简介
本文档介绍如何过滤某些IP以便不被NetFlow记录。
作者:Cisco TAC工程师Vishal Kothari。
先决条件
要求
Cisco建议您了解Flexible NetFlow。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 3650 台交换机
- 集成服务路由器(ISR)4351路由器
注意:为了在NetFlow下实现所需的过滤,您需要安装AppxK9许可证。对于测试,您可以使用使用权(RTU)AppxK9许可证。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
在本节中,您需要过滤不需要由NetFlow记录的IP列表,这进一步意味着路由器不应在ACL中发送有关已定义IP的源和目标的详细信息。如何通过灵活的NetFlow实现这一目标,请点击此处。
网络图
配置
准备要过滤掉的所有网络的列表,同时将其发送到NetFlow收集器。在本示例中,拒绝/过滤Telnet流量发送到收集器并允许所有其他流量。
ISR4351配置:
IP access-list extended acl-filter
deny tcp host 10.10.10.1 host 10.10.10.2 eq telnet
deny tcp host 10.10.10.2 eq telnet host 10.10.10.1
permit ip any any
flow record type performance-monitor NET-FLOW
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface output
match flow direction
match flow sampler
match application name
collect routing source as
collect routing destination as
collect routing next-hop address ipv4
collect ipv4 source mask
collect ipv4 destination mask
collect transport tcp flags
collect interface input
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!
!
flow exporter NET-FLOW
description NET-FLOW
destination 20.20.20.2
source Loopback28
transport udp 2055
!
!
flow monitor type performance-monitor NET-FLOW
record NET-FLOW
exporter NET-FLOW
class-map match-any class-filter
match access-group name acl-filter
!
policy-map type performance-monitor policy-filter
class class-filter
flow monitor NET-FLOW
interface Loopback28
ip address 10.11.11.28 255.255.255.255
interface GigabitEthernet0/0/1
ip address 10.10.10.2 255.255.255.0
negotiation auto
service-policy type performance-monitor input policy-filter
验证
使用本部分可确认配置能否正常运行。
在将网络发送到NetFlow收集器时,如何确认网络是否已被过滤?
为了证明您可以在ISR4351 Gi0/0/0(指向NetFlow收集器的接口)上采用嵌入式数据包捕获(EPC)。 配置如下:
ip access-list extended CAP-FILTER
permit ip host 10.11.11.28 host 20.20.20.2
permit ip host 20.20.20.2 host 10.11.11.28
monitor capture CAP access-list CAP-FILTER buffer size 10 interface GigabitEthernet 0/0/0 both
monitor capture CAP start
++ TEST I
3650: -
telnet 10.10.10.2
Trying 10.10.10.2 ... Open
未在EPC下为Telnet流量捕获数据包,原因是流量在访问控制列表(ACL)(ACL-filter)下被拒绝,其余所有流量均被允许。
show monitor capture CAP buffer brief
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
现在在测试02中,生成ping流量以查看它是否在EPC下匹配:
++ TEST II
3650: -
ping 10.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:
!!!!!
ISR4351:
show monitor capture CAP buffer brief
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
0 122 0.000000 10.11.11.28 -> 20.20.20.2 UDP
1 70 0.001998 20.20.20.2 -> 10.11.11.28 ICMP
故障排除
目前没有针对此配置的故障排除信息。