Inleiding
Dit document beschrijft hoe bepaalde IP's moeten worden gefilterd zodat ze niet worden opgenomen door NetFlow.
Bijgedragen door Vishal Kothari, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Flexibele NetFlow.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- 3650 Switch
- Geïntegreerde services router (ISR) 4351 router
Opmerking: Om dit vereiste filtering onder NetFlow te realiseren, moet u de AppleK9-licentie installeren. Voor het testen kunt u gebruik maken van de Right-To-Use (RTU) AppxK9 licentie.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
In deze sectie moet u de lijst van IP’s filteren die niet door NetFlow hoeven te worden opgenomen, wat verder betekent dat de router geen details over de bron en bestemming van gedefinieerde IP in een ACL moet sturen. Hoe kunt u dit bereiken door middel van flexibele NetFlow, vindt u hier.
Netwerkdiagram
Configuraties
Maak een lijst van al die netwerken die u wilt filteren terwijl u het naar de NetFlow Collector stuurt. In dit voorbeeld, ontken/filter Telnet verkeer wordt verzonden naar een collector en laat al ander verkeer toe.
ISR4351 configuratie:
IP access-list extended acl-filter
deny tcp host 10.10.10.1 host 10.10.10.2 eq telnet
deny tcp host 10.10.10.2 eq telnet host 10.10.10.1
permit ip any any
flow record type performance-monitor NET-FLOW
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface output
match flow direction
match flow sampler
match application name
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface input
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
!
flow exporter NET-FLOW
description NET-FLOW
destination 20.20.20.2
source Loopback28
transport udp 2055
!
!
flow monitor type performance-monitor NET-FLOW
record NET-FLOW
exporter NET-FLOW
class-map match-any class-filter
match access-group name acl-filter
!
policy-map type performance-monitor policy-filter
class class-filter
flow monitor NET-FLOW
interface Loopback28
ip address 10.11.11.28 255.255.255.255
interface GigabitEthernet0/0/1
ip address 10.10.10.2 255.255.255.0
negotiation auto
service-policy type performance-monitor input policy-filter
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Hoe te bevestigen als de netwerken zijn gefilterd wanneer u hen naar NetFlow Collector stuurt?
Om te bewijzen dat u Embedded Packet Capture (EPC) op ISR4351 Gi0/0/0 kunt uitvoeren (interface die naar NetFlow Collector wijst). Hier is de configuratie:
ip access-list extended CAP-FILTER
permit ip host 10.11.11.28 host 20.20.20.2
permit ip host 20.20.20.2 host 10.11.11.28
monitor capture CAP access-list CAP-FILTER buffer size 10 interface GigabitEthernet 0/0/0 both
monitor capture CAP start
++ TEST I
3650: -
telnet 10.10.10.2
Trying 10.10.10.2 ... Open
Er zijn geen pakketten opgenomen voor Telnet-verkeer onder EPC, omdat het verkeer is geweigerd onder toegangscontrolelijst (ACL) (ACL-filter) en alles is toegestaan.
show monitor capture CAP buffer brief
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
Nu in Test 02, genereer pingverkeer om te zien of het onder EPC wordt aangepast:
++ TEST II
3650: -
ping 10.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
!!!!!
ISR4351:
show monitor capture CAP buffer brief
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
0 122 0.000000 10.11.11.28 -> 20.20.20.2 UDP
1 70 0.001998 20.20.20.2 -> 10.11.11.28 ICMP
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.