含效能監控器的Flexible NetFlow篩選

簡介

本文檔介紹如何過濾某些IP以便不被NetFlow記錄。 

作者：思科TAC工程師Vishal Kothari。

必要條件

需求

思科建議您瞭解Flexible NetFlow。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 3650交換器
• 整合式服務路由器(ISR)4351路由器
  
  

附註：為了在NetFlow下實現所需的過濾，您需要安裝AppxK9許可證。對於測試，您可以使用使用權(RTU)AppxK9許可證。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

在本節中，您需要過濾掉NetFlow不需要記錄的IP清單，這進一步表示，路由器不應在ACL中傳送有關已定義IP的來源和目的地的詳細資訊。如何通過靈活的NetFlow實現這一目標，請點選此處。 

網路圖表

組態

準備要過濾掉的所有網路的清單，同時將其傳送到NetFlow收集器。在此範例中，拒絕/過濾Telnet流量會傳送到收集器，且允許所有其他流量。

ISR4351配置：

IP access-list extended acl-filter

deny   tcp host 10.10.10.1 host 10.10.10.2 eq telnet

deny   tcp host 10.10.10.2 eq telnet host 10.10.10.1

permit ip any any





flow record type performance-monitor NET-FLOW

match ipv4 tos

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface output

match flow direction

match flow sampler

match application name

collect routing source as

collect routing destination as

collect routing next-hop address ipv4

collect ipv4 source mask

collect ipv4 destination mask

collect transport tcp flags

collect interface input

collect counter bytes

collect counter packets

collect timestamp sys-uptime first

collect timestamp sys-uptime last

!

!

flow exporter NET-FLOW

description NET-FLOW

destination 20.20.20.2

source Loopback28

transport udp 2055

!

!

flow monitor type performance-monitor NET-FLOW

record NET-FLOW

exporter NET-FLOW



class-map match-any class-filter

match access-group name acl-filter

!

policy-map type performance-monitor policy-filter

class class-filter

  flow monitor NET-FLOW





interface Loopback28

ip address 10.11.11.28 255.255.255.255



interface GigabitEthernet0/0/1

 ip address 10.10.10.2 255.255.255.0

negotiation auto

service-policy type performance-monitor input policy-filter

驗證

使用本節內容，確認您的組態是否正常運作。

在將網路傳送到NetFlow收集器時，如何確認是否已過濾出網路？

為了證明您能夠在ISR4351 Gi0/0/0（指向NetFlow收集器的介面）上採用嵌入式資料包捕獲(EPC)。 以下是組態：

ip access-list extended CAP-FILTER

permit ip host 10.11.11.28 host 20.20.20.2

permit ip host 20.20.20.2 host 10.11.11.28





monitor capture CAP access-list CAP-FILTER buffer size 10 interface GigabitEthernet 0/0/0 both

monitor capture CAP start





++  TEST I

3650: -



telnet 10.10.10.2

Trying 10.10.10.2 ... Open

未在EPC下擷取Telnet流量的封包，原因是流量在存取控制清單(ACL)(ACL-filter)下遭到拒絕，且其餘所有內容都允許通過。 

show monitor capture CAP buffer brief

-------------------------------------------------------------

#   size   timestamp     source             destination   protocol

-------------------------------------------------------------

現在，在測試02中，生成ping流量，以檢視它是否在EPC下匹配：

++ TEST II

3650: -

ping 10.10.10.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds:

!!!!!

ISR4351: 

show monitor capture CAP buffer brief

-------------------------------------------------------------

#   size   timestamp     source             destination   protocol

-------------------------------------------------------------

   0  122    0.000000   10.11.11.28      ->  20.20.20.2       UDP

   1   70    0.001998   20.20.20.2       ->  10.11.11.28      ICMP

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。