flexible netflow i CLI - część druga

jakiś czas temu pisałem o możliwości podejrzenia na żywo co dzieje się z ruchem przechodzącym przez router i jak rozkłada się on z podziałem na poszczególne systemy autonomiczne (z opcjami sortowania/agregacji po bajtach, pakietach i innych cechach). niedawno do możliwości flexible netflow dołączyła możliwość wykorzystania mechanizmu NBAR, a dokładniej - posłużenia się nim do segregacji danych w pamięci podręcznej NetFlow. co to oznacza?

za pomocą bardzo prostej modyfikacji rekordu zbierającego dane o ruchu możemy dołączyć do cech ruchu również zidentyfikowaną mechanizmem NBAR aplikację:

flow record FNF-RECORD
 match ipv4 source address ! może być również IPv6
 match ipv4 destination address
 collect counter bytes
 collect counter packets
 collect application name  ! obok ilości pakietów i bajtów - dołączamy
                           ! również informacje o aplikacji

tak skonfigurowany rekord jest oczywiście częścią monitora przypisanego do interfejsów przez które odbywa się ruch. przykładowa konfiguracja poniżej:

!
flow monitor FNF-MONITOR
 record FNF-RECORD
!
interface GigabitEthernet0/1
 ip flow monitor FNF-MONITOR input
 ip flow monitor FNF-MONITOR output
 ! interfejs zbiera ruch z ruchu wychodzacego i wchodzacego
!
interface GigabitEthernet0/3
 ip flow monitor FNF-MONITOR input
 ip flow monitor FNF-MONITOR output
!

wynik końcowy to możliwość agregacji i obejrzenia w czasie rzeczywistym jakie aplikacje i w jakim wymiarze przechodzą przez łącza:

router# sh flow monitor FNF-MONITOR cache aggregate application name sort counter bytes
 ! prosimy o agregację wg. nazwy aplikacji a potem wg. ilości bajtów

Processed 342 flows
Aggregated to 16 flows
Showing the top 16 flows

APP NAME                               flows       bytes        pkts
================================  ==========  ==========  ==========
nbar http                                  6    60698006       63836
nbar bittorrent                            1       58728         906
nbar icmp                                  8       57547         837
nbar pop3                                  2       51775         233
nbar dns                                 175       44989         299
nbar ssh                                   2       40216         254
nbar bgp                                  39       39177         634
nbar smtp                                  7       18724          78
nbar ipsec                                 2       11896         106
nbar sip                                   2        2728           4
nbar h323                                  2        2276          27
nbar ntp                                  10         760          10
nbar snmp                                  2         759          10
nbar secure-http                           2         133           2