拓?fù)鋱D

創(chuàng)新互聯(lián)從2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢想脫穎而出為使命，1280元尉氏做網(wǎng)站,已為上家服務(wù),為尉氏各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:028-86922220

NetFlow監(jiān)控涉及到的設(shè)備：

被監(jiān)控的交換機(jī)（也可能是鏡像服務(wù)器）和收集器（監(jiān)控軟件所在的設(shè)備）

工作原理：

NetFlow使用流（flow）來完成統(tǒng)計(jì)數(shù)據(jù)、網(wǎng)絡(luò)監(jiān)控，甚至網(wǎng)絡(luò)規(guī)劃。流有方向這個(gè)屬性，在一個(gè)接口或者一個(gè)vlan下，某一方向上具有相同參數(shù)的數(shù)據(jù)包組成了流（flow）。上邊這句話是cisco文檔中翻譯過來的，如果你沒看懂，你可以簡單理解為具有相同五元組（相同的源地址，目的地址，源端口，目的端口，協(xié)議）的數(shù)據(jù)包可以稱之為一個(gè)流（flow）。

被監(jiān)控的交換機(jī)，將端口進(jìn)出方向的數(shù)據(jù)包進(jìn)行分析，把相關(guān)信息（源地址，目的地址，源端口，目的端口，協(xié)議，包大小等信息）放進(jìn)NetFlow包中，發(fā)到收集器（netflow collector）中，這個(gè)處理過程將消耗被監(jiān)控設(shè)備的cpu和內(nèi)存。收集器（監(jiān)控軟件，都是第三方的）將數(shù)據(jù)進(jìn)行整理，呈現(xiàn)報(bào)表。

v5只支持ipv4
v9支持ipv4和ipv6

配置命令示例（netflow v5，設(shè)備：asr1001x）：

flow exporter HK-test
destination 10.136.76.117
source Loopback1
transport udp 9998
export-protocol netflow-v5

輸出器主要用于配置輸出參數(shù)，有地址和端口，輸出源地址和版本，目標(biāo)地址是收集器的ip，端口取決于收集器的監(jiān)聽端口，源端口是發(fā)送端口，抓包時(shí)候會(huì)看見源地址是loopback1的ip。

flow monitor HK-test-monitor
exporter HK-test
cache type immediate
record netflow-original

監(jiān)控器：將流記錄和輸出器綁定,這里流記錄使用默認(rèn)netflow-original配置，因?yàn)関5不能自定義模板，cache使用immediate的效果是立即將解析好的數(shù)據(jù)包發(fā)送到監(jiān)控服務(wù)器，而不進(jìn)行聚合匯總。

sampler test-1
mode deterministic 1 out-of 2

采樣比：按一比二比例，將所有的流量全部抓下來

interface GigabitEthernet0/0/4
ip flow monitor try sampler test-1 input
ip flow monitor try sampler test-1 output

配置到接口下

配置命令示例（netflow v9,設(shè)備：asr1001x）：

flow record try
description test
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport sourceport
match transport destinationport
collect counter bytes
collect counter packets long
collect timestamp sysuptime first
collect timestamp sysuptime last

flow exporter try_exporter
description test_ex
destination 10.136.76.117
source Loopback1
transport udp 9999
template data timeout 30

flow monitor try
description test
exporter try_exporter
cache type immediate
record try

sampler test1
mode deterministic 1 outof 2

interface GigabitEthernet0/0/4
ip flow monitor try sampler test1 input
ip flow monitor try sampler test1 output

與v5不同的是多添加了流記錄的配置，并且調(diào)用了try這個(gè)流記錄。

配置命令示例（netflow v9,設(shè)備：nexus 5k）：

鏈接：cisco-N6k-netflow-原版
提取碼：pa8i

flow exporter extest
destination 10.136.17.146
transport udp 9996
source Vlan40
version 9

輸出器主要用于配置輸出參數(shù)，有地址和端口，輸出源地址和版本，目標(biāo)地址是收集器的ip，端口取決于收集器的監(jiān)聽端口，源端口是發(fā)送端口，抓包時(shí)候會(huì)看見源地址是int vlan 40的ip。

flow record rdtest
match ipv4 source address
match ipv4 destination address
match ip protocol
match ip tos
match transport source-port
match transport destination-port
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect ip version

流記錄：收集相關(guān)信息，用于監(jiān)控?cái)?shù)據(jù)流量

sampler sltest
mode 1 out-of 128

采樣比：每128個(gè)包，選取一個(gè)包

sampler full
mode 1 out-of 1

采樣比：一比一，將所有的流量全部抓下來

flow monitor mttest
record rdtest
exporter extest

監(jiān)控器：將流記錄和輸出器綁定

int vlan 40
ip flow monitor mttest input sampler full

將監(jiān)控器和一比一的采樣比應(yīng)用在接口，經(jīng)測試，發(fā)現(xiàn)只能配置input方向的netflow監(jiān)控，無法配置output方向。

V5數(shù)據(jù)包樣式

默認(rèn)wireshark是無法解析netflow數(shù)據(jù)包的，需要將對(duì)應(yīng)端口解析成cflow格式。比如，我是用的是9999這個(gè)端口，需要:選中一個(gè)數(shù)據(jù)包->右鍵->解碼為->添加下圖內(nèi)容，然后才能解析。

v9數(shù)據(jù)包樣式

會(huì)出現(xiàn)兩類包，一類叫模板包（定義收集的參數(shù)，因?yàn)関ersion9是自定義收集方式，根據(jù)配置收集參數(shù)），一類叫數(shù)據(jù)包（根據(jù)模板產(chǎn)生的數(shù)據(jù)參數(shù)的包，收集器需要先獲得模板包才能識(shí)別數(shù)據(jù)包內(nèi)容）

分享題目：NetFlow的工作原理和配置介紹
鏈接地址：http://aaarwkj.com/article4/pdidoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航、營銷型網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站、網(wǎng)站策劃、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)