Fluke Netflow Tracker试用笔记

【51CTO.com 原创】目前企业网络中，企业内部网络基本以万兆、千兆主干，千兆、百兆桌面的网络，Internet出口10M至100M以上，多ISP的连接，随着企业网络的扩大，如果提供一套有效的网络运维管理，管理好网络以及相关应用，成为企业信息化建设的重中之重，企业网络中，对流量的分析又显得特别重要，目前流量管理系统比较多，有基于硬件的流控管理，有基于Netflow的流量管理的软硬件，相关系统各有所长，总体上都是分析网络中流量使用情况，是否有异常等，本次试用Fluke的Netflow Tracker，基于软件的一套流量管理软件。

本次试用的软件安装在企业内部一台服务器，对一台Cisco的2811路由器的流量进行分析，该2811路由器是企业连接一台分支机构，租用的是4M链路，路由器上启用的两个以太口。

1.1 了解Netflow

在安装前Netflow Tracker，了解了一下网站上的Netflow Tracker的手册，首先了解一下Netflow，Netflow是网络设备中提取的单向流，现有的版本有V1、V5、V7、V8、V9，在12.4版本的路由器上，支持V1、V5和V9：

Netflow V1，为Netflow技术的第一个实用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的实际网络环境中已经不建议使用。

Netflow V5，增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本。

Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后续IOS版本。

1.2关于IPFIX

IPFIX(IP Flow Information Export，IP流动信息输出)是IETF的技术人员2004年才制订的一项规范，使得网络中流量统计信息的格式趋于标准化。该协议工作于任何厂商的路 由器和管理系统平台之上，并用于输出基于路由器的流量统计信息。

IPFIX定义的格式为Cisco的NetFlow Version 9数据输出格式作为基础，可使IP流量信息从一个输出器(路由器或交换机)传送到另一个收集器。因为IPFIX具有很强的可扩展性，因此网络管理员们可以 自由地添加或更改域(特定的参数和协议)，以便更方便地监控IP流量信息。使用模板的方便之处在于网管和厂商不必为了用户能够查看流量统计信息，而每次都要更换软件。

2 路由器配置

路由配置上很简单，不过如果参照51CTO网站上的配置有点问题，ip flow-export destination  的后面需要添加NETFLOW TRACKER的服务器的IP地址和NETFLOW TRACKER服务器监听端口的，网站上少了监听端口，软件推荐的配置为2055端口，我的配置为9999；配置的路由器使用到的是两个以太口，取源为物理接口，如果是多个接口的路由器或交换机的话，应该配置为Loopback接口，配置如下：

ip cef ip flow-export source FastEthernet0/1 ip flow-export version 9 ip flow-export destination 10.20.223.103 9999 interface FastEthernet0/1 ip address 10.20.251.30 255.255.255.252 ip flow ingress ip flow egress

这里理解一下在Cisco路由器接口下配置Netflow发布的三命令，IOS11.1 接入ip route-cache flow，该命令开启Netflow，计算收到的流量；12.2(15)T 版本引入 ip flow ingress，这个命令和ip route-cache flow效果一样，12.3(11)T版本引入ip flow engress，接收出的流量，从这三个命令分析后，比较好理解安装手册中提到各个版本的配置差异；同时也明白Netflow的流是单向的。

 

3 NETFLOW TRACKER 软件安装与配置：

软件的安装很简单，数据库及WEB Server的设置全部自动设置好，安装过程中提示WEB管理的Https端口，通过检查，如果默认的端被占用，建议修改为其他的端口即可，我在安装测试不是一台干净服务器，设置的端口为8081，管理时输入 https://localhost:8081，安装软件完毕后，基本无需设置即可收集到路由器的流量；在路由器配置时，配置了监听端口为9999，需要在安装完毕后，设置监听端口，从“主菜单->设置->监听端口”页面上添加，如图一，如果配置多台设备，可以为不同的路由器（交换机）配置多个监听端口。

图一：监听端口配置

4 NETFLOW TRACKER的报表分析使用

4.1流量的分析

安装完毕过几分钟后，NETFLOW TRACKER就已经接收到数据，启动界面后，默认启动的为最繁忙的设备，本次使用就配置一台设备，图二显示的该设备的实时流量。

图二：Netflow采集设备的实施流量

同时也显示该设备的各个端口的流量情况，报表清晰，一目了然。如图三。

图三：采集设备各端口的流量。

可以通过地址和会话分析，得到相关的流量以及流量的排名情况，从分析中也能得到目前通过该路由器的主要的应用系统以及应用系统的使用情况。

图四：网络中地址对流量及相关协议分布

 

4.2 异常流量的分析

实用的源地址发布报表，通过源地址发布分析，能快速准确定位，目前网络中是否存在蠕虫病毒、DOS（DDOS）、网络扫描等，报告可以从设备的饼图快捷进入，如图五。

图五：快捷进入实施报表

通过源地址的排名，如图五，可以分析经过企业网设置的地址段源地址发布的情况，通过相关的网管软件，后直接通过交换机的端口分析，定位出现异常的电脑，进而排查病毒、扫描、DDOS等问题。

图六：源地址分发排名

4.3 历史数据分析

可以通过系统提供的远期报告，查看远期的历史数据，这点很有用，以试用的路由器端口的远期数据分析，从图七中我们可以看出，该路由器的物理接口的流量基本再2M以内，企业租用的链路为4M，从数据上看，近期无需对线路进行扩容，通过提供的报告格式，可以作为企业网管的周报、月报等。
同时可以设置好基准线、告警、告警阀值等，可以得到网络异常告警，可以通过其他的报表，分析问题所在。

图七：端口的历史数据（可报表）

图八：端口速率历史数据

5 试用总结

基于Netflow下分析软硬件比较多，相对于硬件而言，Netflow Tracker作为软件，在安装和使用时，很容易得手，本次试用大约为1周时间，操作起来还是比较顺手，有些菜单等设置可能不太适合常规的设置方式，熟悉系统后，还是容易得手的。部署也很简单。无需过多网络进行过多的修改，同时软件的投入成本也低于硬件。

软件提供大量的报表供网络管理员分析网络，试用的路由器由于为分支路由器，数据量小，分析了典型的几个报表，可以通过另外的设置，比如设置基准线、设置告警触发等等完善报表，使之成为网络管理的利器。

【责任编辑： 王曼伊 TEL：（010）68476606

From: http://expert.51cto.com/art/200811/98029_2.htm