Topologia i mapa wspólnej podróży z NetFlow
 
Zapraszamy do wspólnej podróży z NetFlow, gdzie razem z przepływami w sieci MPLS z obsługą VPNv4/VPNv6 oraz MDT (Multicast Distribution Tree) przypomnimy sobie działanie niektórych protokołów oraz poznamy dodatkowe możliwości NetFlow, jak agregacja, selektywne zbieranie informacji o ruchu czy jego samplowanie.
 
Nie zabraknie też dużej ilości niskopoziomowej wiedzy dla najtwardszych inżynierów. Podróż na pewno nie będzie łatwa, szczególnie u swego początku. Kiedy przejdziemy już przez dużą ilość podstaw i szczegółów, zacznie być o wiele przyjemniej i ciekawiej. Zachęcamy do wytrwałości!
 
Celem naszej podróży jest odświeżenie, utrwalenie i poszerzenie zdobytej już wiedzy.

Zachęcamy do wcześniejszego zapoznania się z mapą terenów, po których będziemy się poruszać. Warto mieć ją otwartą gdzieś obok na każdym z etapów podróży. Pomoże ona w lepszym zrozumieniu analizowanych informacji.



Zainteresowanych zbieraniem danych o ruchu oraz jego analizą zachęcamy do zapoznania się z Cisco Stealthwatch.


ETAP 1: NetFlow, rodzaje jego pamięci i eksport danych

Przed wyruszeniem w dalszą drogę zaczynamy od wprowadzenia do NetFlow i przepływów.


ETAP 2: NetFlow v1, v5 i trochę o innych wersjach

Zanim w naszej podróży przejdziemy do bardziej ciekawych tematów, małe przypomnienie na temat eksportu danych NetFlow i jego kilku wersji.

Na potrzeby pokazania różnicy pomiędzy origin-as i peer-as został wygenerowany ruch z AS 65007 do AS 65008. Wykorzystane zostało do tego celu polecenie urządzenia ASA-1:

ping tcp 172.16.8.1 22 

ETAP 3: NetFlow v8 i obsługa Aggregation Caches

Idziemy szybko dalej, bo droga jeszcze długa. W poprzednich artykule było ogólnie o Aggregation Caches w NetFlow. W tym się na nich i NetFlow v8 skoncentrowaliśmy. Zestawiliśmy dla każdego z nich oddzielnie sposób konfiguracji, przykładową tablicę przepływów oraz zrzut eksportowanego pakietu.

Widoczny ruch to po dwie sesje telnet/ssh z R1 do 172.16.5.0 i 172.16.6.0, efekt polecenia urządzenia ASA-1:

ping tcp 172.16.6.0 22 

oraz wynik uruchomienia na R2 poniższego skryptu tclsh:

tclsh 

foreach address {
172.16.6.1
172.16.6.9
172.16.6.17
172.16.6.33
172.16.6.65
172.16.6.129
172.16.5.1
172.16.5.9
172.16.5.17
172.16.5.33
172.16.5.65
172.16.5.129

} {
ping $address re 2 so lo 1
ping $address re 2 tos 192 so lo 29
ping $address re 2 tos 224 so lo 28
ping $address re 2 tos 248 so lo 27
ping $address re 2 tos 224 so lo 26
ping $address re 2 tos 192 so lo 26
}

Nie można zapomnieć o ruchu jaki generują działające w sieci protokoły, które zostały zaznaczone na rysunku.


ETAP 4: NetFlow IP Top Talkers

Krótko o NetFlow IP Top Talkers, czyli wygodne podsumowanie tego co dzieje się w przechodzącym przez urządzenie ruchu zarówno z CLI, jak i za pomocą SNMP. Przydatne zarówno w trakcie diagnozy, jak i do generowania alarmów.

Ruch jaki widać jest wynikiem uruchomienia na R2 poniższego skryptu tclsh:

tclsh

foreach address {
172.16.6.9
172.16.6.17
172.16.6.33
172.16.6.65
172.16.6.129
172.16.6.1
} { 
ping $address re 2 so lo 1
ping $address re 100 tos 192 so lo 29
ping $address re 100 size 500 tos 224 so lo 28
ping $address re 500 tos 248 so lo 27
ping $address re 300 size 1200 tos 224 so lo 26
ping $address re 1 tos 192 so lo 26
}

Nie można zapomnieć o ruchu jaki generują działające w sieci protokoły, które zostały zaznaczone na rysunku. 


ETAP 5: NetFlow v9, ingress/egress i UDP/SCTP

Tym razem łatwo nie będzie i mamy dla Was nieco większą porcje informacji do pokonania. Na drodze stanie sposób interpretacji danych przepływów, NetFlow v9 oraz protokół SCTP.

Ruch jaki widać, to głównie sesja ssh z 172.16.1.123 do router R4 i efekt wydania z urządzenia ASA-1 polecenia:

ping 172.16.6.0

Nie można zapomnieć o ruchu jaki generują działające w sieci protokoły, które zostały zaznaczone na rysunku.


ETAP 6: MPLS-aware NetFlow

I tak dotarliśmy do w miarę przyjemnego i ciekawego poziomu. Przed nami MPLS, VPNv4, MPLS-aware NetFlow, a także inne o wiele przyjemniejsze widoki. Koniecznie porównaj przepływ wyjściowy po włączeniu MPLS-aware NetFlow względem tego co można było zobaczyć wcześniej.


ETAP 7: NetFlow v9 Templates

W dalszej podróży niezbędna będzie umiejętność czytania mapy. Na tym skoncentrowaliśmy się tutaj, gdzie mówimy więcej o szablonach danych i szablonach opcji dla NetFlow v9.


ETAP 8: NetFlow v9 i dodatkowe informacje L2/L3

Na tym poziomie jest o wiele ciekawiej, więc poszerzamy horyzonty i widoczność w warstwie L2 i L3. 


ETAP 9: NetFlow, ruch Multicast i MDT

Kolejne dość przyjemne miejsce na naszej drodze, gdzie warto zatrzymać się chwilę dłużej i na spokojnie zapoznać z wszystkim co widać.


ETAP 10: NetFlow Dynamic IP Top Talkers

Sprawdźmy gdzie jesteśmy i co się dzieje, czyli krótko o tym jak szybko dokonać weryfikacji tego co dzieje się w ruchu przechodzącym przez urządzenie, jak wyłapać tych co najwięcej pobierają danych czy usługi, które generują najwięcej ruchu. Bardzo przydatne, kiedy potrzebujemy tych informacji na już.


ETAP 11: NetFlow Sampling

KIlka ciekawostek na temat samplowania ruchu IP i MPLS.


ETAP 12: NetFlow Input Filters

Mniej znane obszary, w których poznamy jak zbierać tylko to czym faktycznie jesteśmy zainteresowani.


ETAP 13: NetFlow i interface ID

Warto wiedzieć, szczególnie gdy dane zbieramy w zewnętrznym miejscu.


Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.