Documentations

NetFlow, Device Configuration

Besoin d'aide ?

Vous pouvez trouver sur cette page un exemple de configuration de l’export NetFlow vers un Netflow Collector Storage, ainsi qu’une selection des configurations à mettre en oeuvre sur les équipements.

Pour tous les autres équipements, nous vous invitons à prendre contact avec votre fournisseur ou intégrateur de matériel pour qu’il vous indique les éléments à mettre en oeuvre.

Exemple de configuration

La configuration ci-dessous est un exemple et n’est pas forcément adaptée à votre périphérique.

Se connecter sur l’équipement réseau sur lequel NetFlow doit être activé et effectuer ces différentes étapes pour configurer NetFlow et NetFlow Data Export.

Ci-dessous un exemple de configuration pour un Switch/Routeur CISCO à l’aide du format d’exportation de la version 9:

enable
configure terminal
ip flow-export destination {ip-address | hostname} udp-port
Repeat Step 3 once to configure a second NetFlow export destination.
ip flow-export version 9
interface interface-type interface-number
ip flow {ingress | egress}
exit
Repeat Steps 6 through 8 to enable NetFlow on other interfaces
end

Détails des étapes

Étape

Commande ou action

Objectif

Étape 1

activer

Exemple:

Router> enable

(Obligatoire) Active le mode EXEC privilégié.

Entrez votre mot de passe si vous y êtes invité.

Étape 2

configurer le terminal

Exemple:

Router# configure terminal

(Obligatoire) Permet d’accéder au mode de configuration globale.

Étape 3

ip flow-export destination { ip-address | hostname } udp-port

Exemple:

Router(config)# ip flow-export destination 172.16.10.2 9995

Adresse IP ou nom d’hôte du Netflow Collector Storage le port d’écoute UDP.

Étape 4

Répétez l’étape 3 une fois pour configurer une deuxième destination d’exportation NetFlow.

(Facultatif) Vous pouvez configurer un maximum de deux destinations d’exportation pour NetFlow.

Étape 5

ip flow-export version 9

Exemple:

Router(config)# ip flow-export version 9

(Facultatif) Permet l’exportation d’informations dans les entrées du cache NetFlow.

Le mot clé de la version 9 indique que le paquet d’exportation utilise le format de la version 9.

Étape 6

interface numéro d’interface type d’interface

Exemple:

Router(config)# interface ethernet 0/0

(Obligatoire) Spécifie l’interface sur laquelle vous souhaitez activer NetFlow et passe en mode de configuration d’interface.

Étape 7

ip flow { ingress | egress }

Exemple:

Router(config-if)# ip flow ingressRouter(config-if)# ip flow egress

(Obligatoire) Active NetFlow sur l’interface.

ingress – Capture le trafic reçu par l’interface.
egress – Récupère le trafic transmis par l’interface.

Étape 8

exit

Exemple:

Router(config-if)# exit

(Facultatif) Quitte le mode de configuration de l’interface et retourne au mode de configuratio globale.

Remarque:

Vous devez uniquement utiliser cette commande pour activer NetFlow sur une autre interface.

Étape 9

Répétez les étapes 6 à 8 pour activer NetFlow sur d’autres interfaces.

(Optionnel) —

Étape 10

end

Exemple:

Router(config-if)# end

(Obligatoire) Quitte le mode de configuration actuel et retourne au mode d’exécution privilégié

Vérification du fonctionnement de NetFlow et affichage des statistiques NetFlow

Vérifier que NetFlow est correctement configuré.

Utiliser la commande show ip flow interface pour afficher la configuration NetFlow pour une interface. Voici un exemple de sortie de cette commande:

Router# show ip flow interface Ethernet0/0 ip flow ingress

Utilisez la commande show ip cache flow pour vérifier que NetFlow est opérationnel et pour afficher un résumé des statistiques NetFlow. Voici un exemple de sortie de cette commande:

Router# show ip cache flow

IP packet size distribution (1103746 total packets):

   1-32   64   96 128 160 192 224 256 288 320 352 384 416 448 480

   .249 .694 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

    512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

   .000 .000 .027 .000 .027 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes

35 active, 4061 inactive, 980 added

2921778 ager polls, 0 flow alloc failures

Active flows timeout in 30 minutes

Inactive flows timeout in 15 seconds

IP Sub Flow Cache, 21640 bytes

0 active, 1024 inactive, 0 added, 0 added to flow

0 alloc failures, 0 force free

1 chunk, 1 chunk added

last clearing of statistics never

Protocol         Total    Flows   Packets Bytes Packets Active(Sec) Idle(Sec)

——–         Flows     /Sec     /Flow /Pkt     /Sec     /Flow     /Flow

TCP-FTP            108      0.0      1133    40      2.4    1799.6       0.9

TCP-FTPD           108      0.0      1133    40      2.4    1799.6       0.9

TCP-WWW             54      0.0      1133    40      1.2    1799.6       0.8

TCP-SMTP            54      0.0      1133    40      1.2    1799.6       0.8

Vérification que l’exportation de données NetFlow est opérationnelle

Vérifier que l’exportation des données NetFlow est opérationnelle en affichant les statistiques relatives à l’exportation des données NetFlow.

Utiliser la commande show ip flow export pour afficher les statistiques relatives à l’exportation de données NetFlow, notamment ip/port udp du Netflow collector storage et les statistiques du cache principal et de tous les autres caches activés. Voici un exemple de sortie de cette commande:

Router# show ip flow export

Flow export v9 is enabled for main cache

Exporting flows to 172.16.10.2 (9995) (ip/port udp du Netflow collector storage)

Exporting using source interface Ethernet0/0

Version 9 flow records

0 flows exported in 0 udp datagrams

0 flows failed due to lack of export packet

0 export packets were sent up to process level

0 export packets were dropped due to no fib

0 export packets were dropped due to adjacency issues

0 export packets were dropped due to fragmentation failures

0 export packets were dropped due to encapsulation fixup failures

Cisco Catalyst 2960-X

Configuration du Cisco 2960-X

NetFlow-Lite: Le 2960x utilise l’échantillonnage de flux sans aucune forme de capture de paquet. Il existe deux types de configurations d’échantillonnage NetFlow Lite possibles sur le 2960x:

- - Échantillonnage déterministe
  - Échantillonnage aléatoire

Échantillonnage déterministe
Les échantillonneurs déterministes échantillonnent les paquets exactement comme spécifié (c’est-à-dire le premier flux sur 100 flux). Les échantillonneurs déterministes ne peuvent être appliqués que sur 4 interfaces au maximum. Pour cette raison, nous avons décidé de configurer l’échantillonnage aléatoire.

Échantillonnage aléatoire
L’échantillonnage aléatoire échantillonne un flux aléatoire parmi tous les flux X. Le taux d’échantillonnage maximal pour les déterministes et les aléatoires est de 1 sur 32. Il n’est pas limité à 4 interfaces, telles que l’échantillonnage déterministe.Voici un exemple de configuration avec un échantillonage aléatoire:

step 1: create a flow record
flow record flows
match datalink mac source address input
match datalink mac destination address input
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
collect transport tcp flags
collect interface input
collect flow sampler
! below I specified ‘long’ because the 2960x supports 64 bit counters
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
!
! step 2: create a flow exporter
flow exporter export-to-inside
description flexible NF v9
destination 10.1.1.1
source Vlan7
transport udp 2055
template data timeout 60
!
! lets export some cool option templates
option interface-table
option exporter-stats
option sampler-table
!
!
! step 3: create a flow monitor
flow monitor nftest
record flows
exporter export-to-inside
cache timeout active 60
statistics packet protocol!Below was used for the deterministic sampling configuration
! that I didn’t like because of the 4 interface limitation
! sampler full
! mode deterministic 1 out-of 32
!
! below is the random sampler configuration that I replaced
! the above with.
sampler my-random-sampler
!
!
!
! step 4: apply the flow monitor ‘nftest’ to each interface with
! the defined sampler ‘my-random-sampler’
! input is for ingress. Egress was not supported in this release…
interface GigabitEthernet1/0/1
ip flow monitor nftest sampler my-random-sampler inputmode random 1 out-of 100

Retourner en haut de la page

Cisco Catalyst 3750

Configuration du Cisco 3750-X

La configuration du Catalyst Cisco 3750-X nécessite l’implémentation du module 3KX qui prend en charge NetFlow v9 et Flexible NetFlow
Voici un exemple d’enregistrement de flux pour le module de réseau 3KX:flow record NetFlow

match datalink mac source-address
match datalink mac destination-address
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
collect interface input snmp
collect interface output snmp
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime lastSur les interfaces:TenGigabitEthernet1/1/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip flow monitor NetFlow input
ip flow monitor NetFlow outputinterface TenGigabitEthernet1/1/2
switchport trunk encapsulation dot1q
switchport mode trunk
ip flow monitor NetFlow input
ip flow monitor NetFlow output

Retourner en haut de la page

Cisco Catalyst 4500

Configuration du Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide, 12.2(25)EW

Retourner en haut de la page

Cisco Catalyst 4510 Switch IOS XE 3.6

Configuration du Cisco Catalyst 4510Voici un exemple de configuration:

FLOW RECORD
flow record RECORD-IN
description IPv4 NetFlow
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match mac destination-address
match mac source-address
match transport source-port
match transport destination-port
match interface input
collect interface output
collect counter bytes long
collect counter packets long
!
!
flow record RECORD-OUT
description IPv4 NetFlow
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface output
collect interface input
collect counter bytes long
collect counter packets long
!
!
flow exporter NETFLOW COLLECTOR
description xxxxx NETFLOW COLLECTOR
destination IP
source Loopback0
transport udp 2055
!
!
flow monitor MONITOR_IN
description xxxx
exporter Scrutinizer
cache timeout active 60
record RECORD-IN
!
!
flow monitor MONITOR_OUT
description xxxxxxxx
exporter Scrutinizer
cache timeout active 60
record RECORD-OUT
interface GigabitEthernet3/2
description xxxxx
no switchport
bandwidth 40960
ip flow monitor MONITOR_IN layer2-switched input

Retourner en haut de la page

Cisco Catalyst 6500/6000

Catalyst 6500 Release 12.2SXF and Rebuilds Software Configuration Guide

Retourner en haut de la page

Cisco Catalyst 6500/6000 Series Switch

Configuration du Cisco Catalyst 6509

ip flow-export source (insert interface name here)
ip flow-export version 9
ip flow-export destination (netflow collector ip address) (port to export flows to)
ip flow ingress layer2-switched vlan (insert vlans X,Y,X)ip flow-cache timeout active 1mls nde sender version 9
mls flow ip interface-full
mls nde interface
mls aging long 64
mls aging normal 64Configuration des interface:ip route-cache flowip flow ingress

Retourner en haut de la page