cisconetflow部署说明

1、1 netflow支持设备：cisco 800, 1700, 2600 yes cisco 1800, 2800, 3800 yes cisco 4500 yes cisco 6500 yes cisco7200, 7300, 7500 yes cisco 7600 yes cisco 10000, 12000, crs-1 yes cisco 2900, 3500, 3660, 3750 nonetflow是ios平台技术，也就是说路由器全系列都支持，而交换机平台则依赖于ios版本和支持硬件，例如 cisco 2900, 3500, 3660, 3750就不支持我们关注交换网络核心设备：65

2、00/7600 系列：1 启动netflowswitch(config)# mls netflow2 启动netflow 的双向流量switch(config)# mls flow ip destination-source 后面可接其他参数3、进入vlan，启动接口netflow（如果在物理接口上其3层，则直接进入物理接口）switch(config)# interface vlan 5switch(config-if)# ip flow-export ingress-此处为ingress 可以配置engress 依赖ios版本switch(config-if)# ip route-cach

3、e flow4 配置netflow的数据源，如果没有配置loopback的接口，可以采用物理接口，建议配置loopback接口switch(config)# ip flow-export source loopback 05 配置统计信息的输出目的，即采集服务器的ip和监听端口(config)#ip flow-export 10.1.200.201 99917. 配置输出版本，目前可支持版本1和5(config)#ip flow-export version 5下面为参考命令：switch# show mls nde一般看到都是netflow data export disabled 这说明n

4、etflow都没有起来。参看cisco configuring netflow data export pdf文档，默认是disabled的启动nde发送以及发送版本switch(config)# mls nde sender version 5 | 7 如果只输入mls nde sender 系统默认启用的是版本7，如果需要版本5，则mls nde sender version 5 ，目前版本能配的是5或7，这两个版本web均能出现正常的数据。对于cisco ios 12.17以下版本的交换机，只有版本7。参考部分用户反映netflow网管机器，没有收到数据包，可参考上面命令酌情配置，未必有

5、效4500 系列：1 配置netflow的数据源，如果没有配置loopback的接口，可以采用物理接口，建议配置loopback接口switch(config)# ip flow-export source loopback 02 配置统计信息的输出目的，即采集服务器的ip和监听端口(config)#ip flow-export 10.1.200.201 99913. 配置输出版本，目前可支持版本1和5(config)#ip flow-export version 54. 设置路由器中flow cache的过期时限，建议按照以下配置：活动连接的时限为1分钟（即活动的连接每隔1分钟发送该连接的数

6、据流量统计信息），非活动连接的时限为10秒钟。(config)#ip flow-cache time active 1(config)#ip flow-cache time inactive 10(config)#ip flow-cache active-timeout 305部分cisco4500就不支持，也就是它不能在某个interface配置打开netflow，要么所有端口启用，要么都不启用，重要的无法区分不同interface上的流量情况，只能看到整个设备所有的流量情况，只能在全局模式下开启：switch(config)# ip flow ingress infer-fields如果可

7、以在接口上使用：那么进入vlan，启动接口netflow（如果在物理接口上其3层，则直接进入物理接口）switch(config)# interface vlan 5switch(config-if)# ip route-cache flow下面cisco官方说明：-note enabling netflow on a per interface basis is not supported on a catalyst 4500 switch. -this example shows how to enable netflow globally: switch# configure termi

8、nalswitch(config)# ip flow ingressthis example shows how to enable netflow with support for inferred fields: switch# configure terminalswitch(config)# ip flow ingress infer-fields netflow 总结1：netflow released version：（netflow based udp） v9：和v8/5/1不兼容，最大的feature就是template，具有extensible：但是也因为v9是基于templ

9、ate，需要传输额外的模版数据，默认为20：1，占总流量的4%，device为了维护template必须消耗更多的资源 v8：只能针对aggregate cache：当你再路由器上开启route-based netflow aggregation，就可以使用v8 v5：只能针对main cache：（比较常用）：后续增加了bgp as信息和 流序列号信息 v1：最先的发行版本，不再使用： v2/v3/v4：没有released v6：not support很多国际标准多是基于netflow的：（ietf) ip information export (ipfix) working group

10、(wg) and the ietf pack sampling (psamp) wg are based on the netflow version 9 export format.2：配置netflow的前提： 启用路由功能 开启cef/dcef/fast switch三者选一 确认device resource，netflow需要resume additional resource3：针对netflow capture traffic：=ingress netflowip to ipip to mplsfr terminateatm terminate=engress netflowip

11、 to ipmpls to ip（mpls 倒数第二跳）4：netflow confirm flow with 7 keywords：s/d ip ； s/d port ；3层protocol type ；tos；ingress interface2 在部署netflow，通常需要考虑部署位置，在早期ios版本中，只支持ingress方向数据流统计，对出方向engress不做统计，例如：假设 一个路由器有两个接口 a和b，由于缺省情况下，netflow数据统计只针对进入(ingress)数据进行，当你只启用接口a的netflow数据输出时，它只能输出接口a的流入（in）流量和接口b的流出（ou

12、t）流量。接口a的流出流量只能由接口b的netflow输出数据才能得到。所以如果不启用接口b的数据输出，将得不到接口a的流出流量信息。 用cisco官方图片实例：图我们看到图中，箭头方向就是数据流动方向，server则是我们部署netflow网管机位置，那么，在那些接口需要开启netflow呢：从图中，我们可以看到：在图中用椭圆形标注的地方就是需要开启netflow的接口，从数据流向分析+标注位置，我们发现全是数据流的入接口方向开启。 如果是版本支持方向部署，那么部署位置，则简化许多： 图2如上面图2所示。与图做比较，发现部署位置，只需要对相应设备做配置即可，不再依赖于接口。如何判断是否支持出

13、方向技术，最简单的方法。能否在接口或者全局模式开启：switch(config-if)# ip flow-export engress-或者 switch(config-if)# ip flow engress2 谈到 netflow 的排错 使用netflow技术，出现问题，一般集中在netflow 分析仪，没有数据那么对应我们排错，应该思路应该是： 先检查物理设备上面命令是否开启，开启参数是否正确 确认netflow设备工作正常，检查netflow分析仪，对应接收参数是否有误。 确认上面2步无误情况，检查netflow分析设备和netflow物理设备是否有防火墙，或者其他物理隔绝，阻隔ud

14、p数据包 检查是否是netflow设备开启端口位置不对等等下面给出对应简单排错方法： 1 需要检查对应平台配置命令，例如对于4500 和6500 平台配置命令，就有所不同，需要查看对应命令，查看配置是否有误。a 命令show ip flow interface检查接口上面上是否开启netflowrouter# show ip flow interface ethernet0/0 ip flow ingressb 命令 show run 看是否设定输出端口，及ip地址等， 2 确认配置上面没有问题，我们则应该使用ios相关检测命令，看是否有netflow的输出，和1中提到命令配合： 常用的是 s

15、how ip cache flow show ip flow export 下面给出netflow配置输出检测方法：1 使用cisco-4507r#show ip flow export 会出现类似于下面输出；flow export v5 is enabled for main cache exporting flows to 192.168.1.1 (9995) exporting using source interface loopback0 version 5 flow records 40 flows exported in 3 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level可间隔10s或者更长时间，重复使用上述命令。看红