理解并實施思科的netflow功能

? ? NetFlow是Cisco IOS軟件中集成的一種功能，用來將網絡流量記錄到設備的高速緩存中，或者流量監管服務平臺上，從而提供非常精準的流量測量，現在被其他的廠商大規模地使用。由于網絡通信具有流動性，所以緩存中記錄的NetFlow統計數據通常包含轉發的IP信息。輸出的NetFlow統計數據可用于多種目的，如：網絡流量核算、網絡付費、網絡監控及商業目的的數據存儲。這些數據流中包含來源和目的的相關信息，以及端到端會話使用的協議和端口。這些信息能幫助IT人員監控和調整網絡流量，以及面向網絡有效地分配帶寬。

NetFlow流量統計平臺的結構

NetFlow流量統計平臺包括3個主要部分：探測器、采集器和報告系統。探測器是用來監聽網絡數據的，采集器是用來收集探測器傳來的數據的，報告系統是用來從采集器收集到的數據中產生易讀的報告的。具體顯示如圖9.107所示。

NetFlow的版本

NetFlow技術最早是由思科公司于1996年自主研究開發的。在NetFlow技術的演進過程中，思科公司一共開發出了5個主要的實用版本。

NetFlow V1：NetFlow技術的第一個實用版本。支持IOS 11.1、11.2、11.3和12.0，但在如今的實際網絡環境中已經不建議使用。

NetFlow V5：增加了對數據流BGP AS信息的支持，是當前主要的實際應用版本。支持IOS 11.1CA和12.0及其后續IOS版本。

NetFlow V7：思科Catalyst交換機設備支持的一個NetFlow版本，需要利用交換機的MLS或CEF處理引擎。

NetFlow V8：增加了網絡設備對NetFlow統計數據進行自動匯聚的功能（共支持11種數據匯聚模式），可以大大降低對數據輸出的帶寬需求。支持IOS12.0（3）T、12.0（3）S、12.1及其后續IOS版本。

NetFlowV9：一種全新的靈活和可擴展的NetFlow數據輸出格式，采用了基于模板的統計數據輸出。方便添加需要輸出的數據域和支持多種NetFlow新功能，如Multicase NetFlow、MPLS Aware NetFlow、BGP Next Hop V9、NetFlowfor IPv6等，支持IOS12.0（24）S和12.3T及其后續IOS版本。

演示：利用NetFlow統計流經網絡設備的流量

演示目標：配置路由器與交換機的NetFlow功能，收集穿越各個路由器的流量。

演示工具：為了讓整個實驗的效果更真實，在該演示環境中，將使用一套第三方的NetFlow Analyzer 5分析系統，以方便作NetFlow流量統計的效果評估，類似于這樣的流量統計平臺系統，在Internet上免費共享軟件很多，注意，這個第三方的統計平臺的使用不是我們認證要求的重點，要點是在思科的網絡設備配置NetFlow功能。

演示環境：如圖9.108所示。

背景說明：網絡中的路由器R1、R2與交換機S1是NetFlow的探測器，負責收集流經各個設備的網絡流量。192.168.1.100是NetFlow的采集平臺，負責收集各個探測器利用NetFlow發來的流量標本。在本演示實例中使用“NetFlow Analyzer 5”軟件安裝在192.168.1.100上作為NetFlow的采集平臺。

演示步驟：

第一步：首先應該在啟動NetFlow的各個設備上配置統一的時鐘源，以保證NetFlow的收集平臺顯示數據流量時提供正確的采集時間。在該演示實例中，以R1（192.168.2.1）為整個網絡提供時間源，所以clock set指令為設置R1的實時時間。然后ntp master是R1作為整個網絡的時鐘源。ntp source e1/0是指在作時鐘消息更新時的更新源接口是R1的E1/0接口。

配置路由器R1為時鐘源：

r1#clock set 23:33:00 6 mar 2013

r1(config)#ntp master

r1(config)#ntp source e1/0

第二步：在路由器R2上利用ntp server 192.168.2.1指令指示從192.168.2.1獲得時鐘來源，而192.168.2.1正是第一步中R1的E1/0接口地址。

r2(config)#ntpserver 192.168.2.1

配置完路由器R2的時間來源后可利用show ntp status指令查看R2獲得時間來源的結果：

r2#show ntp status

Clock is synchronized,stratum9,reference is 192.168.2.1

nominal freq is 250.0000 Hz,actual freqis 250.0000 Hz,precision is 2**18

reference time isCF3D6557.F2564FB5<23:35:51.946 UTC Sat Mar 6 20 2013>

clock offset is 45.8321 msec,root delayis 24.12 msec

root dispersion is 68.41 msec,peerdispersion is 22.55 msec

第三步：在路由器R2上啟動NetFlow，指令ip flow-export destination 192.168.1.100 9996指示NetFlow探測平臺將收集到的流量發送到192.168.1.100，使用9996號端號進行發送。指令ip flow-export version 5指示開啟NetFlow的5號版本。在接口配置模式下的ip flow ingress對進入流量進行采集；ip flow egress對出站流量進行采集。路由器R1的NetFlow配置與R2相同，這里不再多述。

r2(config)#ipflow-export destination 192.168.1.100 9996

r2(config)#ipflow-export version 5

r2(config)#inte e1/0

r2(config-if)#ipflow ingress

r2(config-if)#ipflow egress

注意：下一個步驟是配置NetFlow的服務端，也就是集中采集平臺，注意因為NetFlow服務端的用戶訂制環境不同，配置界面也有很大的區別，由于這不是CCNA認證課程的核心，所以在下一個配置步驟中筆者只是演示當時他所使用的NetFlow服務端，而這個配置是不具備通用性的。筆者使用的是NetflowAnalyzer 5服務端軟件。

第四步：在192.168.1.100的主機上安裝NetFlow的集中采集平臺，以Netflow Analyzer 5軟件平臺作為集中采集平臺。下面是安裝過程中較為關鍵的參數，如圖9.109所示。Web server后面的8080端口是指該集中采集平臺以Web頁面的形式顯示給用戶，頁面的端口號為8080。當用戶需要查看采集結果時，在IE瀏覽器中輸入：http://192.168.1.100:8080，就可以訪問到采集平臺。NetFlow后面的端口號9996指示接收探測器發送流量的端口，該端口必須與命令ip flow-exportdestination 192.168.1.100 9996中的9996相同。當出現如圖9.110所示的界面，填寫SNMP的管理參數，這里可保持默認參數不變，直接單擊“Next”按鈕。

第五步：在IE瀏覽器中輸入http://192.168.1.100:8080，訪問采集平臺。輸入用戶名與密碼就可以進入NetFlow的采集平臺，如圖圖9.111所示。

第六步：如圖9.112所示，顯示NetFlow Analyzer 5的初始界面。

第七步：開始測試NetFlow Analyzer 5與探測器結合，集中采集與分析流量的過程。如圖9.113所示的是R1（192.1681.1）和R2（192.168.2.1）的各個接口上通過的數據流量。選擇圖中192.168.1.1的“ifinddex2”，并單擊它。在如圖9.114所示的界面中，選擇“目的”選項卡，顯示目的流入的排行榜，并且可以形象地為用戶顯示百分比統計圖。還可以切換到“會話”選項卡界面，如圖9.115所示。看出會話來源與穿越探測器的協議類型與流量分類。在如圖9.115所示的結果中分析統計目前共計有4種流量：一種是路由協議RIP所使用的流量，發送該類型流量的源設備是192.168.2.1（R1）目標地址是224.0.0.9；第二種流量是NetFlow本身的采集流量，源地址是192.168.2.1（R1），目標是NetFlow的采集平臺192.168.1.100；第三種流量是NTP時鐘更新流量，發送源是192.168.2.1（R1），目標地址是192.168.2.2（R2）；第四種流量是流經192.168.2.1（R1）到192.168.1.100的ICMP流量。

總結

以上是生活随笔為你收集整理的理解并演示：思科的netflow功能（200-120新增考点）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。