NetFlow/IPFIX: Topologia sieci i informacje o generowanym ruchu
 
Przed przystąpieniem do czytania kolejnych artykułów, warto choć trochę zapoznać się z wykorzystywaną do nich topologią. Powinna ona pomóc w analizie wszelkich zebranych z niej informacji. Przy omawianiu agregacji, będzie można zaobserwować jaka minimalna wartość maski jest wstawiana dla zagregowanych prefiksów, stąd warto zwrócić uwagę na adresację wykorzystywaną w naszej sieci. Głównie chodzi o długości poszczególnych prefiksów. Warto też zwrócić uwagę na to, gdzie w naszej sieci działa MPLS, gdyż przy omawianiu wersji 9, będziemy także wyłapywali informacje na temat etykiet. Tam też będziemy musieli trochę pokombinować podczas samplowaniu określonego ruchu na wyjściu interfejsu (NBAR nie zadziała nam dla ruchu MPLS). 
 

 

Przykładowy ruch na potrzeby "TNF: NetFlow v1, v5 i trochę o innych wersjach [Cisco Systems]"

Na potrzeby pokazania różnicy pomiędzy origin-as i peer-as został wygenerowany ruch z AS 65007 do AS 65008. Wykorzystane zostało do tego celu polecenie ping tcp 172.16.8.1 22 urządzenia ASA-1.

 

Przykładowy ruch na potrzeby "TNF: NetFlow v8 i obsługa Aggregation Caches [Cisco Systems]"

Ruch jaki widać, to po dwie sesje telnet/ssh z R1 do 172.16.5.0 i 172.16.6.0, efekt wydania polecenia ping tcp 172.16.6.0 22 z urządzenia ASA-1 oraz wynik uruchomienia na R2 poniższego skryptu tclsh:

tclsh 

foreach address {
172.16.6.1
172.16.6.9
172.16.6.17
172.16.6.33
172.16.6.65
172.16.6.129
172.16.5.1
172.16.5.9
172.16.5.17
172.16.5.33
172.16.5.65
172.16.5.129

} {
ping $address re 2 so lo 1
ping $address re 2 tos 192 so lo 29
ping $address re 2 tos 224 so lo 28
ping $address re 2 tos 248 so lo 27
ping $address re 2 tos 224 so lo 26
ping $address re 2 tos 192 so lo 26
}

 

Oczywiście, nie można zapomnieć o ruchu jaki generują działające w sieci protokoły. Zostały one zaznaczone na rysunku topologii.

 

Przykładowy ruch na potrzeby "TNF: NetFlow IP Top Talkers [Cisco Systems]"

Ruch jaki widać jest wynikiem uruchomienia na R2 poniższego skryptu tclsh:

tclsh

foreach address {
172.16.6.9
172.16.6.17
172.16.6.33
172.16.6.65
172.16.6.129
172.16.6.1
} { 
ping $address re 2 so lo 1
ping $address re 100 tos 192 so lo 29
ping $address re 100 size 500 tos 224 so lo 28
ping $address re 500 tos 248 so lo 27
ping $address re 300 size 1200 tos 224 so lo 26
ping $address re 1 tos 192 so lo 26
}

 

Oczywiście, nie można zapomnieć o ruchu jaki generują działające w sieci protokoły. Zostały one zaznaczone na rysunku topologii.

 

Przykładowy ruch na potrzeby "TNF: NetFlow v9, interpretacja ingress/egress, UDP/SCTP [Cisco Systems]"

Ruch jaki widać, to głównie sesja ssh z 172.16.1.123 do router R4 i efekt wydania polecenia ping 172.16.6.0 z urządzenia ASA-1.

 

Oczywiście, nie można zapomnieć o ruchu jaki generują działające w sieci protokoły. Zostały one zaznaczone na rysunku topologii.


Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.