NetFlow v9 i dodatkowe informacje L2/L3
 

Pojawienie się szablonów ułatwiło definiowanie nowych pól rekordów. Nie są do tego celu już wymagane nowe wersje eksportu danych NetFlow, jak to było wcześniej, ze względu na ich stały oraz sztywny format.

TNF umożliwia dołożenie dodatkowych pól opisujących nagłówek protokołu IPpole Type i Code nagłówka protokołu ICMP oraz takie informacje warstwy drugiej, jak źródłowy i docelowy adres MAC oraz numer VLAN (źródłowy i docelowy). Dla przypomnienia, na poniższym nagłówku IPv4 zostały także oznaczone zbierane wcześniej pola. Więcej o polach nagłówka IPv4 i ich funkcjach można przeczytać tutaj.

              0                   1                   2                   3   
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |Version|  IHL  |      DSCP     |          Total Length         |
    +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |         Identification        |Flags|      Fragment Offset    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  Time to Live |    Protocol   |         Header Checksum       |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                       Source Address                          |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Destination Address                        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Options                    |    Padding    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 

Zbieranie wyżej wspomnianych informacji, uruchamia się poleceniami trybu konfiguracji globalnej ip flow-capture.

R4(config)# ip flow-capture ?
  fragment-offset  Capture the fragment offset
  icmp             Capture the ICMP type and code
  ip-id            Capture the IP id
  mac-addresses    Capture src and dst MAC addresses
  packet-length    Capture the max and min packet length
  ttl              Capture the TTL
  vlan-id          Capture the VLAN id

R4(config)# ip flow-capture fragment-offset 
R4(config)# ip flow-capture icmp
R4(config)# ip flow-capture ip-id
R4(config)# ip flow-capture mac-address
R4(config)# ip flow-capture packet-length
R4(config)# ip flow-capture ttl          
R4(config)# ip flow-capture vlan-id

Przed dalszą analizą warto zerknąć na topologię sieci. Połączenie pomiędzy R4, a R6 zostało zrekonfigurowane do obsługi enkapsulacji 802.1Q. Na każdym z tych urządzeń został utworzony podinterfejs o numerze 56, obsługujący VLAN 56. Następnie została do niego przeniesiona konfiguracja z interfejsu głównego. Zabieg ten umożliwi pokazanie informacji na temat numeru VLAN, jaki znajduje się w tagu 802.1Q.


Zainteresowanych zbieraniem danych o ruchu oraz jego analizą zachęcamy do zapoznania się z Cisco Stealthwatch.


Poniżej można przeanalizować zawartość pamięci Main Cache, po wprowadzeniu wyżej opisanych zmian. W odniesieniu do legendy, warto przyjrzeć się chociaż jednemu rekordowi.

R4# show ip cache verbose flow
IP packet size distribution (20749 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .004 .486 .373 .092 .004 .001 .002 .001 .001 .002 .000 .001 .001 .000 .001
 
    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .018 .002 .002 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
  9 active, 4087 inactive, 2123 added
  46569 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
  22 active, 1002 inactive, 147 added, 60 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-BGP            209      0.0         1    59      0.1       3.8      15.5
TCP-other          688      0.2        20    74      4.8       3.9      12.8
UDP-NTP            155      0.0         1    76      0.0       0.0      15.5
UDP-TFTP            59      0.0         1    56      0.0       0.0      15.5
UDP-other          159      0.0         4   161      0.2      15.7      15.4
ICMP                69      0.0        21    95      0.5      11.4      15.3
IGMP                47      0.0         1    32      0.0       0.0      15.4
GRE                 93      0.0         1    49      0.0       4.0      15.5
IP-other           220      0.0         2    56      0.1      12.6      15.5
Total:            1699      0.5        10    78      6.0       5.8      14.4
 
SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
IPM: OPkts    OBytes  BGP: BGP NextHop
Gi0/0          10.246.34.3     Null           224.0.0.2       11 C0  10     234 
0286 /0  0                     0286 /0  0     0.0.0.0                62  1019.6
MAC: (VLAN id) d867.d9c6.781a  (000)          0000.0000.0000  (000)
Min plen:       62                            Max plen:        62
Min TTL:         2                            Max TTL:          2
IP id:           0
 
Gi0/2.56       172.16.6.143    Gi0/0*         10.246.255.1    06 60  18       3 
420F /0  0                     07D0 /0  0     0.0.0.0                45    10.9
BGP: 10.246.255.2    
FFlags: 05  
 
Pos:Lbl-Exp-S 1:16-3-1
Gi0/2.56       172.16.6.143    Gi0/0          10.246.255.1    06 60  18       3 
420F /25 65006                 07D0 /0  65007 10.246.34.3            44    10.9
BGP: 10.246.255.2    
MAC: (VLAN id) c800.844c.4c63  (056)          0000.0000.0000  (000)
Min plen:       40                            Max plen:        52
Min TTL:        63                            Max TTL:         63
IP id:         343
 
Gi0/0          172.16.1.123    Local          10.246.255.4    06 10  18      41 
D013 /24 0                     0016 /32 0     0.0.0.0                62     6.6
BGP: 0.0.0.0         
MAC: (VLAN id) d867.d9c6.781a  (000)          0000.0000.0000  (000)
Min plen:       40                            Max plen:        92
Min TTL:        61                            Max TTL:         61
IP id:       32255
 
Gi0/1          172.16.45.5     Local          172.16.45.4     06 C0  18       2 
00B3 /24 0                     30A0 /0  0     0.0.0.0                49    11.8
BGP: 0.0.0.0         
MAC: (VLAN id) 0018.1883.2d70  (000)          0000.0000.0000  (000)
Min plen:       40                            Max plen:        59
Min TTL:         2                            Max TTL:          2
IP id:       55897
 
Gi0/0          172.16.1.123    Local          10.246.34.4     01 00  10       4 
0000 /24 0                     0303 /32 0     0.0.0.0                56    33.0
BGP: 0.0.0.0         
MAC: (VLAN id) d867.d9c6.781a  (000)          0000.0000.0000  (000)
Min plen:       56                            Max plen:        56
Min TTL:        61                            Max TTL:         61
ICMP type:       3                            ICMP code:        3
IP id:       39917
 
Local          10.246.34.4     Gi0/0*         172.16.1.123    11 00  10       1 
E544 /0  0                     270C /0  0     0.0.0.0              1212     0.0
BGP: 10.246.255.2    
FFlags: 05  
 
Pos:Lbl-Exp-S 1:16-0-1
Gi0/0          10.246.255.1    Gi0/2.56*      172.16.6.143    06 60  18       5 
07D0 /0  65007                 420F /25 65006 172.16.46.6            61    10.9
BGP: 172.16.46.6     
FFlags: 01  
MAC: (VLAN id) d867.d9c6.781a  (000)          c800.844c.4c63  (056)
Min plen:       52                            Max plen:        92
Min TTL:       253                            Max TTL:        253
IP id:       56035
 
Gi0/0          10.246.255.1    Gi0/2.56       172.16.6.143    06 60  18       5 
07D0 /0  65007                 420F /25 65006 172.16.46.6            61    10.9
BGP: 172.16.46.6     
MAC: (VLAN id) d867.d9c6.781a  (000)          c800.844c.4c63  (056)
Min plen:       52                            Max plen:        92
Min TTL:       253                            Max TTL:        253
IP id:       56035
 
R4#   

R6 posiada wbudowany przełącznik, który aktualnie obsługuje VLAN o numerach 1 i 2. Proszę zwrócić uwagę, że numery te nie znajdują się w polach rekordów poniższych przepływów R6. Po interfejsie wejściowym i wyjściowym, jasno widać z jakiego do jakiego VLAN przełączany jest ruch (numer interfejsu Vlan odpowiada numerowi obsługiwanego przez niego VLAN). Vl2 to interfejs Vlan2, obsługujący tylko VLAN 2, a Vl1, to interfejs Vlan1, obsługujący tylko VLAN 1. Jako, że interfejsy te obsługują tylko po jednym VLAN, to przesyłane są na nich czyste, nietagowane znacznikiem 802.1Q ramki Ethernet.

Do niejednoznaczności może dojść tylko na interfejsie, który może obsługiwać wiele numerów VLAN. Jest to tak zwany 'trunk' lub podinterfejs interfejsu głównego, dedykowany do obsługi jednego wybranego VLAN. Na tego typu interfejsach do oryginalnej ramki dodawany jest znacznik 802.1Q, który wskazuje numer VLAN.


Numer podinterfejsu nie musi odpowiadać numerowi obsługiwanego VLAN. Zwykle odpowiada, gdyż ułatwia to późniejsze zarządzanie i rozwiązywanie problemów. Niemniej, nie jest to wymagane.


Zatem, najlepiej przyjąć, iż numer VLAN dla rekordu brany jest ze znacznika 802.1Q. Jeśli przesyłana jest czysta ramka, wtedy znacznika nie ma i znajdować się będą w tym polu same zera.

R6# show ip cache verbose flow 
IP packet size distribution (5007 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .009 .622 .311 .037 .004 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
 
    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .000 .001 .008 .000 .000 .000 .000 .000 .000 .000 .000
 
IP Flow Switching Cache, 278544 bytes
  14 active, 4082 inactive, 892 added
  15815 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
  42 active, 982 inactive, 2181 added, 892 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-BGP            201      0.0         1    58      0.1       2.9      15.5
TCP-other          287      0.1        14    64      1.5       2.9      10.4
UDP-TFTP           104      0.0         1    56      0.0       0.0      15.5
UDP-other          119      0.0         1   157      0.0       0.4      15.5
ICMP                45      0.0         4    84      0.0      10.1      15.2
IGMP                41      0.0         1    32      0.0       0.0      15.4
IP-other            81      0.0         1    58      0.0       0.3      15.5
Total:             878      0.3         5    67      1.8       2.2      13.8
 
SrcIf          SrcIPaddress    DstIf          DstIPaddress    Pr TOS Flgs  Pkts
Port Msk AS                    Port Msk AS    NextHop              B/Pk  Active
IPM: OPkts    OBytes  BGP: BGP NextHop
Gi0.56         172.16.46.4     Local          172.16.46.6     06 C0  10       1 
00B3 /24 65234                 8BDD /0  0     0.0.0.0                40     0.0
BGP: 0.0.0.0         
MAC: (VLAN id) 6c41.6a51.6a82  (056)          0000.0000.0000  (000)
Min plen:       40                            Max plen:        40
Min TTL:         2                            Max TTL:          2
IP id:       18321
 
Vl2            172.16.6.143    Gi0.56*        172.16.46.4     01 00  10       5 
0000 /25 0                     0000 /24 65234 172.16.46.4           100     0.0
BGP: 0.0.0.0         
FFlags: 01  
MAC: (VLAN id) 001b.d512.94e5  (000)          6c41.6a51.6a82  (056)
Min plen:      100                            Max plen:       100
Min TTL:        64                            Max TTL:         64
ICMP type:       0                            ICMP code:       
IP id:         303
 
Vl2            172.16.6.143    Gi0.56         172.16.46.4     01 00  10       5 
0000 /25 0                     0000 /24 65234 172.16.46.4           100     0.0
BGP: 0.0.0.0         
MAC: (VLAN id) 001b.d512.94e5  (000)          6c41.6a51.6a82  (056)
Min plen:      100                            Max plen:       100
Min TTL:        64                            Max TTL:         64
ICMP type:       0                            ICMP code:        0
IP id:         303
 
Vl1            172.16.8.1      Vl2            172.16.6.143    01 00  10       2 
0000 /24 65008                 0800 /25 0     172.16.6.143          100     0.0
BGP: 0.0.0.0         
MAC: (VLAN id) 001e.4a65.921b  (000)          001b.d512.94e5  (000)
Min plen:      100                            Max plen:       100
Min TTL:       255                            Max TTL:        255
ICMP type:       8                            ICMP code:        0
IP id:          28
 
Vl1            172.16.8.1      Vl2*           172.16.6.143    01 00  10       2 
0000 /24 65008                 0800 /25 0     172.16.6.143          100     0.0
BGP: 0.0.0.0         
FFlags: 01  
MAC: (VLAN id) 001e.4a65.921b  (000)          001b.d512.94e5  (000)
Min plen:      100                            Max plen:       100
Min TTL:       255                            Max TTL:        255
ICMP type:       8                            ICMP code:        0
IP id:          28
 
Vl2            172.16.6.143    Gi0.56*        10.246.255.1    06 60  10       1 
420F /25 0                     07D0 /0  65007 172.16.46.4            40     0.0
BGP: 172.16.46.4     
FFlags: 01  
MAC: (VLAN id) 001b.d512.94e5  (000)          6c41.6a51.6a82  (056)
Min plen:       40                            Max plen:        40
Min TTL:        64                            Max TTL:         64
IP id:         302
 
Vl2            172.16.6.143    Gi0.56         10.246.255.1    06 60  10       1 
420F /25 0                     07D0 /0  65007 172.16.46.4            40     0.0
BGP: 172.16.46.4     
MAC: (VLAN id) 001b.d512.94e5  (000)          6c41.6a51.6a82  (056)
Min plen:       40                            Max plen:        40
Min TTL:        64                            Max TTL:         64
IP id:         302
 
Gi0.56         172.16.46.4     Vl2*           172.16.6.143    01 00  10       5 
0000 /24 65234                 0800 /25 0     172.16.6.143          100     0.0
BGP: 0.0.0.0         
FFlags: 01  
MAC: (VLAN id) 6c41.6a51.6a82  (056)          001b.d512.94e5  (000)
Min plen:      100                            Max plen:       100
Min TTL:       255                            Max TTL:        255
ICMP type:       8                            ICMP code:        0
IP id:           5
 
Gi0.56         172.16.46.4     Vl2            172.16.6.143    01 00  10       5 
0000 /24 65234                 0800 /25 0     172.16.6.143          100     0.0
BGP: 0.0.0.0         
MAC: (VLAN id) 6c41.6a51.6a82  (056)          001b.d512.94e5  (000)
Min plen:      100                            Max plen:       100
Min TTL:       255                            Max TTL:        255
ICMP type:       8                            ICMP code:        0
IP id:           5

Vl1            172.16.1.123    Local          172.16.56.6     06 10  18       4 
D05B /24 65234                 0016 /24 0     0.0.0.0                66     0.1
BGP: 0.0.0.0         
MAC: (VLAN id) 0018.1883.2d71  (000)          0000.0000.0000  (000)
Min plen:       40                            Max plen:        92
Min TTL:        59                            Max TTL:         59
IP id:       51185

Gi0.56         10.246.255.1    Vl2*           172.16.6.143    06 60  18       4 
07D0 /0  65007                 420F /25 0     172.16.6.143           64     0.0
BGP: 0.0.0.0         
FFlags: 01  
MAC: (VLAN id) 6c41.6a51.6a82  (056)          001b.d512.94e5  (000)
Min plen:       52                            Max plen:        92
Min TTL:       252                            Max TTL:        252
IP id:       55980
 
Gi0.56         10.246.255.1    Vl2            172.16.6.143    06 60  18       4 
07D0 /0  65007                 420F /25 0     172.16.6.143           64     0.0
BGP: 0.0.0.0         
MAC: (VLAN id) 6c41.6a51.6a82  (056)          001b.d512.94e5  (000)
Min plen:       52                            Max plen:        92
Min TTL:       252                            Max TTL:        252
IP id:       55980
 
Vl2            172.16.6.143    Vl1*           172.16.8.1      01 00  10       2 
0000 /25 0                     0000 /24 65008 172.16.56.8           100     0.0
BGP: 172.16.56.8     
FFlags: 01  
MAC: (VLAN id) 001b.d512.94e5  (000)          001e.4a65.921b  (000)
Min plen:      100                            Max plen:       100
Min TTL:        64                            Max TTL:         64
ICMP type:       0                            ICMP code:        0
IP id:         308
 
Vl2            172.16.6.143    Vl1            172.16.8.1      01 00  10       2 
0000 /25 0                     0000 /24 65008 172.16.56.8           100     0.0
BGP: 172.16.56.8     
MAC: (VLAN id) 001b.d512.94e5  (000)          001e.4a65.921b  (000)
Min plen:      100                            Max plen:       100
Min TTL:        64                            Max TTL:         64
ICMP type:       0                            ICMP code:        0
IP id:         308
          
R6#

Warto zauważyć, że dodatkowe pola związane z L2/L3 nie są zbierane i eksportowane dla przepływów ruchu MPLS. TNF obsługuje dla tych przepływów specjalny, predefiniowany szablon (bez tych pól). Nie będą też wypełniane pola VLAN i MAC, kiedy ruch będzie powiązany z interfejsem, gdzie działa MPLS (widać w tych polach same zera). 


Poniżej widać wygląda wysyłanego do kolektora szablonu przepływu ruchu IP. Widać tam dodane przez nas pola.

 


Przykładowy rekord przepływu ruchu nie-MPLS można zobaczyć poniżej.

 


Dodatkowe pola rekordów są szczególnie przydatne z punktu widzenia bezpieczeństwa. Zbieranie pól związanych z L2 (warstwą drugą) daje możliwość pewniejszej identyfikacji źródła ruchu od strony warstwy dostępowej sieci. Natomiast dodatkowe pola związane z L3 (warstwą trzecią), są bardziej przydatne na brzegu sieci, gdzie dają możliwość wychwycenia informacji o podejrzanym ruchu.


Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.