NetFlow Dynamic IP Top Talkers
 

NetFlow Dynamic Top Talkers jest podobnym w działaniu narzędziem do NetFlow IP Top Talkers. Niemniej, nie wymaga ona żadnej wcześniejszej aktywacji. Wystarczy, że na urządzeniu uruchomione jest zbieranie informacji o przepływach. Wszystkie potrzebne nam raporty są dynamicznie generowane na podstawie znajdujących się w Main Cache informacji. W związku z tym, że wszystkie dane są generowane dynamicznie, nie ma do nich dostępu SNMP poprzez odpowiednie wartości MIB. Usługa ta, tak samo jak TNF ograniczona jest do przepływów IPv4..

Zainteresowanych zbieraniem danych o ruchu oraz jego analizą zachęcamy do zapoznania się z Cisco Stealthwatch.

Przykład użycia NetFlow Dynamic IP Top Talkers
 

NetFlow Dynamic Top Talkers wykorzystuje polecenie:

# show ip flow top <N> <aggregate-field> <sort-criteria> <match-criteria> 

Należy zwrócić uwagę, że po "top" jest spacja, a CLI niekoniecznie dobrze może nam tu pomagać, co widać poniżej:

R4# show ip flow to?    
top-talkers  
 
R4# show ip flow top?
top-talkers  
 
R4# show ip flow top ?
Display aggregated top talkers:
  <1-100>  Number of aggregated top talkers to show
 
Display unaggregated top flows:
  verbose  Display extra information about unaggregated top flows
  |        Output modifiers
  <cr>
 
R4#

Odwołać się można tylko do danych z Main Cache. Agregacji (aggregate), zawężania (match) i sortowania (sorted-by) można dokonać na wiele sposobów:  

R4# show ip flow top 2 ?                                  
  aggregate   Specify which field to aggregate
  from-cache  Specify which cache to show top talkers from
 
R4# show ip flow top 2 from-cache ?
  main  Main cache
 
R4# show ip flow top 2 from-cache main ?
  aggregate  Specify which field to aggregate
 
R4# show ip flow top 2 aggregate ?
  bgp-nexthop            BGP nexthop
  bytes                  number of bytes
  destination-address    Destination address
  destination-as         Destination AS
  destination-interface  Destination interface
  destination-port       Destination port
  destination-vlan       Destination VLAN ID
  dscp                   DSCP
  fragment-offset        fragment offset
  icmp                   ICMP type and code
  icmp-code              ICMP code
  icmp-type              ICMP type
  incoming-mac           Incoming MAC address
  ip-id                  IP ID
  ip-nexthop-address     IP nexthop address
  max-packet-length      Maximum packet length
  max-ttl                Maximumum TTL
  min-packet-length      Minimum packet length
  min-ttl                Minimum TTL
  outgoing-mac           Outgoing MAC address
  packets                number of packets
  precedence             Precedence
  protocol               Protcol
  source-address         Source address
  source-as              Source AS
  source-interface       Source interface
  source-port            Source port
  source-vlan            Source VLAN ID
  tcp-flags              TCP flags
  tos                    TOS
 
R4# show ip flow top 2 aggregate protocol ?
  match      Specify which field to match
  sorted-by  Specify which field to sort by
  |          Output modifiers
  <cr>
 
R4# show ip flow top 2 aggregate protocol match ?
  bgp-nexthop            BGP nexthop
  bytes                  Number of bytes
  destination-as         Destination AS
  destination-interface  Destination interface
  destination-port       Destination port
  destination-prefix     Destination address prefix
  destination-vlan       Destination VLAN ID
  dscp                   DSCP
  flows                  Number of flows
  fragment-offset        fragment offset
  icmp                   ICMP type and code
  icmp-code              ICMP code
  icmp-type              ICMP type
  incoming-mac           Incoming MAC address
  ip-id                  IP ID
  ip-nexthop-prefix      IP nexthop address prefix
  max-packet-length      Maximum packet length
  max-ttl                Maximum TTL
  min-packet-length      Minimum packet length
  min-ttl                Minimum TTL
  outgoing-mac           Outgoing MAC address
  packets                Number of packets
  precedence             Precedence
  protocol               Protocol
  source-as              Source AS
  source-interface       Source interface
  source-port            Source port
  source-prefix          Source address prefix
  source-vlan            Source VLAN ID
  tcp-flags              TCP flags
  tos                    TOS
 
R4# show ip flow top 2 aggregate protocol sorted-by ?
  aggregate  Sort by aggregated field
  bytes      Sort by bytes
  flows      Sort by flows
  packets    Sort by packets
 
R4# show ip flow top 2 aggregate protocol sorted-by bytes 
 
There are 2 top talkers:
 
IPV4 PROT       bytes        pkts       flows
=========  ==========  ==========  ==========
       17       15624         252           1
        6       13039         202           4
 
 
5 of 5 flows matched.
 
R4# 

Poniżej znajduje się kilka przykładowych wyników użycia NetFlow Dynamic Top Talkers. W pierwszym przykładzie widać dwa porty docelowe, do których nawiązane jest najwięcej połączeń (22 - SSH, 646 - LDP).

R4# show ip flow top 2 aggregate destination-port sorted-by flows 
 
There are 2 top talkers:
 
TRNS DST PORT       bytes        pkts       flows
=============  ==========  ==========  ==========
           22        9108         198          21
          646        5828          94           1
 
 
4 of 4 flows matched.
 
R4#

Dwa docelowe adresy IP, do których generowane jest najwięcej pakietów.

R4# show ip flow top 2 aggregate destination-address sorted-by packets 
 
There are 2 top talkers:
 
IPV4 DST ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
172.16.5.1           304000         400           4
172.16.7.2           300000         200           2
 
 
10 of 10 flows matched.
 
R4#

Dwa źródłowe adresy IP, z których generowane jest najwięcej pakietów.

R4# show ip flow top 2 aggregate source-address sorted-by packets
 
There are 2 top talkers:
 
IPV4 SRC ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
172.16.7.2           111280        2782        1346
172.16.6.0            99360        2208        2142
 
 
3491 of 3491 flows matched.
 
R4#

Trzy porty źródłowe z przedziału od 0 do 1024 z największą ilością bajtów (22 - SSH, 646 - LDP, 123 - NTP).

R4# show ip flow top 3 aggregate source-port sorted-by bytes match source-port min 0 max 1024
 
There are 3 top talkers:
 
TRNS SRC PORT       bytes        pkts       flows
=============  ==========  ==========  ==========
           22      148376        3297        2955
          646         412           7           2
          123         152           2           2
 
 
2959 of 2960 flows matched.
 
R4# 

Trzy źródłowe adresy IP, które są źródłem największej ilości przepływów na które składa się tylko 1 pakiet.

R4# show ip flow top 3 aggregate source-address match packets 1
 
There are 3 top talkers:
 
IPV4 SRC ADDR         bytes        pkts       flows
===============  ==========  ==========  ==========
172.16.45.5              59           1           1
172.16.7.2             3040           4           4
172.16.6.1             3000           2           2
 
 
11 of 19 flows matched.
 
R4#

Jak widać, narzędzie to nadaje się świetnie do szybkiej analizy, diagnozy i rozwiązywania problemów w sieci. 

NetFlow Dynamic IP Top Talkers jest naprawdę przydatną funkcjonalnością, szczególnie, kiedy potrzebna nam szybka weryfikacja przechodzącego przez urządzenie ruchu. Ręczne analizowanie całej zawartości Main Cache w środowisku produkcyjnym jest za bardzo czasochłonne, a wręcz i niemożliwe. 

Dzięki tej funkcjonalności szybko można uzyskać informację na temat adresów IP, które pobierają najwięcej danych czy usług, które generują najwięcej ruchu w danej chwili.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.