NetFlow

Cisco Netflow

Netflow是Cisco公司开发出的一套协议，用于专门解决原始流量方式所产生的问题。当在网络设备或其接口上开启Netflow功能后，网络设备会对需要分析的流量进行采样分析，并把采样分析的结果发送至分析段进行流量分析，当然这些采样分析的结果要比原始数据小的多的多。其中网络设备采样分析的结果数据会包括源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。

使用Netflow分析方式的好处显而易见，分析端得到的已经不再是原始数据，而是一个初步分析结果，只要对这些初步结果进行二次分析即可获得更多的数据。由于网络设备发送过来的初步分析结果远小于原始数据，因此分析端可以充分利用CPU做更多的历史分析，也就解决了原始数据分析方式所导致的无法分析较长时间数据的问题。当然，在Netflow分析方式中，由于分析端得到的不是原始数据，自然也无法获得像用户搜索关键字这样的详细信息。

 

Cisco开发的NetFlow共5个版本：分别是ver 1 ，ver 5，ver 7，ver 8，ver 9。

V9不向后兼容v8和v5，需要独立开启；

V8只支持聚合缓存，不支持新feature；

V7是思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎；

V5只支持主缓存，不支持新feature；

V1不建议使用，建议用5和9。

Netflow在网络设备上抓包，在每台设备上独立迚行，不需要所有设备开启。

 

部署Netflow

配置Netflow的条件：

1. 必须先开启路由功能；

2. CEF必须开启；

3. 会消耗额外CPU和内存资源；

 

Netflow抓包包含： IP-to-IP， IP-to-MPLS， Frame Relay， ATM，Egress（outgoing）。

 

如下7个参数被认为是同一流，作相同记录：

（1）Source IP address ；

（2）Destination IP address ；

（3）Source port number ；

（4）Destination port number ；

（5）Layer 3 protocol type ；

（6）Type of service (ToS) ；

（7）Input logical interface；

Netflow抓到的包可以向进程主机发送，发送时使用协议UDP，端口号默认为9991，这些进程主机的IP和端口号可以随意更改。

 

Eg：

1. 开启CEF

Router(config)#ipcef

2.  接口开启Netflow

Router(config)#intfastEthernet 0/0

Router(config-if)#iproute-cache flow

3. 定义进程采集主机（最多两台）

Router(config)#ipflow-export destination 192.168.1.1 9991

4. 配置数据包源地址

Router(config)#ipflow-export source fastEthernet 0/0

5. 定义Netflow版本（默认版本1）

Router(config)#ip flow-export version 5

查看Netflow效果

Router#show ip cache flow 

Router#show ip cache verbose flow

验证Netflow

Router#show ip flow export 

Flow export v5 is enabled for main cache Exporting flows to 192.168.1.1 (9995) Exporting using source interface Loopback0 Version 5 flow records

 40 flows exported in 3 udp datagrams 

0 flows failed due to lack of export packet 

0 export packets were sent up to process level 

清除记录

Router#clear ip flow stats

其他厂商相关技术