netflow

NetFlow是一種數據交換方式，利用標准的交換模式處理數據流的第一個IP包數據，生成NetFlow 緩存，隨后同樣的數據基於緩存信息在同一個數據流中進行傳輸，不再匹配相關的訪問控制等策略，NetFlow緩存同時包含了隨后數據流的統計信息。

 

interface g*
 ip flow ingress/egress/monitor 接口啟用flow inbound/outbound/Monitor
show ip cache g* flow

參數詳解

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow

TCP-Telnet 2261 0.0 16 52 0.0 4.1 14.0

Protocol IP:見RFC 1340

Total Flows:自從最后一次清除統計信息后，這種協議的信息流的個數。

Flows/Sec:每秒鍾時間內出現這種協議的信息流的平均個數，它等於總信息流數/綜合時間的秒數。

Packets/Flow:遵守這種協議的信息流中平均的包數。等於這種協議的包數，或者在這段綜合時間內，這種協議的信息流數。

Bytes/Pkt:遵守這種協議的包的平均字節數。

Packets/Sec:每秒鍾時間內這種協議的平均包數，或者這段綜合時間的總秒數。

Active/Flow:從第一個包到終止信息流的最后一個包的總時間，或者這段綜合時間內這種協議總的信息流數。

Idle/Flow:從這種協議的各個非終止信息流的最后一個包起，直到輸入這一命令時止的時間總和，或者這段綜合時間內信息流的總時間長度。

 

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts

Gi0/0         10.0.201.47     Null          210.22.84.3     11 D68F 0035     1 1SrcIf:源頭接口的內部端口名字。

SrcIPaddress:該信息流的源頭IP地址。

DstIf:目的地接口的內部端口名字。

DstIPaddress:該信息流的目的地IP地址。

Pr:IP協議TCP-6 UDP-17(16進制)

SrcP:源頭端口地址(16進制)

DstP:目的地端口地址(16進制)

Pkts:從這一信息流得到的包個數。

B/Pkt:這一信息流中每個包的平均字節數。Active一個信息流中第一個包到最后一個包之間的秒數。

 

ip flow-top-talkers 啟用top統計
top 10 前top 10
sort-by bytes/packets 根據bytes大小或packets數量統計
cache-timeout 2000 cache間隔2000ms
match source address 10.0.0.0/24
match destination address 200.0.0.0/24
match direction egress/ingress 統計outbound或inbound

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Bytes
Gi0/0 10.0.201.21 Gi0/1 202.108.33.95 06 CD18 0050 228K

SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Bytes
Port Msk AS Port Msk AS NextHop B/Pk Active
Gi0/0 10.0.201.21 Gi0/1 202.108.33.95 06 00 18 224K
CD18 /0 0 0050 /0 0 0.0.0.0 718 625.0

常規switch配置
interface g*
ip route-cache flow 接口下啟用netflow
exit
ip flow-cache timeout active 30 設定netflow記錄活動超時間
ip flow-export source lookback 0 設定netflow發送的源地址
ip flow-export version 5 [peer-as|origin-as] Netflow輸出的版本為版本5。NetFlow分析儀只支持版本5和7。(你的路由器使用 BGP時，可以指定是否在輸出包含源或者對方－不可能包含兩者。)
ip flow-export destination [ip-add][udp-port] 把netflow信息輸出到指定的工作站 (缺省端口為 9996) 老版本采取命令*ip flow-export [ip-add][udp-port]*
ip flow-cache timeout active 1 分割活動期長的流為1分鍾的片段。你可以選擇1到60之間的任何分鍾值。如果使用缺省的30分鍾，則流量報告也許會許多尖峰。老版本采取命令*ip flow-cache active-timeout 30*
ip flow-cache timeout inactive 15 保證定期輸出完成的流。缺省值為15秒，可以選擇10到600之間的任何值。如果選擇的值大於250秒。也許 NetFlow分析儀將報告流量值太低的錯誤。
ip flow-cache entries 設定netflow記錄緩沖區的入口數

show ip flow export 顯示當前Netflow的配置。
show ip cache flow 該命令顯示當前活動的流的概要，還顯示設備輸出了多少Netflow數據。
show ip cache verbose flow
================
6500 or 7600 core switch配置
mls netflow 3 啟動netflow
mls flow ip destination-source 啟動netflow 的雙向流量
mls nde sender [version {5|7}] 啟動NDE發送以及發送版本(默認為7)
interface g*
ip flow-export ingress 啟動接口Netflow
ip route-cache flow
ip flow-export source loopback 0 7 設定netflow發送的源地址

show mls nde
Netflow Data Export enabled
show mls netfow ip 可查看看到大量的流量信息及大量的滾屏信息

 

 

Cisco 官方netflow流量分析系統 ManageEngine_NetFlowAnalyzer