Cisco Netflow
三个文件幻灯片
构建高性能网络的 Netflow流量统计环境
Netflow 建置與應用
什么是NetFlow Cisco出品的!貌似众多网友一直在寻找
NetFlow是CISCO发布的一款用于分析网络数据包信息的工具包。
根据不同的需要定制不同的计划集合(Aggregation Scheme),这些计划集合包含了NetFlow发送数据中的一个或多个Key Fields和Value Fields,根据不同的需要进行选择,以满足一定的需求。
比较典型的是对网络数据的源地址、目的地址的分析,对流量中各种应用的分析(基于协议或者端口)或者路由器上各个端口的负载等的分析。
addr、dstaddr、port、dstport、protocol、protocol byte (prot)、ToS、input interface、output interface、nexthop、_as、dst_as、masked addr、masked dstaddr、_mask、dst_mask
packet count、byte count、flow count、firstTimeStamp、lastTimeStamp、totalActiveTime
fdrecorder 接收数据并存入文件
nfc_gunzip 解压缩
fdgenerate 向NetFlow Server服务器发送Flow数据
fdplayback 读取特定的数据文件内容向目的服务器发送Flow数据
nfc_bin_to_ascii 将二进制变成文本格式
rawdecode
=========================================================================================
Netflow流量统计技术是Cisco公司提出的一项网络数据流统计标准,得到了主流厂商如Juniper、Extreme等的支持。
利用netflow技术可以监测网络上的IP流(IP flow)信息。采集到的netflow流量信息可以帮助进行网络规划,网络管理,流量计费和病毒检测等等。
======================================================================================
紀錄流過封包的摘要,通常包括了:
Protocol 種類 (ICMP/TCP/UDP/…)
Port 號碼 (TCP/UDP/…)
封包數目
封包大小
一開始是在 Cisco Router 上所提供
幾乎是工業標準
製造 flow 的工具
Cisco 7 series router,或是…
NTOP 以及一顆有 Port Mirror 功能的 Switch
計算 flow 的工具
一台 PC
CPU 隨意,記憶體要大,最好有 512MB
硬碟要大,看需要選擇用 IDE 或 RAID5
解压密码为 netemu.cn
嘿嘿 看不大懂得,脑海中没什么概念! 上面是三个文件的简介
待会发出 我KAO..
你的呆会就是多少年之后了.. 关于cisco netflow
netflow是cisco在网络设备对flow进行记录分析的一项功能,非常有用,可用在流量计费,监控,安全等等方面。
Flow域信息:
·源IP地址
·目标IP地址
·源通信端口号
·目标通信端口号
·第三层协议类型
·TOS字节(DSCP)
·网络设备输入(或输出)的逻辑网络端口(ifIndex)
思科公司的Netflow技术就是利用分析IP数据包的上述7个属性,可以快速区分网络中传送的各种不同类型业务的Flow。
对区分出的每个数据流Netflow可以进行单独地跟踪和准确计量,记录其传送方向和目的地等流向特性,统计其起始和结束时间,服务类型,包含的数据包数量和字节数量等流量信息。
对采集到的数据流流量和流向信息,Netflow可以定期输出原始记录,也可以对原始记录进行自动汇聚后输出统计结果。
Netflow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息,输出数据的方式有三种:
·简单高效UDP传输协议方式(传统方式)。但由于采用了UDP协议,数据传输的可靠性是不保证的。
·SNMP MIB方式。管理服务器可以通过SNMP协议访问网络设备Netflow MIB库中存储的数据流Top N统计结果。
·可靠的SCTP传输协议方式。利用SCTP传输协议,支持拥塞识别,重传和排队机制,确保Netflow统计结果数据正确发送给上层管理服务器。
在Netflow技术的演进过程中,思科公司一共开发出了5个主要的实用版本,即:
·Netflow V1,为Netflow技术的第一个实用版本。支持IOS 11.1,11.2,11.3和12.0,但在如今的实际网络环境中已经不建议使用
·Netflow V5,增加了对数据流BGP AS信息的支持,是当前主要的实际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本
·Netflow V7,思科Catalyst交换机设备支持的一个Netflow版本,需要利用交换机的MLS或CEF处理引擎。
·Netflow V8,增加了网络设备对Netflow统计数据进行自动汇聚的功能(共支持11种数据汇聚模式),可以大大降低对数据输出的带宽需求。支持IOS12.0(3)T,12.0(3)S12.1及其后续IOS版本。
·Netflow V9,一种全新的灵活和可扩展的Netflow数据输出格式,采用了基于模板(Template)的统计数据输出。方便添加需要输出的数据域和支持多种 Netflow新功能,如Multicase Netflow,MPLS Aware Netflow,BGP Next Hop V9,Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后续IOS版本。在2003年思科公司的Netflow V9还被IETF组织从5个候选方案中确定为IPFIX(IP Flow Information Export)标准。
NetFlow数据包包括包头,包内容,比如v5的格式如下:
包头:通用信息version,flow number,时间,校验,信息源;
内容:包数字节数,IP,端口,起止时间,rx/tx端口ifindex,tos,nexthop,AS信息,mask,tcp flags,protocol.
现在市场上支持思科Netflow技术的网络安全管理系统有多种,如思科公司自己提供的Cisco Info Center管理系统。
其他的如Arbor Networks公司,Mazu Networks公司,Adlex公司等多家第三方厂商提供的安全管理软件。
Netflow作为流量信息统计功能在Cisco IOS平台上普遍实现,除了低端的交换机,如Cat2950,3550等. 支持NetFlow的Cisco® 设备 下表列出了支持NetFlow版本5或者7数据输出的各种设备。查看下表就可以了解你的设备是否能够使用NetFlow分析仪。
Cisco路由器 [table] [tr] Cisco IOS软件发布版本 支持的Cisco硬件平台 [/tr] [tr] [td]11.1CA, 11.1CC [/td] [td]Cisco 7200 及 7500 系列, RSP 7200 系列 [/td] [/tr] [tr] [td] 12.0[/td] [td] Cisco 1720, 2600, 3600, 4500, 4700, AS5800
RSP 7000 及 7200 系列
uBR 7200 及 7500 系列
RSM 系列[/td] [/tr] [tr] [td]12.0T, 12.0S [/td] [td]Cisco 1720, 2600, 3600, 4500, 4700, AS5800
RSP 7000 及 7200 系列
uBR 7200 及 7500 系列
RSM 系列, MGX8800RPM 系列, 及 BPx8600 系列[/td] [/tr] [tr] [td]12.0(3)T, 12.0(3)S[/td] [td]Cisco 1720, 2600, 3600, 4500, 4700, AS5300, AS5800
RSP 7000 及 7200 系列
uBR 7200 及 7500 系列
RSM 系列, MGX8800RPM 系列, 及 BPx8650 系列[/td] [/tr] [tr] [td]12.0(4)T[/td] [td]Cisco 1400, 1600, 1720, 2500, 2600, 3600, 4500,
4700, AS5300, AS5800
RSP 7000 及 7200 系列
uBR 7200 及 7500 系列
RSM 系列, MGX8800RPM 系列, 及 BPx8650 系列[/td] [/tr] [tr] [td]12.0(4)XE[/td] [td]Cisco 7100 系列[/td] [/tr] [tr] [td]12.0(6)S[/td] [td]Cisco 12000 系列[/td] [/tr] [/table]
Cisco 800, 1700, 1800, 2800, 3800, 6500, 7300, 7600, 10000, CRS-1 以及Catalyst系列的45xx, 55xx, 6xxx交换机也支持NetFlow。
[img=28,28]file:///E:/AdventNet/ME/NetFlow/help/images/important.gif[/img][b]以下设备不支持NetFlow: Cisco 2900, 3500, 3660, 3750。[/b]
Cisco交换机 当使用NetFlow功能卡(NFFC)或者NFFC II 及路由交换模块(RSM),或者路由交换功能卡(RSFC)时支持NetFlow,需要检查是否支持版本5,多数交换机缺省情况下输出版本7。
NetFlow 版本9的支持
[b]支持的平台 [/b]
以下平台支持NetFlow 版本9的数据输出:
[list][*]Cisco 2600 系列[*]Cisco 3600 系列[*] Cisco 7100 系列[*] Cisco 7200 系列[*] Cisco 7300 系列[*] Cisco 7400 系列[*] Cisco 7500 系列[*] Cisco 12000 系列[/list]
其它厂商 一些支持NetFlow的主要厂商包含:
[list][*]Alcatel[*][url=http://www.enterasys.com/products/routing/ER16-HFX3x-24/]Enterasys Networks[/url][*]Extreme Networks - 不支持输入/输出接口、octets和最初及最后次数。[*]Foundry Networks[*][url=http://www.juniper.net/products/junose/105017.html]Juniper Networks[/url] - 不支持取样间隔参数。最初和最后次数以秒单位存储。[*]Riverstone Networks - 本身不支持NetFlow,但是Riverstone提供了转换器可以转换其设备输出的LFAP记录为NetFlow。[/list] [url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/netflow-ios-versions.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_prev.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/index.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_home.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-catos-netflow.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_next.jpg[/img][/url] 在IOS设备上配置Netflow输出
在Cisco IOS设备上执行以下步骤来配置Netflow的输出。
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]参照[url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/netflow-ios-versions.html]Cisco版本列表[/url]来确认支持Netflow的Cisco平台以及IOS版本。[/td] [/tr] [/table] 启用Netflow输出 在路由器上进入全局配置模式或者MSFC,然后对想启用Netflow的[b]各接口[/b]执行以下命令。
interface [i]{interface}[/i] [i]{interface_number}[/i]
ip route-cache flow
bandwidth <kbps>
exit
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]最近的IOS版本已经启用了Cisco Express Forwardin。也可在路由器的全局配置模式或者MSFC下执行[font=Courier New, Courier, mono]ipcef[/font]命令。 [/td] [/tr] [/table]
这将启用指定接口的Netflow输出。对于Cisco IOS设备[b]只能基于各接口来启用Netflow[/b],其中带宽命令是可选的。它用于以每秒千比特数来设定接口的速度,接口速度或者连接速度在之后的[url=http://www.adventnet-china.com/documents/help/help/view-traffic/traffic-graphs.html]流量图中的使用率[/url]的计算中使用。
输出Netflow数据 执行以下命令来输出Netflow数据到Netflow分析仪所运行的服务器上:
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]ip flow-export destination [i]{hostname|ip_address}[/i] 9996 [/td] [td]输出Netflow缓存条目到指定的IP地址,使用Netflow分析仪服务器的IP地址以及在[url=http://www.adventnet-china.com/documents/help/help/installation/netflow-pre.html]配置Netflow监听端口[/url]中所配置的端口。缺省值为 9996。 [/td] [/tr] [tr] [td]ip flow-export source [i]{interface}[/i] [i]{interface_number}[/i] [/td] [td]设定输出到指定IP地址的Netflow输出中的源IP地址。NetFlow分析仪将在此设备上执行SNMP请求。[/td] [/tr] [tr] [td]ip flow-export version 5 [peer-as | origin-as][/td] [td]设定Netflow输出的版本为版本5。[b]NetFlow分析仪只支持版本5和7[/b]。如果你的路由器使用 BGP,则可以指定是否在输出包含源或者对方-不可能包含两者。[/td] [/tr] [tr] [td]ip flow-cache timeout active 1[/td] [td] 分割活动期长的流为1分钟的片段。你可以选择1到60之间的任何分钟值。如果使用缺省的30分钟,则流量报告也许会许多尖峰。
为了[url=http://www.adventnet-china.com/documents/help/help/admin-operations/alert-profiles.html]生成告警[/url]和 显示[url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html]故障排除数据[/url]设定该 值为[b]1分钟[/b]非常重要。
[/td] [/tr] [tr] [td]ip flow-cache timeout inactive 15[/td] [td]保证定期输出完成的流。缺省值为15秒,可以选择10到600之间的任何值。如果选择的值大于250秒。也许 NetFlow分析仪将报告流量值太低的错误。[/td] [/tr] [tr] [td]snmp-server ifindex persist[/td] [td]全局启用ifIndex持续化(接口名)。这将保证ifIndex值在设备重启后也有效。[/td] [/tr] [/table]
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]关于NetFlow分析仪的BGP报表的更多信息, 请参见[url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-bgp-netflow.html]为BGP配置Netflow[/url]。[/td] [/tr] [/table]
检证设备配置 在[b]通常(非配置)模式 mode[/b] 下执行以下命令来检证Netflow输出的配置是否正确。
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]show ip flow export[/td] [td]显示当前Netflow的配置。[/td] [/tr] [tr] [td]show ip cache flow[/td] [td=1,2]该命令显示当前活动的流的概要,还显示设备输出了多少Netflow数据。[/td] [/tr] [tr] [td]show ip cache verbose flow[/td] [/tr] [/table] 设备配置示例 以下是在路由器上执行的命令集示例。它使接口FastEthernet 0/1输出Netflow版本5到192.168.9.101的9996端口。
[table=98%] [tr] [td]router#enable
Password:*****
router#configure terminal
[color=#b4c36]router-2621(config)#interfaceFastEthernet 0/1
router-2621(config-if)#ip route-cache flow
router-2621(config-if)#exit[/color]
router-2621(config)#ip flow-export destination 192.168.9.101 9996
router-2621(config)#ip flow-export source FastEthernet 0/1
router-2621(config)#ip flow-export version 5
router-2621(config)#ip flow-cache timeout active 1
router-2621(config)#ip flow-cache timeout inactive 15
router-2621(config)#snmp-server ifindex persist
router-2621(config)#^Z
router#write
router#show ip flow export
router#show ip cache flow [/td] [/tr] [/table] [color=#b4c36][i]*可以对各接口重复以上命令来启用 Netflow的输出[/i][/color]
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/important.gif[/img][/td] [td][align=left][color=#ff00] 为了准确地查看[/color][color=#ff00]流入/流出流量,需要对路由器上的所有接口都启用NetFlow数据输出。[/color]假设 一个路由器有两个接口A和B,由于缺省情况下,Netflow数据统计只针对进入(ingress)数据进行,当你只启用接口A的NetFlow数据输出时,它只能输出接口A的流入(IN)流量和接口B的流出(OUT)流量。接口A的流出流量只能由接口B的NetFlow输出数据才能得到。所以如果不启用接口B的数据输出,将得不到接口A的流出流量信息。
即使你只对接口A的管理感兴趣,也请同时输出接口A和接口B的NetFlow数据。你可以通过许可管理画面将接口B取消管理。
[/align] [/td] [/tr] [/table] 关闭Netflow 在全局配置模式上执行以下命令可以停止Netflow数据的输出:
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]no ip flow-export destination [i]{hostname|ip_address}[/i] [i]{port_number}[/i][/td] [td]这将停止输出Netflow缓存条目到指定的目的IP地址的指定端口。[/td] [/tr] [tr] [td]interface [i]{interface} [/i][i]{interface_number}[/i] [/td] [td]这将禁用指定端口的Netflow输出。对不要输出Netflow的各端口可以重复执行该命 令。[/td] [/tr] [tr] [td]no ip route-cache flow[/td] [/tr] [tr] [td]exit[/td] [/tr] [/table]
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td] 关于配置IOS设备的Netflow数据输出的更详细信息,请参见[url=http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/switch_c/xcprt3/xcdnfc.htm]Cisco的Netflow命令文档[/url]
[/td] [/tr] [/table]
在Catalyst 6000系列交换机上配置NDE
在Catalyst 6000系列交换机上执行以下步骤来配置NDE。
在Catalyst 6000系列交换机上配置NDE 在管理员引擎上进入特权模式,执行以下命令来配置NDE:
[table=91%] [tr] 命令 目的 [/tr] [tr] [td]set mls nde [i]{hostname|ip_address}[/i] 9996[/td] [td]指定NetFlow分析仪作为NDE收集方,并且为硬件交换包的输出,[url=http://www.adventnet-china.com/documents/help/help/installation/netflow-pre.html]配置Netflow监听端口[/url]的UDP端口。[/td] [/tr] [tr] [td]ip flow-export destination [i]{hostname|ip_address}[/i] 9996[/td] [td] 指定NetFlow分析仪作为NDE收集方,并且为软件交换包的输出,[url=http://www.adventnet-china.com/documents/help/help/installation/netflow-pre.html]配置Netflow监听端口[/url]的UDP端口。*[/td] [/tr] [tr] [td]set mls agingtime long 64[/td] [td] 分割活动期长的流为1分钟的片段,这将使流量图比较圆滑。
为了[url=http://www.adventnet-china.com/documents/help/help/admin-operations/alert-profiles.html]生成告警[/url]和 显示[url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html]故障排除数据[/url],设定 该值为[b]1分钟[/b]非常重要。
[/td] [/tr] [tr] [td]set mls agingtime 32[/td] [td]保证定期输出完成的流。否则也许使得NetFlow分析仪报告流量值太低的错误。[/td] [/tr] [tr] [td]set mls flow full[/td] [td]将设定流掩码为全(full)流。有便从交换机取得有用信息。[/td] [/tr] [tr] [td]set mls nde enable[/td] [td]启用NDE[/td] [/tr] [/table] [i]*要监视由MSFC软交换的第3层的流量数据以及统计,你必须在MSF上指定NDE收集器以及UDP端口。[/i]
[i]需要在MSFC上输入[/i][i]ip flow-export destination[/i][i]命 令。 [/i]
[table=91%] [tr] [td=1,1,5%][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]使用 [font=Courier New, Courier, mono]show mls[/font]调试命令来调试[font=Courier New, Courier, mono]NDE[/font]配置[/td] [/tr] [/table]
[table=91%][tr][td=1,1,5%][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]关于在Catalyst 6000系列交换机上配置NDE的更多信息,请参见[url=http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007fa2b.html#38360]Cisco的文档[/url]。[/td][/tr][/table]在本地IOS设备上配置NDE
要在本地IOS设备上启用NDE,在管理员引擎上进入配置模式。然后按照[url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-ios-netflow.html]IOS设备的指导[/url],执行以下命令来启用NDE。
配置NDE 在管理员引擎上进入特权模式,然后执行以下命令来启用NDE。
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]mls nde sender version 7[/td] [td]设定输出版本。交换机所支持的最新最全版本为版本7。[/td] [/tr] [tr] [td]set mls aging long 64[/td] [td] 分割活动期长的流为1分钟的片断。这将使流量图比较圆滑。
要[url=http://www.adventnet-china.com/documents/help/help/admin-operations/alert-profiles.html]生成告警[/url]和 显示[url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html]故障排除数据[/url],设定 该值为[b]1分钟[/b]以非常重要。
[/td] [/tr] [tr] [td]set mls aging normal 32[/td] [td]保证定期输出完成的流。否则也许使得NetFlow分析仪报告流量值太低的错误。[/td] [/tr] [/table]
为了在NetFlow的接口输出插入路由信息。在管理员引擎上执行以下命令。
[table=98%] [tr] 交换机配置 最低IOS (MSFC)版本 命令 [/tr] [tr] [td]Sup2 or 720[/td] [td]12.1.13(E)[/td] [td] mls flow ip interface-full
mls nde interface
[/td] [/tr] [tr] [td]Sup1[/td] [td]12.1.13(E)[/td] [td] set mls flow ip full
[/td] [/tr] [/table]
[table=98%][tr][td=1,1,30][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td]在管理员引擎2或者720上,早于12.1.13(E)版本上该信息将无效。[/td][/tr][/table][url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-nativeos-netflow.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_prev.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/index.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_home.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-bgp-netflow.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_next.jpg[/img][/url] 在4000系列交换机上配置NDE
执行以下步骤来在4000系列交换机上配置NDE。
[table=98%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/note.gif[/img][/td] [td]4000和4500系列交换机需要具有NetFlow服务的daughter卡(WS-F4531)和IOS版本12.1(19)EW或者更高来支持NDE。[/td] [/tr] [/table]
在[url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-ios-netflow.html]IOS设备上配置Netflow输出[/url],并且需要在各端口上执行ip route-cache flow 命令,则可执行以下命令:
ip route-cache flow infer-fields
该命令将在流中包含路由信息,不需要为每个接口输入ip route-cache flow命令。
设备配置示例 下面的一组执行在4000系列上的命令,启用NetFlow版本7并且以FastEthernet0/1作为源接口,输出到192.168.9.101的9996端口。
switch>(enable)ip flow-export destination192.168.9.101 9996
switch>(enable)ip flow-export version 7
switch>(enable)ip flow-export source FastEthernet 0/1
switch>(enable)ip flow-cache timeout active 1
switch>(enable)ip route-cache flow infer-fields
BGP的NetFlow配置
在RFC 1771定义的边界网关协议Border Gateway Protocol (BGP),在自主系统之间提供无环路的域间路由。(自主系统[AS]是指被统一管理的路由器的集合。) BGP经常运行于因特网提供商之间(ISPs)。
启用BGP路由 进入全局配置模式并执行以下命令来启用BGP路由并创建BGP路由进程:
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]router bgp [i]as-number[/i] [/td] [td]启用BGP路由进程,设置路由器为路由器配置模式[/td] [/tr] [tr] [td]network [i]network-number[/i] [mask [i]network-mask[/i]] [route-map [i]route-map-name[/i]][/td] [td]在该自主系统上标记某网络为本地,并记录到BGP表格。[/td] [/tr] [/table] 配置BGP邻居 BGP支持两种邻居:内部和外部。内部邻居在同一自主系统内,外部邻居则属于不同的自主系统。通常,外部邻居相互邻近并且共享同一个子网,内部邻居可能存在于同一自主系统的任意地方。
要配置BGP邻居,在路由器配置模式下执行以下命令:
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]neighbor {[i]ip-address|peer-group-name[/i]} remote-as [i]as-number[/i] [/td] [td]指定BGP邻居[/td] [/tr] [/table]
BGP邻居配置示例 下面的示例显示了如何在一个自主系统上配置BGP邻居来共享信息。
router bgp 109
network 131.108.0.0
network 192.31.7.0
neighbor 131.108.200.1 remote-as 167
neighbor 131.108.234.2 remote-as 109
neighbor 150.136.64.19 remote-as 99
示例中,指派一个BGP路由器为自主系统109,并且指定两个网络为该自主系统的发信端。随后列出了三个远程路由器(以及他们的自主系统)。该路由器将和邻居路由器一起共享网络131.108.0.0和192.31.7.0。第一个路由器属于不同的自主系统,第二个邻居的remote-as路 由器配置命令指定它为在[i]131.108.234.2[/i]处的内部邻居(具有相同的自主系统号码),第三个邻居的路由器remote-as路由器配置命令指定它属于不同的自主系统。
包含AS信息到Netflow输出 如果已经配置了BGP,并想使Netflow报告自主系统信息,在路由器的全局配置模式下执行下列命令:
[table=98%] [tr] 命令 目的 [/tr] [tr] [td]ip flow-export destination [i]{hostname|ip_address}[/i] 9996 [/td] [td]导出Netflow缓存条目到指定的IP地址。使用NetFlow 解析器服务器的IP地址以及[url=http://www.adventnet-china.com/documents/help/help/installation/netflow-pre.html]配置的Netflow监听端口[/url]。缺省端口为9996。 [/td] [/tr] [tr] [td]ip flow-export [i]{version}[/i][peer-as | origin-as][/td] [td]以指定版本的格式(5或者7)导出NetFlow缓存条目。如果路由器使用BGP,还可以指定原始或者对方的AS加入到导出中-不能同时加入两者。[/td] [/tr] [/table] [url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-bgp-netflow.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_prev.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/index.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_home.jpg[/img][/url] [url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_next.jpg[/img][/url]
入门
当成功安装并启动NetFlow分析仪服务器,就将从网络上的路由设备,接收Netflow输出。
[table=89%] [tr] [td][img=28,28]http://www.adventnet-china.com/documents/help/help/images/tip.gif[/img][/td] [td=1,1,838][url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/setup-cisco-netflow.html]配置Cisco设备[/url]一节包含了在不同的 Cisco路由器和交换机上配置Netflow输出的有用信息。[/td] [/tr] [/table]
当登录到NetFlow分析器的Web客户端后,将看到[b]全局视图 - 操控板视图[/b]。该视图显示[url=http://www.adventnet-china.com/documents/help/help/getting-started/ip-group-view.html]所有IP组[/url]的[url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html]Netflow输出发送端口[/url]、[url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-as-view.html]AS信息[/url]以及流量信息。一旦从任何端口收到Netflow数据就将立即显示该操控板。
全局视图包含两个页签。
[list=1][*][url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-interface-view.html]接口视图[/url]列表显示所收到的Netflow输出中的所有端口。[*][url=http://www.adventnet-china.com/documents/help/help/getting-started/netflow-as-view.html]自治系统视图[/url]显示各路由器所配置的所有自主系统。[/list] [url=http://www.adventnet-china.com/documents/help/help/getting-started/ip-group-view.html]IP组[/url]的信息显示在两个页签的下方,在任何页签上点击图标[img=14,14]http://www.adventnet-china.com/documents/help/help/images/home.gif[/img]就可以回到全局视图。
点击 [img=15,17]http://www.adventnet-china.com/documents/help/help/images/report_icon.gif[/img] 图标或者在全局视图页的左上角点击[b]自定义报表[/b]链接将根据所选的接口生成[url=http://www.adventnet-china.com/documents/help/help/view-traffic/custom-reports.html]基于指定条件的流量报表[/url]。
[url=http://www.adventnet-china.com/documents/help/help/cisco-netflow/cisco-bgp-netflow.html][img=28,28]http://www.adventnet-china.com/documents/help/help/images/nav_prev.jpg[/img][/url]
洞察网络的风吹草动——Cisco NetFlow大显神通 洞察网络的风吹草动——Cisco NetFlow大显神通 融合网络和IP电话将不断普及,通过网络流量特征提取执行容量规划和异常检测的能力将变得越来越重要。对于迫切需要实现这些功能的企业来说,Cisco NetFlow是一项期待已久的法宝。
思科卓越的IT部门管理着世界上最大、最复杂的领先企业环境之一-思科全球网。通过借鉴思科IT部门在实践中积累的经验,不同类型的企业都可以找到更好地满足自身IT需求的途径。
在思科的总收入中,93%的销售收入(每分钟33,000美元)都是利用思科互联网连接和内部网实现的。思科全球的55,000多名员工和合作伙伴依赖全球WAN与世界各地的250多个站点和远程接入VPN相连。在所有思科产品中,制造其中80%产品的合作伙伴都依赖与思科数据中心的思科外部网连接开展业务。提供支持服务时,也有大约80%的服务请求都是由思科客户通过思科技术帮助中心(TAC)提出的,而由TAC工程师通过网络执行远程排障。对思科而言,保持网络的高可用性和性能对于业务运营发挥着至为关键的作用。
为了达到这一目的,在思科公司的网络管理中,必须提取IP流量的特征,说明流量的流动方式和地点。对IP流量的监控有助于执行更加准确的流量规划。它支持资源调整,即适当利用资源,促进企业目标的实现。另外,它不但能帮助IT部门确定在哪里应用服务质量(QoS),以便优先处理重要流量,还能在网络安全方面发挥重要作用,使思科能够通过持续流量监控发现拒绝服务(DoS)袭击、网络传播蠕虫及其它意外网络事件。
NetFlow应运而生 早在2000年之时,思科几乎只依赖简单网络管理协议(SNMP)监控互联网带宽。虽然SNMP有助于容量规划,但无法提取流量特征,而只有了解了特征,才能保证业务连续性,确定是否需要增加容量才能提高利用率保证,以及评估QoS参数是否符合目标服务水平要求等。思科IT互联网服务部网络工程师RolandDobbins表示:"我们需要更加细致地了解思科带宽的利用方式。"流量特征提取遇到的另一个困难是,许多新应用每次使用的端口都不相同,它们每次都动态选择新端口使用。
为了解决这些问题,思科开始利用CiscoNetFlow技术分析和提取网络流量的特征。利用专门开发的应用专用集成电路(ASIC)以及Cisco IOS软件和CiscoCatalyst操作系统软件的某些专用特性,Cisco NetFlow已集成到多数思科交换机和路由器中。
NetFlow是思科于1996年开发的技术,历经多年实践和不断改进,现在已经成为业界的主要网络计费技术和异常检测技术。它能够回答网络流量的"对象、内容、何时、何地和何种方式"问题。2003年,Cisco NetFlow 9被选中参与互联网国际标准制定组织IETF标准的开发。
利用IPFIX定义的格式,IP流量信息可以从输出设备,例如思科路由器,传输到分析数据的收集器应用。为输出数据,路由器将根据源IP地址和目标IP地址、源端口和目标端口、第三层协议类型、服务类型和输入逻辑接口表示每种网络流量。思科IT技术部成员JohnCornell说:"我们可以将NetFlow看成是路由器和第三层交换机控制的遥感设备,它起的是传感器的作用。"
如果说入侵检测系统(IDS)和分组窥探软件是用于检查分组内容的微观分析工具,CiscoNetFlow则是能够实时提取大量流量的特征的宏观分析工具。为说明CiscoNetFlow和分组捕获程序之间的区别,Dobbins用电话帐单做了一个比喻。他说:"NetFlow用于说明谁与谁通的话、在何时通的话、通话时间有多长、使用的是哪些协议和端口以及总共交换了多少数据量。由于NetFlow在说明谈话时并不实际收听对话的内容,因而可以扩展到超大网络。与之相反,分组捕获程序则有点像窃听器,能用于揭示具体谈话的细节。"
为处理来往流量,思科在其网络中很多位置都部署了Cisco IOS的NetFlow特性,其服务的WAN接口总数超过1900个。与RMON探针相比,CiscoNetFlow更适合手机网络流量信息。虽然RMON探针也能收集到同样的信息,但必须在需要调查的每个站点和每条链路上都安装独立硬件才行。思科IT项目经理MichaelChang说:"如果利用远程监控(RMON)探针监控这么多接口,成本上肯定不允许。"不仅如此,由于NetFlow属于CiscoIOS的特性,而Cisco IOS已经运行在每台服务器上,因此,不但易于安装,还能降低硬件成本。
企业网络安全的可靠屏障 CiscoNetFlow技术在互联网和安全方面有很多应用实例,在长期的实践当中,它对思科网络的安全稳定运行功不可没。 2003年1月24日,SQLSlammer蠕虫,也称为Sapphire,在三分钟之内就传遍了全球,几乎使全世界的网络都出现了故障,包括全部自动柜员机网络和大企业网络。Dobbins说:"许多机构都认为,他们已经在星期五晚上将Slammer阻挡在了互联网边缘以外,但星期一刚上班,却发现网络又遭到了笔记本、VPN连接及其它直连设备的破坏。" 但是,思科却没有因SQLSlammer而损失业务连续性。IT部门将成功归功于团队合作、明确的通信计划、强大的网络体系结构以及CiscoNetFlow技术的有效使用。Dobbins说:"利用NetFlow,我们能够深刻了解各种事件及其严重性,因而能及时采取相应的措施。"思科对Slammer的战斗取得了很大的成功,并向客户伸出援助之手。JohnCornell说:"在袭击之后的那个星期一,思科客户就能够全面利用所需的思科资源收拾SQL Slammer袭击之后的残局。" CiscoNetflow不仅是防范病毒攻击的有效屏障,对其他袭击和意外流量也是一道坚固的防线。与其它网络公司相似,思科也时常会接收到试图发动DoS袭击的流量。DoS袭击的特征是向网络发送大量分组,这些分组的大小通常不同于普通分组,一般从不可信源地址发往同一个目的地。思科探测和防止DoS袭击的方法是,利用Cisco NetFlow收集分组的源地址、目标地址、协议号、端口号和分组大小,然后将信息发送到Arbor PeakflowDoS执行异常检测。Cisco NetFlow将指导公司使用微观分析技术阻止此类袭击。
广泛应用见成效 在内部网和外部网上,CiscoNetflow的应用还有很多实例。2001年,由于直接DSL与ISDN接入的成本迅速提高,思科将全球范围内的数千完名远程员工和远程办公室员工转向了远程接入VPN。为确定是否需要增加容量,思科使用CiscoNetFlow与各种开放源代码工具提取现有流量的特征,然后推断未来流量。利用这种业务智能,思科只用了三个月就成功地将22,000名用户移植到VPN。
通常情况下,当WAN链路上的流量增多时,公司就会投资,执行链路升级。但很多次,思科都避免了昂贵的链路升级。思科的作法是:寻找造成拥塞的应用,如果需要,修改使用策略。例如,当某办公室的流量迅速增加时,思科IT使用Cisco NetFlow和NetQoSReporterAnalyzer寻找找到了使流量增加的应用和主机,最后发现罪魁祸首是一个非授权的HTTP应用。当思科向员工重申公司策略,禁止在公司网上传输非授权文件时,这个问题就自动消失了。
在思科,CiscoNetFlow更多的应用还包括降低高峰期WAN流量、QoS指标核实、分析VPN流量和远程员工的行为、核实电信服务商的服务等级、计算应用的总拥有成本等。John Cornell说:"CiscoNetFlow能够帮助我们提高对网络流量的洞察力,使我们不但能抵御DoS攻击以及其它形式的意外流量,正确应对各种网络威胁,还能收集宝贵的应用使用数据,更好地执行容量规划。" CiscoNetFlow不但能保证经济有效地部署应用,还能保证全球的所有员工、客户和合作伙伴随时都可以使用相应的服务。利用NetFlow数据,思科IT部门不但能防止网络受到病毒侵害或遭到袭击,还能了解当前及未来应用对网络的影响。
未来规划:发掘网络数据价值 下一步,思科IT部门打算进一步提高收集网络数据的价值,并将NetFlow的使用扩展到网络的其它部分。 思科IT部门的容量规划网络工程师KeithBrumbaugh说:"随着收集的NetFlow历史数据的增多,容量规划将变得越来越容易。如果拥有足够的历史数据进行比较,我们就能够更容易地看到历史发展趋势。不仅如此,我们还将能够了解公司网络的正常流动情况,从而更快地捕获异常流量。" 一开始,思科IT部门先在小站点利用CiscoNetFlow收集信息,收集点从互联网网关逐步发展到WAN和外部网网关。JohnCornell说:"我们收集的重点是从互联网到内部网,以及从内部网到互联网的流量信息。"RolandDobbins补充说:"以后,我们不但要把NetFlow的使用逐步扩展到内部网中,还要将容量规划扩展到园区网LAN,尤其是数据中心LAN,以及这些数据中心LAN与互联网之间的连接点中。" 以后,思科将把Cisco NetFlow的使用从公共网扩展到内部网。RolandDobbins说:"随着无线网和VPN通道的建立,网络边界的消失,内部网的安全性成为IT安全部关注的最重要的问题。如果能对内部网和桌面网边缘的流量提取特征,就能够检测到正在产生恶意流量或试图非法访问资源的主机。"另外,思科还希望将用于互联网连接的容量规划方法扩展到思科WAN上的内部网。
如同RolandDobbins所说:"无论是企业还是政府机构,只要是负责任的机构,就必须通过网络的有效利用实现资源调整、容量规划和安全性。"融合网络和IP电话将不断普及,通过网络流量特征提取执行容量规划和异常检测的能力将变得越来越重要。对于迫切需要实现这些功能的企业来说,CiscoNetFlow是一项期待已久的法宝。
[url=http://www.cisco.com/web/CN/aboutcisco/cisco_china/magazines/networking_china/#5]返回[/url] 为什么还不发????? y039 cisco网站上有描述,多为产品介绍之类.
网上相关资料很少...要RMBy079
[url]http://www.adventnet.com.cn/products/netflow/index.html[/url]
[url]http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html[/url] 现在排故障经常要用sh ip cache flow的,把软件放出来看看吧 我下了.... ffffffffffffffffff y039 学习中 正在做流量管理,下来看看 谢谢楼主的分享! y133
ddddddddddddddddd好評
ddddddddddddddddd好評 gggggggggggggggggggggggoooooooooooooooooooodddddddddddddddddddeeeeeeeeeeeeeeeeeeee NFC的软件能提供测试学习马 ddddddddddddddddddddddddd 正需要,感谢楼主分享。 kankanbeikkkkk [url=http://www.abab123.com/bbs/down.asp?html=1103354]http://www.abab123.com/bbs/down.asp?html=1103354[/url] 很详细的netflow教程,好好学习一下,呵呵!谢谢分享!! thanks for your sharing!! 非常好的资料。收藏了。
页:
[1]