網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置

網絡流量分析利器-可視化網絡-netflow【1】-基礎原理
 網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置
 網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別
 網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介
 網絡流量分析利器-可視化網絡-netflow【5】-linux下數據採集器fprobe
網絡流量分析利器-可視化網絡-netflow【6】-生產網流量監控架構設計
 fprobe參數 -e
fprobe參數 -n -k

拓撲圖

NetFlow監控涉及到的設備：

被監控的交換機（也可能是鏡像服務器）和收集器（監控軟件所在的設備）

工作原理：

NetFlow使用流（flow）來完成統計數據、網絡監控，甚至網絡規劃。流有方向這個屬性，在一個接口或者一個vlan下，某一方向上具有相同參數的數據包組成了流（flow）。上邊這句話是cisco文檔中翻譯過來的，如果你沒看懂，你可以簡單理解爲具有相同五元組（相同的源地址，目的地址，源端口，目的端口，協議）的數據包可以稱之爲一個流（flow）。

被監控的交換機，將端口進出方向的數據包進行分析，把相關信息（源地址，目的地址，源端口，目的端口，協議，包大小等信息）放進NetFlow包中，發到收集器（netflow collector）中，這個處理過程將消耗被監控設備的cpu和內存。收集器（監控軟件，都是第三方的）將數據進行整理，呈現報表。

v5只支持ipv4
v9支持ipv4和ipv6

配置命令示例（netflow v5，設備：asr1001x）：

flow exporter HK-test
destination 10.136.76.117
source Loopback1
transport udp 9998
export-protocol netflow-v5

輸出器主要用於配置輸出參數，有地址和端口，輸出源地址和版本，目標地址是收集器的ip，端口取決於收集器的監聽端口，源端口是發送端口，抓包時候會看見源地址是loopback1的ip。

flow monitor HK-test-monitor
exporter HK-test
cache type immediate
record netflow-original

監控器：將流記錄和輸出器綁定,這裏流記錄使用默認netflow-original配置，因爲v5不能自定義模板，cache使用immediate的效果是立即將解析好的數據包發送到監控服務器，而不進行聚合彙總。

sampler test-1
mode deterministic 1 out-of 2

採樣比：按一比二比例，將所有的流量全部抓下來

interface GigabitEthernet0/0/4
ip flow monitor try sampler test-1 input
ip flow monitor try sampler test-1 output

配置到接口下

配置命令示例（netflow v9,設備：asr1001x）：

flow record try
description test
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport sourceport
match transport destinationport
collect counter bytes
collect counter packets long
collect timestamp sysuptime first
collect timestamp sysuptime last

flow exporter try_exporter
description test_ex
destination 10.136.76.117
source Loopback1
transport udp 9999
template data timeout 30

flow monitor try
description test
exporter try_exporter
cache type immediate
record try

sampler test1
mode deterministic 1 outof 2

interface GigabitEthernet0/0/4
ip flow monitor try sampler test1 input
ip flow monitor try sampler test1 output

與v5不同的是多添加了流記錄的配置，並且調用了try這個流記錄。

配置命令示例（netflow v9,設備：nexus 5k）：

鏈接：cisco-N6k-netflow-原版
提取碼：pa8i

flow exporter extest
destination 10.136.17.146
transport udp 9996
source Vlan40
version 9

輸出器主要用於配置輸出參數，有地址和端口，輸出源地址和版本，目標地址是收集器的ip，端口取決於收集器的監聽端口，源端口是發送端口，抓包時候會看見源地址是int vlan 40的ip。

flow record rdtest
match ipv4 source address
match ipv4 destination address
match ip protocol
match ip tos
match transport source-port
match transport destination-port
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect ip version

流記錄：收集相關信息，用於監控數據流量

sampler sltest
mode 1 out-of 128

採樣比：每128個包，選取一個包

sampler full
mode 1 out-of 1

採樣比：一比一，將所有的流量全部抓下來

flow monitor mttest
record rdtest
exporter extest

監控器：將流記錄和輸出器綁定

int vlan 40
ip flow monitor mttest input sampler full

將監控器和一比一的採樣比應用在接口，經測試，發現只能配置input方向的netflow監控，無法配置output方向。

V5數據包樣式

默認wireshark是無法解析netflow數據包的，需要將對應端口解析成cflow格式。比如，我是用的是9999這個端口，需要:選中一個數據包->右鍵->解碼爲->添加下圖內容，然後才能解析。

v9數據包樣式

會出現兩類包，一類叫模板包（定義收集的參數，因爲version9是自定義收集方式，根據配置收集參數），一類叫數據包（根據模板產生的數據參數的包，收集器需要先獲得模板包才能識別數據包內容）

網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置

拓撲圖

NetFlow監控涉及到的設備：

工作原理：

配置命令示例（netflow v5，設備：asr1001x）：

配置命令示例（netflow v9,設備：asr1001x）：

配置命令示例（netflow v9,設備：nexus 5k）：

V5數據包樣式

v9數據包樣式

fprobe參數 -e

fprobe參數 -n -k

網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介

excel科學計數法轉換

網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結