Différences entre les versions de « Cisco IpFlow »
(Page créée avec « Mini doc pour trouver la source d'une attaque sur un Cisco ==Configuration sur le routeur== <pre> ip flow-cache timeout active 5 ip flow-export source Loopback0 ip flow-expo... ») |
|||
| (2 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 24 : | Ligne 24 : | ||
mls nde interface | mls nde interface | ||
! commande pour exporter les logs vers un serveur | |||
ip flow-cache timeout active 5 | |||
ip flow-export source Loopback0 | |||
ip flow-export version 5 origin-as | |||
ip flow-export destination 212.43.194.17 9995 | ip flow-export destination 212.43.194.17 9995 | ||
</pre> | </pre> | ||
| Ligne 32 : | Ligne 35 : | ||
ip flow-export version 9 | ip flow-export version 9 | ||
</pre> | </pre> | ||
On peut utiliser par la suite la commande show ip flow top-talkers et faisant la config ci-dessous | |||
<pre> | |||
ip flow-top-talkers | |||
top 5 | |||
sort-by packets | |||
cache-timeout 3600000 | |||
match destination address 212.43.195.0 255.255.255.0 | |||
</pre> | |||
Après cette configuration, <code>mls nde sender version 5</code> ne sera plus utilisé (mais sera encore dans la configuration, utiliser <code>show mls nde</code> pour voir quelle version est utilisée). | Après cette configuration, <code>mls nde sender version 5</code> ne sera plus utilisé (mais sera encore dans la configuration, utiliser <code>show mls nde</code> pour voir quelle version est utilisée). | ||
| Ligne 50 : | Ligne 63 : | ||
ehnt -mtop -i1 | ehnt -mtop -i1 | ||
</pre> | </pre> | ||
Pour connaître les index SNMP des interfaces : | Pour connaître les index SNMP des interfaces : | ||
| Ligne 60 : | Ligne 74 : | ||
tshark -d udp.port==9995,cflow -V udp port 9995 | tshark -d udp.port==9995,cflow -V udp port 9995 | ||
</pre> | </pre> | ||
[[Catégorie:Cisco]] | [[Catégorie:Cisco]] | ||
Version actuelle datée du 8 avril 2009 à 19:38
Mini doc pour trouver la source d'une attaque sur un Cisco
Configuration sur le routeur[modifier]
ip flow-cache timeout active 5 ip flow-export source Loopback0 ip flow-export version 5 peer-as ip flow-export destination 212.43.194.17 9995 interface GigabitEthernet0/3 ip flow ingress ! or ip flow egress
Sur un 6500, inutile de configurer ip flow ingress sur les interfaces pour obtenir le trafic routé par MLS.
Attention, seul le trafic ingress est caché. Utiliser la configuration suivante :
mls nde sender version 5 ! interface-full pour obtenir l'index de l'interface ingress mls flow ip full ! pour renseigner dans les flots le next-hop, l'egress interface et les AS au moment de l'export mls nde interface ! commande pour exporter les logs vers un serveur ip flow-cache timeout active 5 ip flow-export source Loopback0 ip flow-export version 5 origin-as ip flow-export destination 212.43.194.17 9995
Pour configurer en version 9, configurer :
ip flow-export version 9
On peut utiliser par la suite la commande show ip flow top-talkers et faisant la config ci-dessous
ip flow-top-talkers top 5 sort-by packets cache-timeout 3600000 match destination address 212.43.195.0 255.255.255.0
Après cette configuration, mls nde sender version 5 ne sera plus utilisé (mais sera encore dans la configuration, utiliser show mls nde pour voir quelle version est utilisée).
Attention, la configuration v9 hardware (PFC) n'est pas flexible.
Configuration sur le serveur Netflow[modifier]
Lancer le serveur ehnt :
ehntserv -u 9995
Lancer ehnt (man ehnt) :
ehnt -mtop -i1
Pour connaître les index SNMP des interfaces :
th1-cr1#show snmp mib ifmib
Pour dumper les paquets reçus avec tshark :
tshark -d udp.port==9995,cflow -V udp port 9995
