NetFlow IP Top Talkers

Dzięki NetFlow IP Top Talkers widać top N najbardziej aktywnych przepływów, co umożliwia łatwą i szybką identyfikację urządzeń, użytkowników, aplikacji i usług generujących najwięcej określonego ruchu.

Funkcjonalność ta wymaga wcześniejszego uruchomienia usługi NetFlow na odpowiednich interfejsach. Wskazana ilość top przepływów z Main Cache, może zostać posortowana według największej ilości przesłanych pakietów lub bajtów. Istnieje też możliwość zawężania tych kryteriów, jeżeli interesuje nas jakiś konkretny ruch.

Zainteresowanych zbieraniem danych o ruchu oraz jego analizą zachęcamy do zapoznania się z Cisco Stealthwatch.

Przykład użycia NetFlow IP Top Talkers

Widać tutaj konfigurację usługi NetFlow IP Top Talkers dla top 4 przepływów ICMP (protocol = 1) do adresu IP 172.16.6.1. Dane te zostaną posortowane według największej ilości przesłanych bajtów. Na końcu ustawiliśmy czas przetrzymywania top wpisów na 20 sekund (20,000 milisekund). Jego domyślna wartość to 5 sekund (5,000 ms).

R4(config)# ip flow-top-talkers 
R4(config-flow-top-talkers)# ?
Netflow top talker configuration commands:
  cache-timeout  Configure cache timeout
  default        Set a command to its defaults
  exit           Exit from top talkers configuration mode
  match          Configure match criteria
  no             Negate a command or set its defaults
  sort-by        Configure top talker sort criteria
  top            Configure number of top talkers
 
R4(config-flow-top-talkers)# match ?
  byte-range        Match a range of bytes
  class-map         Match a class
  destination       Match destination criteria
  direction         Match direction
  flow-sampler      Match a flow sampler
  input-interface   Match input interface
  nexthop-address   Match next hop
  output-interface  Match output interface
  packet-range      Match a range of packets
  protocol          Match protocol
  source            Match source criteria
  tos               Match TOS
 
R4(config-flow-top-talkers)# match destination ?
  address  Match source address
  as       Match source AS
  port     Match source port

R4(config-flow-top-talkers)# match destination address 172.16.6.1/32
R4(config-flow-top-talkers)# match protocol ?
  <0-255>  Protocol number
  tcp      Match TCP
  udp      Match UDP
 
R4(config-flow-top-talkers)# match protocol 1        
R4(config-flow-top-talkers)# sort-by ?
  bytes    Sort top talkers by bytes
  packets  Sort top talkers by packets
 
R4(config-flow-top-talkers)# sort-by by
R4(config-flow-top-talkers)# sort-by bytes 
R4(config-flow-top-talkers)# top ?
  <1-200>  Number of top talkers
 
R4(config-flow-top-talkers)# top 4
R4(config-flow-top-talkers)# cache-timeout ?
  <1-3600000>  Cache timeout in milliseconds

R4(config-flow-top-talkers)# cache-timeout 20000
R4(config-flow-top-talkers)# exit
R4(config)#

Po konfiguracji usługi, przy użyciu poleceń show ip flow top-talkers (informacje podstawowe) i show ip flow top-talkers verbose (informacje rozszerzone), możemy dostać się do potrzebnych nam informacji. Widać poniżej, że tylko 6 z 69 przepływów znajdujących się w Main Cache spełnia zadane przez nas kryteria (match). Przy czym, zgodnie z naszą konfiguracją, wyświetlone i posortowane po ilości bajtów zostaje tylko top 4.

R4# show ip flow top-talkers 
 
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP Bytes
Gi0/0         172.16.2.65     Gi0/2         172.16.6.1      01 0000 0800   360K
Gi0/0         172.16.2.33     Gi0/2         172.16.6.1      01 0000 0800    50K
Gi0/0         172.16.2.17     Gi0/2         172.16.6.1      01 0000 0800    50K
Gi0/0         172.16.2.9      Gi0/2         172.16.6.1      01 0000 0800    10K
4 of 4 top talkers shown. 6 of 69 flows matched.
 
R4# show ip flow top-talkers verbose 
 
SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs Bytes
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
Gi0/0          172.16.2.65     Gi0/2          172.16.6.1      01 E0  10     360K
0000 /26 0                     0800 /32 65006 172.16.46.6          1200     0.3
 
Gi0/0          172.16.2.33     Gi0/2          172.16.6.1      01 F8  10      50K
0000 /27 0                     0800 /32 65006 172.16.46.6           100     0.4
 
Gi0/0          172.16.2.17     Gi0/2          172.16.6.1      01 E0  10      50K
0000 /28 0                     0800 /32 65006 172.16.46.6           500     0.0
 
Gi0/0          172.16.2.9      Gi0/2          172.16.6.1      01 C0  10      10K
0000 /29 0                     0800 /32 65006 172.16.46.6           100     0.1
 
4 of 4 top talkers shown. 6 of 69 flows matched.
 
R4#

Jeśli NetFlow nie został wcześniej uruchomiony, wydanie powyższych poleceń zwróci nam błąd, jak poniżej.

R4# show ip flow top-talkers 
% Netflow isn't enabled.
R4#

Aby wyłączyć NetFlow IP Top Talkers, wystarczy zanegować polecenie ip flow-top-talkers.

R4# configure terminal
R4(config)# no ip flow-top-talkers 
R4(config)# do show ip flow top-talkers 
% Top talkers not configured

R4(config)#

NetFlow IP Top Talkers umożliwia wygodne podsumowanie tego co dzieje się w przechodzącym przez urządzenie ruchu zarówno z CLI, jak i za pomocą SNMP. Informacje te mogą być pomocne zarówno w trakcie diagnozy, jak i do generowania alarmów.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.

MATERIAŁY

Automatyzacja i orkiestracja