cisco netflow 部署說明

1、1 NETFLOW支持設(shè)備：Cisco 800, 1700, 2600 Yes Cisco 1800, 2800, 3800 Yes Cisco 4500 Yes Cisco 6500 Yes Cisco7200, 7300, 7500 Yes Cisco 7600 Yes Cisco 10000, 12000, CRS-1 Yes Cisco 2900, 3500, 3660, 3750 Nonetflow是ios平臺技術(shù)，也就是說路由器全系列都支持，而交換機(jī)平臺則依賴于IOS版本和支持硬件，例如 Cisco 2900, 3500, 3660, 3750就不支持我們關(guān)注交換網(wǎng)絡(luò)核心設(shè)備：65

2、00/7600 系列：1 啟動netflowSwitch(config)# mls netflow2 啟動netflow 的雙向流量Switch(config)# mls flow ip destination-source 后面可接其他參數(shù)3、進(jìn)入VLAN，啟動接口Netflow（如果在物理接口上其3層，則直接進(jìn)入物理接口）Switch(config)# interface vlan 5Switch(config-if)# ip flow-export ingress-此處為ingress 可以配置engress 依賴ios版本Switch(config-if)# ip route-cach

3、e flow4 配置Netflow的數(shù)據(jù)源，如果沒有配置Loopback的接口，可以采用物理接口，建議配置Loopback接口Switch(config)# ip flow-export source loopback 05 配置統(tǒng)計信息的輸出目的，即采集服務(wù)器的ip和監(jiān)聽端口(config)#ip flow-export 10.1.200.201 99917. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 5下面為參考命令：Switch# show mls nde一般看到都是Netflow Data Export disabled 這說明N

4、etflow都沒有起來。參看Cisco Configuring NetFlow Data Export PDf文檔，默認(rèn)是Disabled的啟動NDE發(fā)送以及發(fā)送版本Switch(config)# mls nde sender version 5 | 7 如果只輸入mls nde sender 系統(tǒng)默認(rèn)啟用的是版本7，如果需要版本5，則mls nde sender version 5 ，目前版本能配的是5或7，這兩個版本W(wǎng)EB均能出現(xiàn)正常的數(shù)據(jù)。對于Cisco IOS 12.17以下版本的交換機(jī)，只有版本7。參考部分用戶反映netflow網(wǎng)管機(jī)器，沒有收到數(shù)據(jù)包，可參考上面命令酌情配置，未必有

5、效4500 系列：1 配置Netflow的數(shù)據(jù)源，如果沒有配置Loopback的接口，可以采用物理接口，建議配置Loopback接口Switch(config)# ip flow-export source loopback 02 配置統(tǒng)計信息的輸出目的，即采集服務(wù)器的ip和監(jiān)聽端口(config)#ip flow-export 10.1.200.201 99913. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 54. 設(shè)置路由器中flow cache的過期時限，建議按照以下配置：活動連接的時限為1分鐘（即活動的連接每隔1分鐘發(fā)送該連接的數(shù)

6、據(jù)流量統(tǒng)計信息），非活動連接的時限為10秒鐘。(config)#ip flow-cache time active 1(config)#ip flow-cache time inactive 10(config)#ip flow-cache active-timeout 305部分Cisco4500就不支持，也就是它不能在某個Interface配置打開Netflow，要么所有端口啟用，要么都不啟用，重要的無法區(qū)分不同Interface上的流量情況，只能看到整個設(shè)備所有的流量情況，只能在全局模式下開啟：Switch(config)# ip flow ingress infer-fields如果可

7、以在接口上使用：那么進(jìn)入VLAN，啟動接口Netflow（如果在物理接口上其3層，則直接進(jìn)入物理接口）Switch(config)# interface vlan 5Switch(config-if)# ip route-cache flow下面cisco官方說明：-Note Enabling NetFlow on a per interface basis is not supported on a Catalyst 4500 switch. -This example shows how to enable NetFlow globally: Switch# configure termi

8、nalSwitch(config)# ip flow ingressThis example shows how to enable NetFlow with support for inferred fields: Switch# configure terminalSwitch(config)# ip flow ingress infer-fields netflow 總結(jié)1：Netflow released Version：（Netflow based UDP） V9：和V8/5/1不兼容，最大的Feature就是template，具有extensible：但是也因為V9是基于templ

9、ate，需要傳輸額外的模版數(shù)據(jù)，默認(rèn)為20：1，占總流量的4%，Device為了維護(hù)Template必須消耗更多的資源 V8：只能針對aggregate cache：當(dāng)你再路由器上開啟route-based netflow aggregation，就可以使用V8 V5：只能針對Main cache：（比較常用）：后續(xù)增加了BGP AS信息和 流序列號信息 V1：最先的發(fā)行版本，不再使用： V2/V3/V4：沒有released V6：not support很多國際標(biāo)準(zhǔn)多是基于Netflow的：（IETF) IP Information Export (IPFIX) Working Group

10、(WG) and the IETF Pack Sampling (PSAMP) WG are based on the NetFlow Version 9 export format.2：配置Netflow的前提： 啟用路由功能 開啟CEF/DCEF/Fast switch三者選一 確認(rèn)Device resource，Netflow需要resume additional resource3：針對Netflow capture traffic：=Ingress NetflowIP to IPIP to MPLSFR terminateATM terminate=Engress NetflowIP

11、 TO IPMPLS TO IP（MPLS 倒數(shù)第二跳）4：netflow confirm flow with 7 keywords：S/D IP ； S/D Port ；3層protocol type ；TOS；ingress interface2 在部署netflow，通常需要考慮部署位置，在早期IOS版本中，只支持ingress方向數(shù)據(jù)流統(tǒng)計，對出方向engress不做統(tǒng)計，例如：假設(shè) 一個路由器有兩個接口 A和B，由于缺省情況下，Netflow數(shù)據(jù)統(tǒng)計只針對進(jìn)入(ingress)數(shù)據(jù)進(jìn)行，當(dāng)你只啟用接口A的NetFlow數(shù)據(jù)輸出時，它只能輸出接口A的流入（IN）流量和接口B的流出（OU

12、T）流量。接口A的流出流量只能由接口B的NetFlow輸出數(shù)據(jù)才能得到。所以如果不啟用接口B的數(shù)據(jù)輸出，將得不到接口A的流出流量信息。 用cisco官方圖片實例：圖我們看到圖中，箭頭方向就是數(shù)據(jù)流動方向，server則是我們部署netflow網(wǎng)管機(jī)位置，那么，在那些接口需要開啟netflow呢：從圖中，我們可以看到：在圖中用橢圓形標(biāo)注的地方就是需要開啟netflow的接口，從數(shù)據(jù)流向分析+標(biāo)注位置，我們發(fā)現(xiàn)全是數(shù)據(jù)流的入接口方向開啟。 如果是版本支持方向部署，那么部署位置，則簡化許多： 圖2如上面圖2所示。與圖做比較，發(fā)現(xiàn)部署位置，只需要對相應(yīng)設(shè)備做配置即可，不再依賴于接口。如何判斷是否支持出

13、方向技術(shù)，最簡單的方法。能否在接口或者全局模式開啟：Switch(config-if)# ip flow-export engress-或者 switch(config-if)# ip flow engress2 談到 netflow 的排錯 使用netflow技術(shù)，出現(xiàn)問題，一般集中在netflow 分析儀，沒有數(shù)據(jù)那么對應(yīng)我們排錯，應(yīng)該思路應(yīng)該是： 先檢查物理設(shè)備上面命令是否開啟，開啟參數(shù)是否正確 確認(rèn)netflow設(shè)備工作正常，檢查netflow分析儀，對應(yīng)接收參數(shù)是否有誤。 確認(rèn)上面2步無誤情況，檢查netflow分析設(shè)備和netflow物理設(shè)備是否有防火墻，或者其他物理隔絕，阻隔UD

14、P數(shù)據(jù)包 檢查是否是netflow設(shè)備開啟端口位置不對等等下面給出對應(yīng)簡單排錯方法： 1 需要檢查對應(yīng)平臺配置命令，例如對于4500 和6500 平臺配置命令，就有所不同，需要查看對應(yīng)命令，查看配置是否有誤。A 命令show ip flow interface檢查接口上面上是否開啟netflowRouter# show ip flow interface Ethernet0/0 ip flow ingressB 命令 show run 看是否設(shè)定輸出端口，及ip地址等， 2 確認(rèn)配置上面沒有問題，我們則應(yīng)該使用IOS相關(guān)檢測命令，看是否有netflow的輸出，和1中提到命令配合： 常用的是 s

15、how ip cache flow show ip flow export 下面給出netflow配置輸出檢測方法：1 使用Cisco-4507R#show ip flow export 會出現(xiàn)類似于下面輸出；Flow export v5 is enabled for main cache Exporting flows to 192.168.1.1 (9995) Exporting using source interface Loopback0 Version 5 flow records 40 flows exported in 3 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level可間隔10S或者更長時間，重復(fù)使用上述命令?？醇t