Cisco Netflow: Top Talkers

O protocolo NetFlow é uma parte integrante do software Cisco IOS, que coleta dados sobre o tráfego a medida que ele entra no equipamento. Com ele podemos verificar as aplicações que estão rodando na rede, monitorar usuários, planejar a rede, e ainda usar estas informações para a engenharia de tráfego e análises de segurança.

Normalmente utilizamos um coletor, software que recebe os dados Netflow, que mostra graficamente as informações da rede e estatísticas histórica. Mas mesmo sem um coletor, podemos usar o Netflow para nos dar informações importantes. Podemos, por exemplo, visualizar quem são os usuários (IPs) que estão gerando mais tráfego.

Uma sessão Netflow traz um conjunto de informações, como IP de origem e destino, porta de origem e destino, e ainda o protocolo. E com isso é possível verificar quem são os “top talkers”.

Configurando Netflow Top Talkers em roteadores ISR (IOS)

BrainR1(config)#int f0/0
BrainR1(config-if)#ip flow ingress
BrainR1(config-if)#ip flow egress
BrainR1(config-if)#exit
BrainR1(config)#ip flow-top-talkers
BrainR1(config-flow-top-talkers)#sort-by bytes
BrainR1(config-flow-top-talkers)#top 10

Aguarde alguns minutos para que o cache seja preenchido e então use o comando show ip flow top-talkers para verificar os flows.

Mais detalhes sobre a configuração de Netflow no Configuration Guide.

Top Talkers no Cisco ASR9k

No ASR 9000 (IOS-XR) os comandos mudam um pouco, mas também podemos  ver os “top talkers”.

Configuração no ASR 9k

flow monitor-map FLOWMON1
record ipv4

sampler-map SAMPLERMAP1
random 1 out-of 50

Int Giga0/0/0/0
flow ipv4 monitor FLOWMON1 sampler SAMPLERMAP1 ingress

Para verificar os Top Talkers
show flow monitor FLOWMON1 cache sort counters bytes top location 0/0/CPU0

Mais detalhes da configuração de Netflow no ASR 9000 neste link.

Até a próxima.