flexible NetFlow (with NetFlow Sampling)

Leave a comment

Another material from CCNP Route 300-101

In CCNA we configure Original NetFlow, in CCNP we configure Flexible NetFlow with Sampler

what is Flexible NetFlow?

According to Cisco “Flexible NetFlow improves on original NetFlow by adding the capability to customize the traffic analysis parameters for your specific requirements.

Intinya Traffic Analysis yg biasa di-produce oleh NetFlow bisa kita custom sesuai dengan keinginan kita, mau ngeliat apa..IP kah? Security kah? BGP kah?

Jadi ini fitur biar CPU nya ga meledak aja (baca: overload)

trus apa bedanya NetFlow dengan NBAR? Kebetulan gue pernah buat artikelnya nih tentang NBAR

NetFlow ada di layer 3 & 4, biasa buat “liteweight” analysis (ip sama port biasanya)

Sedangkan NBAR di layer 3 sampe 7, buat analysis kelas berat…QoS, Application, etc..

Flexible NetFlow = NetFlow with NBAR capabilities, dari layer 2 sampe 7

heres the article about Cisco finally unify NBAR and NetFlow

Don’t worry…Flexible NetFlow (user-defined NetFlow) has backward compatibility with Original One (pre-defined NetFlow)

Typical Deployment for Flexible NetFlow is like below pic (Taken from cisco.com)

how? Lets start

———————-

The Topology

Using GNS3 (recommended pake real device), with 7200-IOS 15 we configure first the IP (like below)

Int fa0/0 yang kearah R2 (ceritanya LAN komputer) dikasi “ip nat inside” dengan IP 10.1.1.1, sedangkan yg fa0/1 dikasi “ip nat outside” with “ip address dhcp”

Dapet IP nya dari interface loopback GNS3 (baca artikel GNS3 klo ga tau, link dikasi dibawah di bagian reference), soalnya kita mau konekin ke Real Network

————————-

The Configuration

Ada 4 tahap

  1. Create Flow Exporter (klo mau kirim NetFlow ke NetFlow Collector)
  2. Create Flow Record setelahnya (bikin semacam template tentang apa aja yg mau di”tangkep” ama NetFlow)
  3. Create Flow Monitor after (export dan template-nya dimasukin ke Monitor)
  4. Trus Create Flow Sampler (dari sekian banyak yg masuk…mau dianalisa berapa, 1 out-of 2…1 out-of 100…etc)
  5. Jgn lupa taro di interface yg mau dimonitoring

Berikut contohnya:

First…flow exporter

Second….flow record

Bonus (boleh diketik boleh engga), contohnya gue mau liat waktu sistem uptime terakhir kali saat paket dikirim

Dengan keyword collect timestamp sys-uptime last

Note:

  • Keyword Match itu adalah key field alias data2 yg nge-build netFlow statistics (ip address and port…src-dst)
  • Keyword Collect itu adalah non-key field alias data2 tambahan yg di “collect” pas NetFlow bekerja (contohnya timestamp, byte counter, tcp flag, dll)

Third…flow monitor, masukin flow record sama flow export-nya kesini

Keuntungan dari config seperti ini (dibandingkan Original NetFlow) adalah…

kita bisa ngasih Flow-monitor buat SERVER A (isi nya data tentang src-dst ip flow) dengan exporter-1

trus dengan Flow-monitor-2 (yg ga gue bikin) dengan exporter-2 ke SERVER B, tarolah data tentang statistic src-dst Port

Fourth….bikin Sampler…dari berapa “X” traffic, mau berapa yg ditangkep

1 out-of 2…1 out-of 100…1 out-of 1000…you name it (jadi ga semua traffic ditangkep, namanya juga sampling)

Fifth…jgn lupa di taro di interface dengan keyword…

ip flow monitor [nama monitor] sampler [nama sampler] [input/output]

Nyok kita tes

————————————————–

Verifikasi

Tes ping dan juga (klo bisa) tes telnet (untuk nge-cek port 23-nya di”detect” sama NetFlow ga)

Cek flow exporter pake show flow exporter

Untuk nge-cek sampler tinggal ketik “show sampler

Untuk cek flow monitor tinggal ketik show flow monitor

Klo kita mau spesifik…contohnya mau liat traffic dari 8.8.8.8 ke network kita (soalnya td kita pasang input kan?)

Bisa dengan cara show flow monitor [nama monitor] cache filter [ipv4/v6] source address [ip-nya]

Contoh lain, gue delete source port-nya di flow monitor dengan no match source-port address

(remove dulu dari interface itu konfig netflow nya…soalnya ga akan bisa di delete klo ga di remove)

Kita liat diatas…ga ada stat tentang source port pada gambar diatas

Untuk liat top-N “talkers” on the network kita bisa merefer ke sini (link di referensi juga di cantumkan), pake keyword sort highest

———————–

References:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/use-fnflow-redce-cpu.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/fnf-fnetflow.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/cgf-topn.html

https://gns3.com/news/article/connect-gns3-to-internet-over-la

http://www.networkworld.com/article/2232579/cisco-subnet/how-to-configure-cisco-flexible-netflow-for-nbar-exports.html

Advertisements

Class-Map and NBAR for QoS

Leave a comment

Class-map punya 2 behavior…match-all (default) dan match any (cukup 1 parameter aja yang match)

Tapi kita bisa bikin kek gini:

Artinya disini class-map dengan nama contoh-classmap harus match dengan semua parameter yang ada KECUALI yang masuk filter ACLforQoS

Ini mirip kek analogi passive-interface default, contoh:

Semua interface tidak boleh jalanin OSPF KECUALI fa0/0

========================

NBAR (Network-Based Application Recognition)

Ini adalah cara device cisco (router & switch) untuk bisa ngenalin paket berdasarkan aplikasi

Caranya? We’ll see in class-map:

Nah…inilah aplikasi2 yang dikenali oleh Cisco…

Tapi gimana klo ada aplikasi baru yang ga dikenali oleh Cisco?? Updatenya gimana??

Cara pertama…update IOS (REJECTED…pasti pada males kan…wkwk)

Cara kedua…download PDLM (Packet Description Language Module)

Go to cisco.com pdlm download (must have CCO login)

Trus taro di flash router…integrasikan pdlm-nya dengan IOS

ups..maap, ga ada pdlm buat aplikasi bernama “cacad” wkwk

Nah..sekarang pertanyaannya adalah…cara liat trafficnya gimana??

Kok ga ada?? Kita harus aktifkan dulu NBAR protocol-discovery di interface

Untuk show ip nbar ini bisa sangat panjang…contoh gw mo liat top-5 aplikasi yang jalan di network gw berdasarkan bit-rate

Ketikan full command-nya “show ip nbar protocol-discovery stats bit-rate top-n 5

Lumayan panjang kan (daripada lu-manyun)

Nah…kita bisa ketik alias

Alias exec [nama command yang baru] [show bla bla bla]

secara default…router akan ngecek traffic setiap 5menit interval…klo kita mo rubah untuk nge-cek tiap 1 enit (60 detik)…caranya dengan modifikasi load-interval di interface subconfig

load-int

Catetan gw masih acak2…nanti de gw rapihin

Older Entries