NetFlow協(xié)議介紹-文檔資料

1、1移動(dòng)移動(dòng)IP網(wǎng)管二期培訓(xùn)網(wǎng)管二期培訓(xùn)NetFlow協(xié)議介紹2什么是什么是NetFlow 1996年，Cisco系統(tǒng)公司的Darren Kerr和Barry Bruins開(kāi)發(fā)了一種流量輪廓監(jiān)控技術(shù)，即NetFlow。 作為業(yè)界事實(shí)標(biāo)準(zhǔn)，NetFlow描述了路由器輸出關(guān)于被路由套接字對(duì)（the routed socket pairs）統(tǒng)計(jì)信息的方法。 目前Cisco的絕大多數(shù)路由器集成了該特性，Juniper、Extreme以及其他廠商也有集成該特性的路由器和交換機(jī)；3理解理解NetFlow NetFlow是Cisco發(fā)布的一款用于分析網(wǎng)絡(luò)數(shù)據(jù)包信息的工具包。 利用Netflow技術(shù)可以監(jiān)測(cè)網(wǎng)絡(luò)

2、上的IP流（IP flow）信息。采集到的netflow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃，網(wǎng)絡(luò)管理，流量計(jì)費(fèi)和病毒檢測(cè)等等。4為什么需要為什么需要netflow? 路由器，交換機(jī)A在某種意義上是黑盒子 管理員不知道黑盒子里面發(fā)生了什么 黑盒子里面的數(shù)據(jù)都在干什么，誰(shuí)發(fā)出的，到哪里去，流量大小等等指標(biāo)5NetFlow Services能做什么能做什么 NetFlow Services 使網(wǎng)絡(luò)管理員能從他們的數(shù)據(jù)網(wǎng)絡(luò)獲取 IP 流信息，這些信息解答了誰(shuí)、什么、何去何從、何時(shí)、IP 流量為多少等問(wèn)題。 導(dǎo)出的 NetFlow 數(shù)據(jù)可被廣泛用于各種用途：Usage-BasedBillingTraffic

3、Analysisand Monitoring for Network PlanningRouter FeatureAcceleration6NetFlow 的價(jià)值的價(jià)值l NetFlow 提供的 IP 通信流量分析功能無(wú)需 Probel 提供了一套豐富的數(shù)據(jù)集，可供網(wǎng)絡(luò)管理、流量工程、流量計(jì)費(fèi)、安全分析，以及增值服務(wù)提供等l NetFlow 基于使用情況的計(jì)費(fèi)功能，使得所有者能從現(xiàn)在的 Cisco 系統(tǒng)結(jié)構(gòu)中獲得更多的利潤(rùn)，而且計(jì)費(fèi)手段更為經(jīng)濟(jì)。7流記錄（流記錄（flow record） 一段時(shí)間內(nèi)網(wǎng)絡(luò)的某個(gè)觀測(cè)點(diǎn)所通過(guò)的一系列分組（packets）。 通常的流記錄分類依據(jù)由一個(gè)五元組（即源地

4、址、目的地址、源端口、目的端口和協(xié)議類型）所組成。 8理解理解 NetFlow 的關(guān)鍵的關(guān)鍵導(dǎo)出的導(dǎo)出的 NetFlow 數(shù)據(jù)數(shù)據(jù)基于基于 Flow Flow 的分析的分析 ！一個(gè)一個(gè)NetFlow流定義為在一流定義為在一個(gè)源個(gè)源IP地址和目的地址和目的IP地址地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)！傳輸層源、目的端口號(hào)！唯一標(biāo)識(shí)路由器上的一個(gè)唯一標(biāo)識(shí)路由器上的一個(gè)網(wǎng)絡(luò)連接。網(wǎng)絡(luò)連接。9NetFlow 數(shù)據(jù)記錄數(shù)據(jù)記錄 Source IP Address Destination IP Address Next Hop A

5、ddress Source AS Number Dest. AS Number Source Prefix Mask Dest. Prefix Mask Input Interface Port Output Interface Port Type of Service TCP Flags Protocol Packet Count Byte Count Start Timestamp End Timestamp Source TCP/UDP Port Destination TCP/UDP Port使用情況使用情況QoS時(shí)間時(shí)間應(yīng)應(yīng) 用用Routing和和Peering接口利用率接口利用率何

6、去何何去何從從10一條流記錄樣本一條流記錄樣本index:0 xc1a21router:192.168.254.2src IP:192.168.231.55dst IP:202.112.43.18input ifIndex:8output ifIndex:55src port:12043dst port:80pkts:6bytes:680IP nexthop:202.112.43.20start time:11:29:22 2004-6-9end time:11:29:25 2004-6-9protocol:6tos:0 x0src AS:0dst AS:321src masklen: 20d

7、st masklen: 0TCP flags:0 x1bengine type: 1engine id:011Netflow體系架構(gòu)體系架構(gòu)12使設(shè)備輸出使設(shè)備輸出 NetFlow 數(shù)據(jù)數(shù)據(jù)開(kāi)啟一個(gè)接口的開(kāi)啟一個(gè)接口的 flow switching flow switching 功能：功能： interface e1/0 interface e1/0ip route-cache flow sampledip route-cache flow sampled設(shè)置輸出的目的地：設(shè)置輸出的目的地： ip flow-export destination ip flow-export destinati

8、on ip flow-export version origin-as | peer-asip flow-export version origin-as | peer-as設(shè)為設(shè)為 5 5 ，缺省值為，缺省值為 1 1設(shè)置用于輸出數(shù)據(jù)包的源地址：設(shè)置用于輸出數(shù)據(jù)包的源地址：ip flow-export source ip flow-export source 缺省情況下是具有通達(dá)目的地（采集設(shè)備）的最佳路由的接口缺省情況下是具有通達(dá)目的地（采集設(shè)備）的最佳路由的接口ip flow-sampling-mode packet-interval 100ip flow-sampling-mode p

9、acket-interval 100ip flow-cache feature-accelerateip flow-cache feature-accelerateshow ip cache flowshow ip cache flow基于路由器的數(shù)據(jù)聚集基于路由器的數(shù)據(jù)聚集ip flow-aggregation cache ip flow-aggregation cache cache timeout active cache timeout active 缺省情況下是缺省情況下是 15 15 分鐘分鐘 sh ip cache flow aggregation sh ip cache flo

10、w aggregation export destination ip export destination enable enable13NetFlow FlowCollector應(yīng)應(yīng) 用用NetFlowFlowCollectorl 接收 Flow 記錄l 減小數(shù)據(jù)量 過(guò)濾 聚集l 以平面文件、二進(jìn)制文件和/或壓縮文件形式存儲(chǔ)l 文件清理l Solaris 和 HP-UX14FlowCollector 處理流程處理流程15FilterFilter And Thread Example：Filter filterApermit nexthop 172.16.23.65 0.0.0.0Filte

11、r filterBdeny addr 172.16.0.0 0.0.255.255permit addr 0.0.0.0 0.0.0.016NetFlow的功能的功能根據(jù)不同的需要定制不同的計(jì)劃集合(Aggregation Scheme)，這些計(jì)劃集合包含了NetFlow發(fā)送數(shù)據(jù)中的一個(gè)或多個(gè)Key Fields和Value Fields，根據(jù)不同的需要進(jìn)行選擇，以滿足一定的需求。17NetFlow的功能的功能 比較典型的是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的源地址、目的地址的分析，對(duì)流量中各種應(yīng)用的分析（基于協(xié)議或者端口）或者路由器上各個(gè)端口的負(fù)載等的分析。18AggregationAggregation 是 ci

12、sco 公司定制好的對(duì)網(wǎng)絡(luò)連接監(jiān)控的內(nèi)容以DestPort這個(gè)Aggregation為例： Key field: dstport Value fields: packet count, byte count, flow count解釋：這一段時(shí)刻，該路由器上的數(shù)據(jù)包都發(fā)往了哪些tcp/udp端口？發(fā)到這些端口的數(shù)據(jù)的包數(shù)，字節(jié)大小，總流數(shù)目是多少？FlowCollector Aggregation Schemes 里面可以找到所有的 Aggregation19FlowCollector Aggregation Schemes20FlowCollector 目錄結(jié)構(gòu)目錄結(jié)構(gòu)安裝好的目錄結(jié)構(gòu)安裝好

13、的目錄結(jié)構(gòu)：（：（注意注意標(biāo)記）標(biāo)記）21FlowCollector 目錄結(jié)構(gòu)目錄結(jié)構(gòu)p Data 目錄下存放的是輸出的netflow記錄文件最有價(jià)值的記錄內(nèi)容就在這里！/opt/CSCOnfc/Data/2003_04_21/202.102.224.1/DestPort 78|6367|557723|853 80|9836608|864296991|619219 81|8836|790568|433 82|5319|520273|385 83|2695|161981|130p Bin目錄下./nfcollector status | show-tech | clean | start|sto

14、p all|nfcgw|collection22FlowCollector 目錄結(jié)構(gòu)目錄結(jié)構(gòu)p Config目錄下nfconfig.file (core!)配置文件部分內(nèi)容：Thread routerportAggregation DestportPeriod 5Port 9995State ActiveDataSetPath /opt/CSCOnfc/DataCompression NoBinary NoMaxUsage 50023Network Data Analyzerl 圖形化顯示 NetFlow 數(shù)據(jù)l 由 NetFlow FlowCollector(s) 提供數(shù)據(jù)l 基于時(shí)間的分析

15、和數(shù)據(jù)排序l 配置路由器和 FlowCollectorsl 直方圖、條形圖和餅圖l 輸出數(shù)據(jù)到電子表格NetFlowFlowCollectorsNetFlowFlowAnalyzer24NetFlow版本版本l Netflow V1，為Netflow技術(shù)的第一個(gè)實(shí)用版本。在如今的實(shí)際網(wǎng)絡(luò)環(huán)境中已經(jīng)不建議使用l Netflow V5，增加了對(duì)數(shù)據(jù)流BGP AS信息的支持，是當(dāng)前主要的實(shí)際應(yīng)用版本。l Netflow V7，思科Catalyst交換機(jī)設(shè)備支持的一個(gè)Netflow版本，需要利用交換機(jī)的MLS或CEF處理引擎。l Netflow V8，增加了網(wǎng)絡(luò)設(shè)備對(duì)Netflow統(tǒng)計(jì)數(shù)據(jù)進(jìn)行自動(dòng)匯聚

16、的功能，可以大大降低對(duì)數(shù)據(jù)輸出的帶寬需求。l Netflow V9，一種全新的靈活和可擴(kuò)展的Netflow數(shù)據(jù)輸出格式，采用了基于模板（Template）的統(tǒng)計(jì)數(shù)據(jù)輸出。方便添加需要輸出的數(shù)據(jù)域和支持多種Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。25NetFlow 平臺(tái)支持平臺(tái)支持*Support for NetFlow Export v1, v5, and v8 on 1600 and 2500 platforms is targeted for Cisco IOS s

17、oftware release 12.0(5)T. NetFlow support for these platforms will not be available in the Cisco IOS 12.0 mainline release.Cisco IOS 軟件軟件 版本支持版本支持支持的支持的 NetFlow 輸出版本輸出版本支持的支持的 Cisco 硬件平臺(tái)硬件平臺(tái)11.1CA, 11.1CC11.2, 11.2P11.2P11.3, 11.3T12.012.0T12.0S12.0(3)T and later12.0(3)S and later12.04XEN/A12.0(6)Sv

18、1, v5v1v1v1v1, v5v1, v5v1, v5, v8v1, v5, v8v7v87200, 7500, RSP70007200, 7500, RSP7000Route Switch Module (RSM), 11.2(10)P and later7200, 7500, RSP70001720, 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM1720, 2600, 3600, 4500, 4700, AS5800, 7200, uBR7200, 7500, RSP7000, RSM, MGX 88

19、00 RPM, BPX 86001400*, 1600*, 1720, 2500*,2600, 3600, 4500, 4700, AS5800, AS5300*, 7200, uBR7200, 7500, RSP7000, RSM, MGX8800 RPM, BPX 86507100Catalyst 5K NetFlow Feature Card (NFFC)Catalyst 6K with MSFC card12000*Support for NetFlow Export v1, v5, and v8 on AS5300 platform is targeted for Cisco IOS software release 12.0(7)XR. 26NetFlow的安裝的安裝 gzip d ./fdcount -p 9996 -c 5started: Tue Mar 11 09:32:14 2003ended: Tue Mar 11 09:32:16 2003Average NetFlow data arrival rates