NetFlow协议介绍-文档资料

1、1移动移动IP网管二期培训网管二期培训NetFlow协议介绍2什么是什么是NetFlow 1996年，Cisco系统公司的Darren Kerr和Barry Bruins开发了一种流量轮廓监控技术，即NetFlow。 作为业界事实标准，NetFlow描述了路由器输出关于被路由套接字对（the routed socket pairs）统计信息的方法。 目前Cisco的绝大多数路由器集成了该特性，Juniper、Extreme以及其他厂商也有集成该特性的路由器和交换机；3理解理解NetFlow NetFlow是Cisco发布的一款用于分析网络数据包信息的工具包。 利用Netflow技术可以监测网络

2、上的IP流（IP flow）信息。采集到的netflow流量信息可以帮助进行网络规划，网络管理，流量计费和病毒检测等等。4为什么需要为什么需要netflow? 路由器，交换机A在某种意义上是黑盒子 管理员不知道黑盒子里面发生了什么 黑盒子里面的数据都在干什么，谁发出的，到哪里去，流量大小等等指标5NetFlow Services能做什么能做什么 NetFlow Services 使网络管理员能从他们的数据网络获取 IP 流信息，这些信息解答了谁、什么、何去何从、何时、IP 流量为多少等问题。 导出的 NetFlow 数据可被广泛用于各种用途：Usage-BasedBillingTraffic

3、Analysisand Monitoring for Network PlanningRouter FeatureAcceleration6NetFlow 的价值的价值l NetFlow 提供的 IP 通信流量分析功能无需 Probel 提供了一套丰富的数据集，可供网络管理、流量工程、流量计费、安全分析，以及增值服务提供等l NetFlow 基于使用情况的计费功能，使得所有者能从现在的 Cisco 系统结构中获得更多的利润，而且计费手段更为经济。7流记录（流记录（flow record） 一段时间内网络的某个观测点所通过的一系列分组（packets）。 通常的流记录分类依据由一个五元组（即源地

4、址、目的地址、源端口、目的端口和协议类型）所组成。 8理解理解 NetFlow 的关键的关键导出的导出的 NetFlow 数据数据基于基于 Flow Flow 的分析的分析 ！一个一个NetFlow流定义为在一流定义为在一个源个源IP地址和目的地址和目的IP地址地址间传输的单向数据包流，间传输的单向数据包流，且所有数据包具有共同的且所有数据包具有共同的传输层源、目的端口号！传输层源、目的端口号！唯一标识路由器上的一个唯一标识路由器上的一个网络连接。网络连接。9NetFlow 数据记录数据记录 Source IP Address Destination IP Address Next Hop A

5、ddress Source AS Number Dest. AS Number Source Prefix Mask Dest. Prefix Mask Input Interface Port Output Interface Port Type of Service TCP Flags Protocol Packet Count Byte Count Start Timestamp End Timestamp Source TCP/UDP Port Destination TCP/UDP Port使用情况使用情况QoS时间时间应应 用用Routing和和Peering接口利用率接口利用率何

6、去何何去何从从10一条流记录样本一条流记录样本index:0 xc1a21router:192.168.254.2src IP:192.168.231.55dst IP:202.112.43.18input ifIndex:8output ifIndex:55src port:12043dst port:80pkts:6bytes:680IP nexthop:202.112.43.20start time:11:29:22 2004-6-9end time:11:29:25 2004-6-9protocol:6tos:0 x0src AS:0dst AS:321src masklen: 20d

7、st masklen: 0TCP flags:0 x1bengine type: 1engine id:011Netflow体系架构体系架构12使设备输出使设备输出 NetFlow 数据数据开启一个接口的开启一个接口的 flow switching flow switching 功能：功能： interface e1/0 interface e1/0ip route-cache flow sampledip route-cache flow sampled设置输出的目的地：设置输出的目的地： ip flow-export destination ip flow-export destinati

8、on ip flow-export version origin-as | peer-asip flow-export version origin-as | peer-as设为设为 5 5 ，缺省值为，缺省值为 1 1设置用于输出数据包的源地址：设置用于输出数据包的源地址：ip flow-export source ip flow-export source 缺省情况下是具有通达目的地（采集设备）的最佳路由的接口缺省情况下是具有通达目的地（采集设备）的最佳路由的接口ip flow-sampling-mode packet-interval 100ip flow-sampling-mode p

9、acket-interval 100ip flow-cache feature-accelerateip flow-cache feature-accelerateshow ip cache flowshow ip cache flow基于路由器的数据聚集基于路由器的数据聚集ip flow-aggregation cache ip flow-aggregation cache cache timeout active cache timeout active 缺省情况下是缺省情况下是 15 15 分钟分钟 sh ip cache flow aggregation sh ip cache flo

10、w aggregation export destination ip export destination enable enable13NetFlow FlowCollector应应 用用NetFlowFlowCollectorl 接收 Flow 记录l 减小数据量 过滤 聚集l 以平面文件、二进制文件和/或压缩文件形式存储l 文件清理l Solaris 和 HP-UX14FlowCollector 处理流程处理流程15FilterFilter And Thread Example：Filter filterApermit nexthop 172.16.23.65 0.0.0.0Filte

11、r filterBdeny addr 172.16.0.0 0.0.255.255permit addr 0.0.0.0 0.0.0.016NetFlow的功能的功能根据不同的需要定制不同的计划集合(Aggregation Scheme)，这些计划集合包含了NetFlow发送数据中的一个或多个Key Fields和Value Fields，根据不同的需要进行选择，以满足一定的需求。17NetFlow的功能的功能 比较典型的是对网络数据的源地址、目的地址的分析，对流量中各种应用的分析（基于协议或者端口）或者路由器上各个端口的负载等的分析。18AggregationAggregation 是 ci

12、sco 公司定制好的对网络连接监控的内容以DestPort这个Aggregation为例： Key field: dstport Value fields: packet count, byte count, flow count解释：这一段时刻，该路由器上的数据包都发往了哪些tcp/udp端口？发到这些端口的数据的包数，字节大小，总流数目是多少？FlowCollector Aggregation Schemes 里面可以找到所有的 Aggregation19FlowCollector Aggregation Schemes20FlowCollector 目录结构目录结构安装好的目录结构安装好

13、的目录结构：（：（注意注意标记）标记）21FlowCollector 目录结构目录结构p Data 目录下存放的是输出的netflow记录文件最有价值的记录内容就在这里！/opt/CSCOnfc/Data/2003_04_21/202.102.224.1/DestPort 78|6367|557723|853 80|9836608|864296991|619219 81|8836|790568|433 82|5319|520273|385 83|2695|161981|130p Bin目录下./nfcollector status | show-tech | clean | start|sto

14、p all|nfcgw|collection22FlowCollector 目录结构目录结构p Config目录下nfconfig.file (core!)配置文件部分内容：Thread routerportAggregation DestportPeriod 5Port 9995State ActiveDataSetPath /opt/CSCOnfc/DataCompression NoBinary NoMaxUsage 50023Network Data Analyzerl 图形化显示 NetFlow 数据l 由 NetFlow FlowCollector(s) 提供数据l 基于时间的分析

15、和数据排序l 配置路由器和 FlowCollectorsl 直方图、条形图和饼图l 输出数据到电子表格NetFlowFlowCollectorsNetFlowFlowAnalyzer24NetFlow版本版本l Netflow V1，为Netflow技术的第一个实用版本。在如今的实际网络环境中已经不建议使用l Netflow V5，增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。l Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。l Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚

16、的功能，可以大大降低对数据输出的带宽需求。l Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。25NetFlow 平台支持平台支持*Support for NetFlow Export v1, v5, and v8 on 1600 and 2500 platforms is targeted for Cisco IOS s

17、oftware release 12.0(5)T. NetFlow support for these platforms will not be available in the Cisco IOS 12.0 mainline release.Cisco IOS 软件软件 版本支持版本支持支持的支持的 NetFlow 输出版本输出版本支持的支持的 Cisco 硬件平台硬件平台11.1CA, 11.1CC11.2, 11.2P11.2P11.3, 11.3T12.012.0T12.0S12.0(3)T and later12.0(3)S and later12.04XEN/A12.0(6)Sv

18、1, v5v1v1v1v1, v5v1, v5v1, v5, v8v1, v5, v8v7v87200, 7500, RSP70007200, 7500, RSP7000Route Switch Module (RSM), 11.2(10)P and later7200, 7500, RSP70001720, 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM1720, 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX 88

19、00 RPM, BPX 86001400*, 1600*, 1720, 2500*,2600, 3600, 4500, 4700, AS5800, AS5300*, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM, BPX 86507100Catalyst 5K NetFlow Feature Card (NFFC)Catalyst 6K with MSFC card12000*Support for NetFlow Export v1, v5, and v8 on AS5300 platform is targeted for Cisco IOS software release 12.0(7)XR. 26NetFlow的安装的安装 gzip d ./fdcount -p 9996 -c 5started: Tue Mar 11 09:32:14 2003ended: Tue Mar 11 09:32:16 2003Average NetFlow data arrival rates