演示：netflow的配置与集中采集

第九章实施网络管理与应用功能任务9.3.11理解并实施思科的NetFlow功能

NetFlow是CiscoIOS软件中集成的一种功能，用来将网络流量记录到设备的高速缓存中，或者流量监管服务平台上，从而提供非常精准的流量测量。现在NetFlow被其他的厂商大规模地使用。由于网络通信具有流动性，所以缓存中记录的NetFlow统计数据通常包含转发的IP信息。输出的NetFlow统计数据可用于多种目的，如：网络流量核算、网络付费、网络监控及商业目的的数据存储。这些数据流中包含来源和目的的相关信息，以及端到端会话使用的协议和端口。这些信息能帮助IT人员监控和调整网络流量，以及面向网络有效地分配带宽。任务9.3.11NetFlow流量统计平台的结构

NetFlow流量统计平台包括3个主要部分：探测器、采集器和报告系统。探测器是用来监听网络数据的，采集器是用来收集探测器传来的数据的，报告系统是用来从采集器收集到的数据中产生易读的报告的。NetFlow流量统计平台的结构如图9.108所示。图9.108NetFlow流量统计平台的结构任务9.3.11NetFlow的版本NetFlow技术最早是由思科公司于1996年自主研究开发的。在NetFlow技术的演进过程中，思科公司一共开发出了5个主要的实用版本。NetFlowV1：NetFlow技术的第一个实用版本。支持IOS11.1、11.2、11.3和12.0，但在如今的实际网络环境中已经不建议使用。NetFlowV5：增加了对数据流BGPAS信息的支持，是当前主要的实际应用版本。支持IOS11.1CA和12.0及其后续IOS版本。NetFlowV7：思科Catalyst交换机设备支持的一个NetFlow版本，需要利用交换机的MLS或CEF处理引擎。NetFlowV8：增加了网络设备对NetFlow统计数据进行自动汇聚的功能（共支持11种数据汇聚模式），可以大大降低对数据输出的带宽需求。支持IOS12.0（3）T、12.0（3）S、12.1及其后续IOS版本。NetFlowV9：一种全新的灵活的和可扩展的NetFlow数据输出格式，采用了基于模板的统计数据输出。方便添加需要输出的数据域和支持多种NetFlow新功能，如Multicase

NetFlow、MPLSAwareNetFlow、BGPNextHopV9、NetFlowforIPv6等。支持IOS12.0（24）S和12.3T及其后续IOS版本。任务9.3.11演示：利用NetFlow统计流经网络设备的流量演示目标：配置路由器与交换机的NetFlow功能，收集穿越各台路由器的流量。演示工具：为了让整个实验的效果更真实，在该演示环境中，将使用一套第三方的NetFlowAnalyzer5分析系统，以方便做NetFlow流量统计的效果评估，类似于这样的流量统计平台系统，在Internet上免费共享的软件有很多。注意：这个第三方的统计平台的使用不是我们认证要求的重点，重点是在思科的网络设备上配置NetFlow功能。演示环境：如图9.109所示。图9.108利用NetFlow统计流经网络设备的流量环境任务9.3.11演示背景：网络中的路由器R1、R2与交换机S1是NetFlow探测器，负责收集流经各个设备的网络流量。00是NetFlow采集平台，负责收集各个探测器利用NetFlow发来的流量标本。在本演示实例中，使用NetFlowAnalyzer5软件安装在00上作为NetFlow采集平台。演示步骤：首先应该在启动NetFlow的各个设备上配置统一的时钟源，以保证NetFlow采集平台显示数据流量时提供正确的采集时间。在该演示实例中，路由器R1（）为整个网络提供时钟源，所以clockset指令为设置R1的实时时间。ntpmaster指R1作为整个网络的时钟源。ntpsourcee1/0是指在进行时钟消息更新时更新源接口是R1的E1/0接口。配置路由器R1为时钟源：r1#clockset23:33:006mar2013r1(config)#ntpmasterr1(config)#ntpsourcee1/0任务9.3.11在路由器R2上利用ntpserver指令从获得时钟来源，而正是第一步中R1的E1/0接口地址。r2(config)#ntpserver配置完路由器R2的时间来源后，可利用showntpstatus指令查看R2获得时间来源的结果：r2#showntpstatusClockissynchronized,stratum9,referenceisnominalfreqis250.0000Hz,actualfreqis250.0000Hz,precisionis2**18referencetimeisCF3D6557.F2564FB5<23:35:51.946UTCSatMar6202013>clockoffsetis45.8321msec,rootdelayis24.12msecrootdispersionis68.41msec,peerdispersionis22.55msec任务9.3.11在路由器R2上启动NetFlow，指令ipflow-exportdestination009996指示NetFlow探测集将收集到的流量发送到00，使用9996号端号进行发送。指令ipflow-exportversion5指示开启NetFlow的5号版本。在接口配置模式下，指令ipflowingress对进入流量进行采集；ipflowegress对出站流量进行采集。路由器R1的NetFlow配置与R2相同，这里不再多述。r2(config)#ipflow-exportdestination009996r2(config)#ipflow-exportversion5r2(config)#intee1/0r2(config-if)#ipflowingressr2(config-if)#ipflowegress

注意：下一个步骤是配置NetFlow服务端，也就是集中采集平台，因为NetFlow服务端的用户订制环境不同，配置界面也有很大的区别。由于这不是CCNA认证课程的核心，所以在下一个配置步骤中笔者只是演示当时自己所使用的NetFlow服务端，而这个配置是不具备通用性的。笔者使用的是NetflowAnalyzer5服务端软件。任务9.3.11

在00主机上安装NetFlow的集中采集平台，以NetflowAnalyzer5软件平台作为集中采集平台。下面是安装过程中较为关键的参数，如图9.110所示。WebServer后面的8080端口是指该集中采集平台以Web页面的形式显示给用户，页面的端口号为8080。当用户需要查看采集结果时，在IE浏览器中输入00:8080，就可以访问到采集平台。NetFlow后面的端口号9996是接收探测器发送流量的端口，该端口必须与指令ipflow-exportdestination009996中的9996相同。当出现如图9.111所示的界面时，填写SNMP的管理参数，这里可保持默认参数不变，直接单击“Next”按钮。

图9.110配置NetFlow平台的端口

图9.111配置SNMP管理参数

任务9.3.11在IE浏览器中输入00:8080，访问采集平台。输入用户名与密码就可以进入NetFlow采集平台，如图9.112所示。图9.112NetFlow采集平台任务9.3.11 如图9.113所示，显示NetFlowAnalyzer5的初始界面。图9.113NetFlowAnalyzer5的初始界面任务9.3.11

开始测试NetFlowAnalyzer5与探测器结合，集中采集与分析流量的过程。如图9.114所示的是R1（192.1681.1）和R2（）的各个接口上通过的数据流量。单击图中的“IfInddex2”，在如图9.115所示的界面中，选择“目的”选项卡，显示了目的-流入排行榜，并且可以形象地为用户显示百分比统计图。还可以切换到“会话”选项卡，如图9.116所示，可以看出会话来源与穿越探测器的协议类型及流量分类。在如图9.116所示的结果中，分析统计目前共有4种流量：第一种流量是路由协议RIP所使用的流量，发送该类型流量的源设