cisconetflow部署說(shuō)明

1、1 netflow支持設(shè)備：cisco 800, 1700, 2600 yes cisco 1800, 2800, 3800 yes cisco 4500 yes cisco 6500 yes cisco7200, 7300, 7500 yes cisco 7600 yes cisco 10000, 12000, crs-1 yes cisco 2900, 3500, 3660, 3750 nonetflow是ios平臺(tái)技術(shù)，也就是說(shuō)路由器全系列都支持，而交換機(jī)平臺(tái)則依賴(lài)于ios版本和支持硬件，例如 cisco 2900, 3500, 3660, 3750就不支持我們關(guān)注交換網(wǎng)絡(luò)核心設(shè)備：65

2、00/7600 系列：1 啟動(dòng)netflowswitch(config)# mls netflow2 啟動(dòng)netflow 的雙向流量switch(config)# mls flow ip destination-source 后面可接其他參數(shù)3、進(jìn)入vlan，啟動(dòng)接口netflow（如果在物理接口上其3層，則直接進(jìn)入物理接口）switch(config)# interface vlan 5switch(config-if)# ip flow-export ingress-此處為ingress 可以配置engress 依賴(lài)ios版本switch(config-if)# ip route-cach

3、e flow4 配置netflow的數(shù)據(jù)源，如果沒(méi)有配置loopback的接口，可以采用物理接口，建議配置loopback接口switch(config)# ip flow-export source loopback 05 配置統(tǒng)計(jì)信息的輸出目的，即采集服務(wù)器的ip和監(jiān)聽(tīng)端口(config)#ip flow-export 10.1.200.201 99917. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 5下面為參考命令：switch# show mls nde一般看到都是netflow data export disabled 這說(shuō)明n

4、etflow都沒(méi)有起來(lái)。參看cisco configuring netflow data export pdf文檔，默認(rèn)是disabled的啟動(dòng)nde發(fā)送以及發(fā)送版本switch(config)# mls nde sender version 5 | 7 如果只輸入mls nde sender 系統(tǒng)默認(rèn)啟用的是版本7，如果需要版本5，則mls nde sender version 5 ，目前版本能配的是5或7，這兩個(gè)版本web均能出現(xiàn)正常的數(shù)據(jù)。對(duì)于cisco ios 12.17以下版本的交換機(jī)，只有版本7。參考部分用戶(hù)反映netflow網(wǎng)管機(jī)器，沒(méi)有收到數(shù)據(jù)包，可參考上面命令酌情配置，未必有

5、效4500 系列：1 配置netflow的數(shù)據(jù)源，如果沒(méi)有配置loopback的接口，可以采用物理接口，建議配置loopback接口switch(config)# ip flow-export source loopback 02 配置統(tǒng)計(jì)信息的輸出目的，即采集服務(wù)器的ip和監(jiān)聽(tīng)端口(config)#ip flow-export 10.1.200.201 99913. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 54. 設(shè)置路由器中flow cache的過(guò)期時(shí)限，建議按照以下配置：活動(dòng)連接的時(shí)限為1分鐘（即活動(dòng)的連接每隔1分鐘發(fā)送該連接的數(shù)

6、據(jù)流量統(tǒng)計(jì)信息），非活動(dòng)連接的時(shí)限為10秒鐘。(config)#ip flow-cache time active 1(config)#ip flow-cache time inactive 10(config)#ip flow-cache active-timeout 305部分cisco4500就不支持，也就是它不能在某個(gè)interface配置打開(kāi)netflow，要么所有端口啟用，要么都不啟用，重要的無(wú)法區(qū)分不同interface上的流量情況，只能看到整個(gè)設(shè)備所有的流量情況，只能在全局模式下開(kāi)啟：switch(config)# ip flow ingress infer-fields如果可

7、以在接口上使用：那么進(jìn)入vlan，啟動(dòng)接口netflow（如果在物理接口上其3層，則直接進(jìn)入物理接口）switch(config)# interface vlan 5switch(config-if)# ip route-cache flow下面cisco官方說(shuō)明：-note enabling netflow on a per interface basis is not supported on a catalyst 4500 switch. -this example shows how to enable netflow globally: switch# configure termi

8、nalswitch(config)# ip flow ingressthis example shows how to enable netflow with support for inferred fields: switch# configure terminalswitch(config)# ip flow ingress infer-fields netflow 總結(jié)1：netflow released version：（netflow based udp） v9：和v8/5/1不兼容，最大的feature就是template，具有extensible：但是也因?yàn)関9是基于templ

9、ate，需要傳輸額外的模版數(shù)據(jù)，默認(rèn)為20：1，占總流量的4%，device為了維護(hù)template必須消耗更多的資源 v8：只能針對(duì)aggregate cache：當(dāng)你再路由器上開(kāi)啟route-based netflow aggregation，就可以使用v8 v5：只能針對(duì)main cache：（比較常用）：后續(xù)增加了bgp as信息和 流序列號(hào)信息 v1：最先的發(fā)行版本，不再使用： v2/v3/v4：沒(méi)有released v6：not support很多國(guó)際標(biāo)準(zhǔn)多是基于netflow的：（ietf) ip information export (ipfix) working group

10、(wg) and the ietf pack sampling (psamp) wg are based on the netflow version 9 export format.2：配置netflow的前提： 啟用路由功能 開(kāi)啟cef/dcef/fast switch三者選一 確認(rèn)device resource，netflow需要resume additional resource3：針對(duì)netflow capture traffic：=ingress netflowip to ipip to mplsfr terminateatm terminate=engress netflowip

11、 to ipmpls to ip（mpls 倒數(shù)第二跳）4：netflow confirm flow with 7 keywords：s/d ip ； s/d port ；3層protocol type ；tos；ingress interface2 在部署netflow，通常需要考慮部署位置，在早期ios版本中，只支持ingress方向數(shù)據(jù)流統(tǒng)計(jì)，對(duì)出方向engress不做統(tǒng)計(jì)，例如：假設(shè) 一個(gè)路由器有兩個(gè)接口 a和b，由于缺省情況下，netflow數(shù)據(jù)統(tǒng)計(jì)只針對(duì)進(jìn)入(ingress)數(shù)據(jù)進(jìn)行，當(dāng)你只啟用接口a的netflow數(shù)據(jù)輸出時(shí)，它只能輸出接口a的流入（in）流量和接口b的流出（ou

12、t）流量。接口a的流出流量只能由接口b的netflow輸出數(shù)據(jù)才能得到。所以如果不啟用接口b的數(shù)據(jù)輸出，將得不到接口a的流出流量信息。 用cisco官方圖片實(shí)例：圖我們看到圖中，箭頭方向就是數(shù)據(jù)流動(dòng)方向，server則是我們部署netflow網(wǎng)管機(jī)位置，那么，在那些接口需要開(kāi)啟netflow呢：從圖中，我們可以看到：在圖中用橢圓形標(biāo)注的地方就是需要開(kāi)啟netflow的接口，從數(shù)據(jù)流向分析+標(biāo)注位置，我們發(fā)現(xiàn)全是數(shù)據(jù)流的入接口方向開(kāi)啟。 如果是版本支持方向部署，那么部署位置，則簡(jiǎn)化許多： 圖2如上面圖2所示。與圖做比較，發(fā)現(xiàn)部署位置，只需要對(duì)相應(yīng)設(shè)備做配置即可，不再依賴(lài)于接口。如何判斷是否支持出

13、方向技術(shù)，最簡(jiǎn)單的方法。能否在接口或者全局模式開(kāi)啟：switch(config-if)# ip flow-export engress-或者 switch(config-if)# ip flow engress2 談到 netflow 的排錯(cuò) 使用netflow技術(shù)，出現(xiàn)問(wèn)題，一般集中在netflow 分析儀，沒(méi)有數(shù)據(jù)那么對(duì)應(yīng)我們排錯(cuò)，應(yīng)該思路應(yīng)該是： 先檢查物理設(shè)備上面命令是否開(kāi)啟，開(kāi)啟參數(shù)是否正確 確認(rèn)netflow設(shè)備工作正常，檢查netflow分析儀，對(duì)應(yīng)接收參數(shù)是否有誤。 確認(rèn)上面2步無(wú)誤情況，檢查netflow分析設(shè)備和netflow物理設(shè)備是否有防火墻，或者其他物理隔絕，阻隔ud

14、p數(shù)據(jù)包 檢查是否是netflow設(shè)備開(kāi)啟端口位置不對(duì)等等下面給出對(duì)應(yīng)簡(jiǎn)單排錯(cuò)方法： 1 需要檢查對(duì)應(yīng)平臺(tái)配置命令，例如對(duì)于4500 和6500 平臺(tái)配置命令，就有所不同，需要查看對(duì)應(yīng)命令，查看配置是否有誤。a 命令show ip flow interface檢查接口上面上是否開(kāi)啟netflowrouter# show ip flow interface ethernet0/0 ip flow ingressb 命令 show run 看是否設(shè)定輸出端口，及ip地址等， 2 確認(rèn)配置上面沒(méi)有問(wèn)題，我們則應(yīng)該使用ios相關(guān)檢測(cè)命令，看是否有netflow的輸出，和1中提到命令配合： 常用的是 s

15、how ip cache flow show ip flow export 下面給出netflow配置輸出檢測(cè)方法：1 使用cisco-4507r#show ip flow export 會(huì)出現(xiàn)類(lèi)似于下面輸出；flow export v5 is enabled for main cache exporting flows to 192.168.1.1 (9995) exporting using source interface loopback0 version 5 flow records 40 flows exported in 3 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level可間隔10s或者更長(zhǎng)時(shí)間，重復(fù)使用上述命令?？醇t