Plixer : Cisco 6500 Flexible Netflow Record Configuration

Posted on by

Comment créer son enregistrement Netflow personnalisé ?

 

La première étape est de déterminer ce que vous voulez analyser avec NetFlow Flexible. Une bonne analyse NetFlow doit être capable de fournir un reporting sur mesure. Il vous reste donc à determiner ce que vous voulez obtenir comme rapport, mais aussi et surtout les éléments requis pour obtenir ce rapport.

 

Imaginons que vous souhaitiez obtenir un rapport QoS et subnet. Les éléments requis pour le rapport d’analyse de flux ne sont pas inclue nativement dans la plateforme Plixer. Pour connaitre les éléments dont vous avez besoin, il faut donc suivre le guide NetFlow, et se rendre à la section Cisco 6500 Sup2T NetFlow.

 

Vous obtenez ainsi une liste de champs clés :

Flow record NetFlow :

match ipv4 source address
match ipv4 destination address
match transport tcp source-port
match transport tcp destination-port
match ipv4 protocol
match input interface
match output interface
match ipv4 tos
match flow direction

collect counter bytes
collect counter packets
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect transport tcp flags
collect ipv4 source prefix
collect ipv4 destination prefix
collect timestamp sys-uptime first
collect timestamp sys-uptime last

 

Les champs clés sont définis par la valeur « match » ce qui va déterminer comment chaque flow est collecté dans la table de cache. Tous les paquets avec le même attribut match sont alors groupés dans un même flow, et la valeur « collect » détermine l’information complémentaire que nous souhaitons obtenir pour ces flows.

 

Dans cette exemple, les champs clés comprennent l’adresse source et de destination, les ports utilisés, le protocole, les interfaces entrantes et sortantes, le type de service. Ensuite nous avons ajouté des compteurs bytes et de paquets afin de pouvoir suivre l’utilisation de la bande passante.

 

Le résultat final est concluant, avec un rapport QoS complet entre deux emplacements. L’exemple de rapport ci-dessous correspond à un rapport TOS (flux groupés).

En résumé, en utilisant toutes les capacités d’analyse de la console Plixer, nous sommes capables de fournir un rapport complet en corrélation avec nos attentes.