Все о NetFlow и sFlow от Web Control
Главная Регистрация Вход
Меню сайта


Категории раздела
NetFlow. Основы [17] NetFlow v9 [4]
Flexible NetFlow [1] IPFIX [1]
jFlow [2] sFlow [7]
Application Recognition [2] Lancope StealthWatch [1]
NBAR [5] Др.производители [5]
Мониторинг и анализ трафика [8] Настройки [17]


Партнеры



Вход


Поиск
Приветствую Вас, Гость 09.07.2025, 10:16
Главная » FAQ » Flexible NetFlow
Разделы базы знаний сформированы по категориям, которые вы видите в левой части страницы сайта. Для просмотра информации, нажмите на наименование нужной вам категории и вы перейдете в соответствующий раздел.
При переходе в раздел прямо под этим текстом появляется список всех статей раздела. Надеемся, что вы найдете нужную вам информацию!
1.Как экспортировать MAC-адреса с помощью Flexible NetFlow?
Как экспортировать MAC-адреса с помощью Flexible NetFlow?
Информация Layer 2 очень полезна при контроле сети. Зная MAC, вы можете проследить поток до конкретного устройства, например, когда вы имеете сдублированные IP в сети. Это часто означает, что решение проблемы происходит за минуты, а не часы.

MAC-адрес места назначения

Когда вы не должны...
Во-первых, глупо заниматься экспортом MAC-адресов, пока не сконфигурированы граничные устройства. Маршрутизаторы удаляют оригинальный MAC и заменяют его своим, когда маршрутизируют пакет. Если маршрутизатор подключен только к другим маршрутизаторам или файерволам, вы увидите только один MAC для всех IP, приходящих на интерфейс. Это примерно 10-40 бесполезных байтов на поток, которые должны быть сохранены в коллекторе.  Во-вторых, последовательный интерфейс не имеет MAC. Если вы конфигурируете последовательный интерфейс для экспорта запись NetFlow с MAC, то он вам пошлет 00:00:00:00:00 (должен же он что-то послать).

Когда вы должны...
В конфигурации Flexible NetFlow в должны указать, какие MAC вы хотите отослать для потока.  При сборе записи вашего потока, вы можете запросить маршрутизатор  о MAC-адресах отправителя и приемника. Необходимо понимать, как конфигурация работает с Flexible NetFlow.

Вот ваши опции для экспорта MAC-адресов при помощи NetFlow:

    collect datalink mac source address input
    !Экспорт MAC-адреса источника при входе в роутер
    collect datalink mac destination address input
    !Экспорт MAC-адреса приемника при входе в роутер
    collect datalink mac source address output
    !Экспорт MAC-адреса источника, при выходе из роутера (это будет MAC-адрес интерфейса роутера)
    collect datalink mac destination address output
    !Экспорт MAC-адреса приемника при выходе из роутера

Хороший, плохой и злой
Ниже приведен пример входных и выходных MAC-адресов источника, экспортированных из Cisco 2800 (IOS v15.1):



Обратите внимание, что postSourceMacAddress одинаков для всех IP-адресов источника. Это именно потому, что это MAC-адрес роутера. Потоки, которые идут в никуда, получили адрес 00:00:00:00:00. sourceMacAddress показывает уникальные MAC-адреса, поскольку эти устройства находятся в той же сети, как и шлюзовой роутер. В приведенном выше примере больший смысл имеет использование "входящие" MAC, поскольку это действительные MAC-адреса устройств в сети.

Не только Cisco
Кроме Cisco и другие вендоры стараются использовать новые идеи, взятые из таблицы Flexible NetFlow / IPFIX. Enterasys, SonicWall, nProbe и Juniper также экспортируют  MAC-адреса.
Источник: www.bradreese.com