中国电信集团系统集成

中国电信集团系统集成第一页，共22页。FirstofAllThislectureisnotastep-by-stepguide,justfocusesonthecoreconcept.第二页，共22页。为什么需要netflow?路由器，交换机A在某种意义上是黑盒子管理员不知道黑盒子里面发生了什么黑盒子里面的数据都在干什么，谁发出的，到哪里去，流量大小等等指标第三页，共22页。什么是netflow?Netflow的作用流量分析和监控根据流量计费网络加速用于安全分析第四页，共22页。什么是netflow?谁可以使用netflow使用netflow必须是CCNX、CCXE么？No,你甚至可以不懂路由！第五页，共22页。什么是netflow?理解netflow的关键(core!)问题同一时刻路由交换设备上的ip流量非常大且杂乱，怎么捕获？面向Flow!!面向flow??第六页，共22页。什么是netflow?理解netflow的关键(core!)Flow由7个因素构成(交换机可以略少)SourceIPaddressDestinationIPaddressSourceportnumberDestinationportnumberProtocoltypeTypeofservice(ToS)Inputinterface.观察上面7个要素可以发现它们可以唯一的标识路由器上的一个网络连接。第七页，共22页。什么是netflow?理解netflow的关键(core!)例子，客户经过路由器向内部网络ssh登录SourceIPaddressDestinationIPaddressSourceportnumberDestinationportnumberProtocoltypeTypeofservice(ToS)`Inputinterface.无论客户在整个ssh过程中做什么动作，工作时间长短，上面的7个关键点保证了在整个过程中此路由器上这个网络连接是可以唯一标识的。面向Flow!!以flow为对象采集数据，如这个“flow”在通讯过程的总字节数，使用的src/dstport,src/dstaddress等等。第八页，共22页。Netflow采集的数据内容SourceIPAddressDestinationIPAddressNextHopAddressSourceASNumberDest.ASNumberSourcePrefixMaskDest.PrefixMaskInputInterfacePortOutputInterfacePortTypeofServiceTCPFlagsProtocolPacketCountByteCountStartTimestampEndTimestampSourceTCP/UDPPortDestinationTCP/UDPPortUsageQoSTimeofDayApplicationRouting

andPeeringFrom/ToPortUtilization第九页，共22页。Netflow工作架构第十页，共22页。使设备输出Netflow数据（DataExport）在路由器上配置在全局配置模式下：

ipflow-exportsourceLoopback0 ipflow-exportversion5 9995 ipflow-sampling-modepacket-interval100端口配置模式下：interfacee1/0iproute-cacheflow［sampled］第十一页，共22页。Netflow数据收集工具Netflow数据收集工具Flowcollector（cisco的软件包）第十二页，共22页。Netflow数据分析工具Netflow数据分析工具FlowAnalyzer（cisco的软件包）读取flowcollector的数据，个人感觉华而不实Sowhatisthebest?Youbrain!+unixtools(awk,sed,cat…etc)第十三页，共22页。Flowcollector软件的安装很简单，没什么技术含量，请参考软件readme.So….跳过！；）第十四页，共22页。Flowcollector处理流程图第十五页，共22页。filter什么是filterFilterfilterA

FilterfilterBpermitnexthop3denyaddr55permitaddr第十六页，共22页。Aggregation什么是Aggregation？是cisco公司定制好的对网络连接监控的内容以DestPort这个Aggregation为例Keyfield:dstportValuefields:packetcount,bytecount,flowcountDestPort这个Aggregation通俗的理解：这一段时刻，我的路由器上的数据包都发往了哪些tcp/udp端口？发到这些端口的数据的包数，字节大小，总流数目是多少？78|6367|557723|853FlowCollectorAggregationSchemes里面可以找到所有的Aggregation第十七页，共22页。FlowCollectorAggregationSchemes第十八页，共22页。Flowcollector安装好的目录结构注意红色标记第十九页，共22页。FlowcollectorData目录下存放的是输出的netflow记录文件（最有价值的记录内容就在这里！；））/opt/CSCOnfc/Data/2003_04_21//DestPort78|6367|557723|85380|9836608|864296991|61921981|8836|790568|43382|5319|520273|38583|2695|161981|130

Bin目录下./nfcollector{status|show-tech|clean|{start|stop}{all|nfcgw|collection}} 第二十页，共22页。FlowcollectorConfig目录下nfconfig.file(core!)配置文件部分内容Threadrouterport