Cisco Netflow
Netflow是Cisco公司開發出的一套協議,用於專門解決原始流量方式所產生的問題。當在網絡設備或其接口上開啓Netflow功能後,網絡設備會對需要分析的流量進行採樣分析,並把採樣分析的結果發送至分析段進行流量分析,當然這些採樣分析的結果要比原始數據小的多的多。其中網絡設備採樣分析的結果數據會包括源地址、目的地址、源端口、目的端口、數據流的大小、數據流經過的接口、數據流的到達時間、數據流的送出時間等參數。
使用Netflow分析方式的好處顯而易見,分析端得到的已經不再是原始數據,而是一個初步分析結果,只要對這些初步結果進行二次分析即可獲得更多的數據。由於網絡設備發送過來的初步分析結果遠小於原始數據,因此分析端可以充分利用CPU做更多的歷史分析,也就解決了原始數據分析方式所導致的無法分析較長時間數據的問題。當然,在Netflow分析方式中,由於分析端得到的不是原始數據,自然也無法獲得像用戶搜索關鍵字這樣的詳細信息。
Cisco開發的NetFlow共5個版本:分別是ver 1 ,ver 5,ver 7,ver 8,ver 9。
V9不向後兼容v8和v5,需要獨立開啓;
V8只支持聚合緩存,不支持新feature;
V7是思科Catalyst交換機設備支持的一個Netflow版本,需要利用交換機的MLS或CEF處理引擎;
V5只支持主緩存,不支持新feature;
V1不建議使用,建議用5和9。
Netflow在網絡設備上抓包,在每臺設備上獨立迚行,不需要所有設備開啓。
部署Netflow
配置Netflow的條件:
1. 必須先開啓路由功能;
2. CEF必須開啓;
3. 會消耗額外CPU和內存資源;
Netflow抓包包含: IP-to-IP, IP-to-MPLS, Frame Relay, ATM,Egress(outgoing)。
如下7個參數被認爲是同一流,作相同記錄:
(1)Source IP address ;
(2)Destination IP address ;
(3)Source port number ;
(4)Destination port number ;
(5)Layer 3 protocol type ;
(6)Type of service (ToS) ;
(7)Input logical interface;
Netflow抓到的包可以向進程主機發送,發送時使用協議UDP,端口號默認爲9991,這些進程主機的IP和端口號可以隨意更改。
Eg:
1. 開啓CEF
Router(config)#ipcef
2. 接口開啓Netflow
Router(config)#intfastEthernet 0/0
Router(config-if)#iproute-cache flow
3. 定義進程採集主機(最多兩臺)
Router(config)#ipflow-export destination 192.168.1.1 9991
4. 配置數據包源地址
Router(config)#ipflow-export source fastEthernet 0/0
5. 定義Netflow版本(默認版本1)
Router(config)#ip flow-export version 5
查看Netflow效果
Router#show ip cache flow
Router#show ip cache verbose flow
驗證Netflow
Router#show ip flow export
Flow export v5 is enabled for main cache Exporting flows to 192.168.1.1 (9995) Exporting using source interface Loopback0 Version 5 flow records
40 flows exported in 3 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
清除記錄
Router#clear ip flow stats
其他廠商相關技術
