NetFlow技术原理

1、NetFlow技术简介技术简介什么是NetFlowNetFlow版本NetFlow的用途NetFlow七元组NetFlow工作原理Flow Cache老化机制NetFlow 数据记录NetFlow 配置命令说明Cisco7600系列NetFlow相关配置什么是什么是NetFlow1996年，Cisco系统公司的Darren Kerr和Barry Bruins开发了一种流量轮廓监控技术，即NetFlow。作为业界事实标准，NetFlow描述了路由器输出关于被路由套接字对（the routed socket pairs）统计信息的方法。目前Cisco的绝大多数路由器集成了该特性，Juniper、E

2、xtreme、华为、华三以及其他厂商也有集成该特性的路由器和交换机；NetFlow版本版本 Netflow V1，为Netflow技术的第一个实用版本。在如今的实际网络环境中已经不建议使用 Netflow V5，增加了对数据流BGP AS信息的支持。 Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。 Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能，可以大大降低对数据输出的带宽需求。 Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）

3、的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicast Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。NetFlow的用途的用途 利用Netflow技术可以监测网络上的IP Flow信息 IP Flow信息，可以回答用户的下面问题（5W1H）谁（Who: 源IP地址）什么时候（When开始时间、结束时间）访问路径（Where）n从哪（从哪（From：源：源IP、源端口）、源端口）n到哪（到哪（To：目标：目标IP、目标端口）、目标端口）什么应用（What：协议类型、目标IP、目标端

4、口）访问情况如何（How：流量大小、数据包数）是否正常（Why：基线、阀值、特征）NetFlow的用途的用途 采集到的netflow流量信息可以帮助进行网络行为分析业务访问情况分析网络规划流量计费病毒检测等等NetFlow七元组七元组NetFlow使用七元组来区分每一个Flow，包括以下字段：源 IP 地址(source IP address)源端口号(source port number)目的 IP 地址(destination IP address)目的端口号(destination port number)协议类(protocol type)服务种类(type of service)输入

5、接口(input logical interface)NetFlow工作原理工作原理Flow Cache老化机制老化机制流设备每秒检查一次cache,对条目做如下老化（Aging）措施：会话结束(TCP FIN or RST).flow cache 用完，最老的flow信息被输出The inactive timer has expired after 15 seconds of traffic inactivity.The active timer has expired after 30 minutes of traffic activity.老化的Flow信息，采用UDP包发送到采集器使用

6、NetFlow版本V5,V9，一个UDP包最大可包括30个流（Flow）NetFlow 数据记录数据记录 Source IP Address Destination IP Address Next Hop Address Source AS Number Dest. AS Number Source Prefix Mask Dest. Prefix Mask Input Interface Port Output Interface Port Type of Service TCP Flags Packet Count Byte Count Start Timestamp End Timest

7、amp Protocol Source TCP/UDP Port Destination TCP/UDP Port使用情况使用情况QoS发生时间发生时间应应 用用Routing和和Peering接口利用率接口利用率何去何从何去何从一条流记录的部分主要信息一条流记录的部分主要信息index:0 xc1a21router:192.168.254.2src IP:192.168.231.55dst IP:202.112.43.18input ifIndex: 8output ifIndex: 55src port:12043dst port:80pkts:6bytes:680IP nexthop:2

8、02.112.43.20start time: 11:29:22 2014-2-9end time: 11:29:25 2004-2-9protocol:6tos:0 x0src AS:0dst AS:321src masklen: 20dst masklen: 0TCP flags:0 x1bengine type: 1engine id:0注： Cisco产品配置命令：snmp ifmib ifindex persist 保证设备重启之后，设备的ifindex号保持不变NetFlow 配置命令说明配置命令说明 全局配置 设置NetFlow的版本: ip flow-export versio

9、n 9 设置用于输出数据包的源地址： ip flow-export source 一般设置为:到达目的地（采集设备SinoBaaS）的最佳路由接口 设置输出的目的地： ip flow-export destination 接口配置（开启一个接口的 flow switching 功能） interface e1/0n ip flow ingressn ip flow egress（有的设备不可配置，有的设备可配置，但不起作用）（有的设备不可配置，有的设备可配置，但不起作用） 状态查看 show ip cache flow show ip flow exportCisco7600系列系列NetFl

10、ow相关配置相关配置一、全局配置一、全局配置mls flow ip interface-fullmls nde sendermls sampling time-based 64ip flow-capture fragment-offsetip flow-capture packet-lengthip flow-capture ttlip flow-capture icmpip flow-capture mac-addressesip flow-export source GigabitEthernet2/0/2ip flow-export version 9ip flow-export des

11、tination 10.1.52.78 9996二、接口配置二、接口配置interface GigabitEthernet2/0/2 ip address 10.0.2.14 255.255.255.252 ip flow ingress mls netflow sampling三、三、SNMP配置配置snmp-server community public ROsnmp ifmib ifindex persistSnmp网管技术简介网管技术简介网络管理基本知识SNMP协议模型SNMP的基本操作Cisco设备SNMP配置命令网络管理基本知识网络管理基本知识 管理者：工作站、微机等，一般位于网络

12、系统主干或接近主干的位置，负责发出管理操作的指令，并接收来自代理的信息 代理：一般位于被管理设备内部，把来自管理者的命令或信息请求转换为本设备特有的指令，完成管理者的指示，或返回所在设备的信息。代理也可以主动发送通知给管理者代理代理被管对象被管对象SNMP执行操作执行操作通知通知MIBSNMP协议模型协议模型 NMS UDP port 162UDP port 161 AGENT RequestResponseTrapSNMP就是用来规定就是用来规定NMS和和Agent之间是如何传递管理信息之间是如何传递管理信息的应用层协议。的应用层协议。1. 网管站（网管站（NMS）对网络设备发送各种查询报文

13、，并接收来自被管设备）对网络设备发送各种查询报文，并接收来自被管设备的响应及陷阱（的响应及陷阱（trap）报文，将结果显示出来。）报文，将结果显示出来。2. 代理（代理（agent）是驻留在被管设备上的一个进程，负责接受、处理来自）是驻留在被管设备上的一个进程，负责接受、处理来自网管站的请求报文，然后从设备上其他协议模块中取得管理变量的数值，网管站的请求报文，然后从设备上其他协议模块中取得管理变量的数值，形成响应报文，反送给形成响应报文，反送给NMS。3 . 在一些紧急情况下，如接口状态发生改变在一些紧急情况下，如接口状态发生改变，主动，主动通知通知NMS（发送陷阱（发送陷阱TRAP报文），实

14、时性较高。报文），实时性较高。SNMP的基本操作的基本操作1. SNMP以以GET-SET替代复杂的命令集，利用基本操作演绎出全部操作。替代复杂的命令集，利用基本操作演绎出全部操作。2. 采用管理信息库定义设备的管理信息库（采用管理信息库定义设备的管理信息库（MIB）。）。Cisco设备设备SNMP配置命令配置命令一、一、Snmp的基本配置命令的基本配置命令snmp-server community public RO定义Snmp访问密码（Community String）：public定义Snmp访问密码public为只读操作权限：RO snmp-server community private RW定义Snmp访问密码private为读写操作权限：RW 二、二、Snmp访问控制配置命令访问控制配置命令用ACL（访问控制列表）