NetFlow | Miftah Rahman (Go)-Blog

Cisco Flexible NetFlow (with NetFlow Sampling)

April 9, 2017

Another material from CCNP Route 300-101

In CCNA we configure Original NetFlow, in CCNP we configure Flexible NetFlow with Sampler

what is Flexible NetFlow?

According to Cisco “Flexible NetFlow improves on original NetFlow by adding the capability to customize the traffic analysis parameters for your specific requirements.”

Intinya Traffic Analysis yg biasa di-produce oleh NetFlow bisa kita custom sesuai dengan keinginan kita, mau ngeliat apa..IP kah? Security kah? BGP kah?

Jadi ini fitur biar CPU nya ga meledak aja (baca: overload)

trus apa bedanya NetFlow dengan NBAR? Kebetulan gue pernah buat artikelnya nih tentang NBAR

NetFlow ada di layer 3 & 4, biasa buat “liteweight” analysis (ip sama port biasanya)

Sedangkan NBAR di layer 3 sampe 7, buat analysis kelas berat…QoS, Application, etc..

Flexible NetFlow = NetFlow with NBAR capabilities, dari layer 2 sampe 7

heres the article about Cisco finally unify NBAR and NetFlow

Don’t worry…Flexible NetFlow (user-defined NetFlow) has backward compatibility with Original One (pre-defined NetFlow)

Typical Deployment for Flexible NetFlow is like below pic (Taken from cisco.com)

how? Lets start

———————-

The Topology

Using GNS3 (recommended pake real device), with 7200-IOS 15 we configure first the IP (like below)

Int fa0/0 yang kearah R2 (ceritanya LAN komputer) dikasi “ip nat inside” dengan IP 10.1.1.1, sedangkan yg fa0/1 dikasi “ip nat outside” with “ip address dhcp”

Dapet IP nya dari interface loopback GNS3 (baca artikel GNS3 klo ga tau, link dikasi dibawah di bagian reference), soalnya kita mau konekin ke Real Network

————————-

The Configuration

Ada 4 tahap

Create Flow Exporter (klo mau kirim NetFlow ke NetFlow Collector)
Create Flow Record setelahnya (bikin semacam template tentang apa aja yg mau di”tangkep” ama NetFlow)
Create Flow Monitor after (export dan template-nya dimasukin ke Monitor)
Trus Create Flow Sampler (dari sekian banyak yg masuk…mau dianalisa berapa, 1 out-of 2…1 out-of 100…etc)
Jgn lupa taro di interface yg mau dimonitoring

Berikut contohnya:

First…flow exporter

Second….flow record

Bonus (boleh diketik boleh engga), contohnya gue mau liat waktu sistem uptime terakhir kali saat paket dikirim

Dengan keyword collect timestamp sys-uptime last

Note:

Keyword Match itu adalah key field alias data2 yg nge-build netFlow statistics (ip address and port…src-dst)
Keyword Collect itu adalah non-key field alias data2 tambahan yg di “collect” pas NetFlow bekerja (contohnya timestamp, byte counter, tcp flag, dll)

Third…flow monitor, masukin flow record sama flow export-nya kesini

Keuntungan dari config seperti ini (dibandingkan Original NetFlow) adalah…

kita bisa ngasih Flow-monitor buat SERVER A (isi nya data tentang src-dst ip flow) dengan exporter-1

trus dengan Flow-monitor-2 (yg ga gue bikin) dengan exporter-2 ke SERVER B, tarolah data tentang statistic src-dst Port

Fourth….bikin Sampler…dari berapa “X” traffic, mau berapa yg ditangkep

1 out-of 2…1 out-of 100…1 out-of 1000…you name it (jadi ga semua traffic ditangkep, namanya juga sampling)

Fifth…jgn lupa di taro di interface dengan keyword…

ip flow monitor [nama monitor] sampler [nama sampler] [input/output]

Nyok kita tes

————————————————–

Verifikasi

Tes ping dan juga (klo bisa) tes telnet (untuk nge-cek port 23-nya di”detect” sama NetFlow ga)

Cek flow exporter pake show flow exporter

Untuk nge-cek sampler tinggal ketik “show sampler”

Untuk cek flow monitor tinggal ketik show flow monitor

Klo kita mau spesifik…contohnya mau liat traffic dari 8.8.8.8 ke network kita (soalnya td kita pasang input kan?)

Bisa dengan cara show flow monitor [nama monitor] cache filter [ipv4/v6] source address [ip-nya]

Contoh lain, gue delete source port-nya di flow monitor dengan no match source-port address

(remove dulu dari interface itu konfig netflow nya…soalnya ga akan bisa di delete klo ga di remove)

Kita liat diatas…ga ada stat tentang source port pada gambar diatas

Untuk liat top-N “talkers” on the network kita bisa merefer ke sini (link di referensi juga di cantumkan), pake keyword sort highest

———————–

References:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/use-fnflow-redce-cpu.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/fnf-fnetflow.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-mt/fnf-15-mt-book/cgf-topn.html

https://gns3.com/news/article/connect-gns3-to-internet-over-la

http://www.networkworld.com/article/2232579/cisco-subnet/how-to-configure-cisco-flexible-netflow-for-nbar-exports.html

Network Monitoring Configuration

April 5, 2016

One big update of Cisco CCNA RS from previous CCNA is addition of Network Monitoring Configuration (yang mana selalu lupa gw catet di blog)

What I want to share are:

SNMP
Syslog
NetFlow

Tools we used for this article are:

GNS3 with Cisco IOS Image
Our Host PC with Loopback Connection
VMWare with Win2008Server
Kiwi Syslog Server from Solarwind
PRTG Network Monitor from Paessler

(untuk 2 terbawah…terserah…bebas software nya mau pake apa)

——————————————————————

The Design

Di GNS3 ada icon “Cloud”…taro ke halaman kerja GNS3….trus configure untuk ditambahin interface loopback

Klo ga ada interface loopback…ya di add/tambahin dulu (pake interface fisik bisa sih)

Untuk nambahin interface loopback di PC kita (link)

Pastikan itu PC dan VMWare bisa ping satu sama lain via Router (setting itu VM Win2008Server pake VMNet Interface)

————————————————————————

First…SNMP

Untuk teori silahkan liat disini

Konfigurasinya cukup straight forward….

Kasi tau SNMP yg di generate mau dikasi kemana (192.168.1.2) pake community namanya SNMP-COMMU

Trus enable itu SNMP-nya dengan keyword enable traps (kita bisa spesifik mau enable trap bgp, enable trap eigrp, dll…klo ga spesifik berarti SEMUA TRAP DIAKTIFKAN)

Trus kita bisa generate additional information kek location information sama contact information-nya

Trus baca SNMP ini gimana? Contoh gw pake Paessler PRTG NetMon

Download aja…googling

Klik tab Device, masuk ke Setting

…edit itu Credentials SNMP nya (soalnya kita pake custom…default-nya “public”)

Trus masuk ke Device lagi…cari router kita (di Root>Local Probe>Network Discovery>Network Infrastructure>Gateway:192.168.1.1), trus klik aja

Nah, di PRTG kita harus aktifkan SNMP Sensor-nya…klik aja Recommend Now…nanti dicari apa aja yang bisa dimonitor/informasi2 apa saja yang bisa diambil dari router kita tersebut oleh PRTG, aga nunggu…kira2 1 menitan lah

Nah, diatas ada recommended sensors-nya…add semua nya aja

Trus tunggu sekitar 4-5 menitan (refreshnya setiap 60 detik sekali, bisa diatur kok interval refresh statusnya), dan bisa kita cek dibawah….informasi2 yang PRTG dapet dari router kita, dari PING, CPU Load, sampe System Uptime-nya

Oh iya…diatas kita pake default SNMP (v2), klo mau pake v3…edit PRTG-nya dan Router-nya juga edit seperti dibawah

—————————————————————–

Syslog

Syslog adalah system logging…log alias catetan2 aktifitas yang kita lakukan

Contoh ketika kita buat interface baru, interface loopback misalnya…

See that LINEPROTO-5-UPDOWN…that is called log, informasi2 log inilah yang kita perlukan untuk monitoring aktifitas di jaringan kita, terutama dialat yang kita monitor

Ada beberapa level tingkatan yang kita perlu tau (gw sendiri ga hapal2 ini)

Nah, angka 5 berarti normal…aman

Apa aja sih yang bisa kita setting dari loggingnya Cisco ini

Penjelasan:

Logging count= Event2 yang terjadi akan dicatat tanggal kejadian perkaranya *uda kek detektif aja*
Logging userinfo= User2 yang masuk ke system juga akan dicatet
Logging buffered [size] [severity]= kita bisa nyuruh device Cisco kek router ini untuk nyimpen log-nya sendiri di RAM-nya, settingnya size-nya jangan besar2, biar ga berat (klo uda oversize, akan di ganti baru, log yang lama ilang), dan yang akan dilihat hanya dari level 5 kebawah aja, notif sampe emergency (contoh digambar atas)
Logging monitor [severity] = menampilkan log dari telnet hanya dari level notif sampe emergency (contoh digambar atas), but….lu harus aktifkan dulu log di telnet-nya (biasanya klo telnet/ssh ga ada log-nya kek di console…untuk bisa telnet “rasa” console…lu harus ketik ini pas lagi telnet:

Logging origin-id: kita setting klo ini device ngasih log pake nama apa (bisa IP, bisa hostname, ataupun custom/string)
Logging source-interface: log2 nya ini dapetnya dari interface mana….
Logging [ip]: set syslog server tempat kita mau kirim log2 kita (masa iya ditaro di RAM terus)
***logging 192.168.1.1 = logging host 192.168.1.1, redundant config style nih Cisco…

Bahasa keren dari syslog file ini di istilah IT Security adalah FORENSIC

Nah, sekarang mari kita set Kiwi Syslog-nya

Jalanin setup-nya…di File>Setup, trus kasi IP Router kita ke kiwi syslog, trus save

Oh iya…pastikan service nya jalan (windows: services.msc)

Nyok di tes…gw telnet dari cmd Windows

Kita lihat…message-nya…dari “Cisco Router” gara2 logging origin-id yang kita set tadi

Sekarang kita liat dari CLI-nya Cisco “show logging count”

Dan dari show logging-nya

——————————————————–

NetFlow

NetFlow adalah salah satu teknologi Cisco yang mengutilisasikan SNMP (remember…setting SNMP dulu yg bener baru bisa connect dari NetFlow Router ke Collector/PC alias Server)

But they pushed far beyond, NetFlow ini ngeliat per-packet flow(IP Based)

Configurasinya juga cukup simple…enable monitoring traffic yang masuk pake ingress dan enable monitoring traffic yang mau keluar pake egress di interface yang mau di monitor