NetFlow 是Cisco发布的一款用于分析网络数据包信息的工具包;
根据不同的需要定制不同的方案;
典型的是对网络数据的源地址、目的地址的分析,对流量各种应用的分析或者路由器上各个端口的负载等;
addr、dstaddr、port、dstport、protocol、ToS、input interface、output interface、nexthop、masked
Packet count、byte count、flow count等
NetFlow是一种数据交换方式,NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
NetFlow不仅能记录数据的数量,并且还可以记录出协议等信息。
Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcp dump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。
数据采集:针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。
Cisco开发的NetFlow共4个版本,分别是ver 1 ,ver 5,ver 8,ver 9,它们的特点是:
V9不向后兼容v8和v5,需要独立开启。
V8只支持聚合缓存,不支持新feature。
V5只支持主缓存,不支持新feature。
V1,不要使用,建议用5和9。
Netflow在网络设备上抓包,在每台设备上独立进行,不需要所有设备开启。
配置Netflow的条件:
(1)必须先开启路由功能,
(2)CEF必开
(3)并且会消耗额外CPU和内存资源。
下面7个参数相同即被认为是同一流,作相同记录,否则另作记录
(1)Source IP address
(2)Destination IP address
(3)Source port number
(4)Destination port number
(5)Layer 3 protocol type
(6)Type of service (ToS)
(7)Input logical interface
Netflow抓到的包可以向远程主机发送,发送时使用协议UDP,端口号默认为9991,这些远程主机的IP和端口号可以随意更改。
netflow配置案例
CCIE 4.0考试:
Configure Netflow version 9 on R1 on the interface connected to BB1 as per the following requirements
R1 must export a Netflow sample for every 1000 packets in both directions
Export the flow accounting information to server 8.8.56.100, using the full reliable export mode on port 2222
if the server fails, send to backup server 8.8.56.254 using the same protocol and port.
Do not use any service-policy to configure these requirements
配置命令
ip cef
flow-sampler-map CCIE /创建Netflow例图/
mode random one-out-of 1000 /设置例图模式为1000个包随机取1个/
ip flow-export source Loopback0 /配置输出netflow流量的源端口,收集哪个interface,就在路由器哪个接口上启用采样/
ip flow-export version 9
ip flow-export destination 8.8.56.100 2222 sctp /配置netflow流量输出的目标地址,此时应为流量采集器(probe)的IP地址,端口号/
backup destination 8.8.56.254 2222 /备份服务器
backup mode fail-over
interface G0/1
ip flow ingress
ip flow egress
flow-sampler CCIE /入方向流量应用例图采用/
flow-sampler CCIE egress /出方向流量应用例图采样/
案例配置拓扑
案例配置要求
1、 Loopback 0的IP为X.X.X.X,其中X为本设备ID,
2、 R1、R2、R3之间使用OSPF作为IGP路由;
3、 在R1上配置NetFlow v9;
4、 R1每接收或发送100个包,就做一个Netflow采样;
5、 Netflow的更新源设置为Loopback 0;
6、 采样发送到服务器2.2.2.2的2222端口;
案例配置思路
1、 在3台路由器上配置IP:
2、 在3台路由器上运行OSPF;
3、 在R1上配置Netflow:
Ip cef
flow-sampler-map ccie /创建Netflow例图/
mode random one-out-of 100 /设置例图模式为100个包随机取1个/
ip flow-export source Loopback0 /设置Netflow更新源/
ip flow-export version 9 /设置Netflow版本号/
ip flow-export destination 2.2.2.2 2222 /设置Netflow发送的目的/
interface Serial0/0
flow-sampler ccie /接口进流量应用例图采样/
flow-sampler SPOTO egress /接口出流量应用例图采样/
案例检验结果
1、 配置完成后,在R3 ping R1 100个包后,在R1上查看Netflow例图:
2、 配置完成后,在R1上查看的用户信息:
案例总结及其它
1、 Netflow协议为设备进行流量采样汇总功能;
2、 默认情况下,配置了Netflow的接口,在接收或者发送出一个数据包时,产生一个采样包;
3、 采样包包含设备(源IP)、接口ID、收发定义等信息,被发送到Netflow服务器上识别、记录;
4、 可以使用Netflow采样视图,设置对多个包随机产生一个采样包;
