1、Netflow 要点介绍,宫一鸣本文下载地点 http:/ 22,2003,First of All,This lecture is not a step-by-step guide, just focuses on the core concept.,为什么需要netflow?,路由器,交换机A在某种意义上是黑盒子管理员不知道黑盒子里面发生了什么黑盒子里面的数据都在干什么,谁发出的,到哪里去,流量大小等等指标,什么是netflow?,Netflow的作用流量分析和监控根据流量计费网络加速用于安全分析,什么是netflow?,谁可以使用netflow使用netflow必须是CCNX、CCXE么
2、?No,你甚至可以不懂 路由!,什么是netflow?,理解netflow的关键 (core!)问题同一时刻 路由交换设备上的ip流量非常大且杂乱,怎么捕获?面向Flow! 面向flow?,什么是netflow?,理解netflow的关键(core!)Flow由7个因素构成(交换机可以略少)Source IP addressDestination IP addressSource port numberDestination port numberProtocol typeType of service (ToS)Input interface.观察上面7个要素可以发现它们可以唯一的标识路由器
3、上的一个网络连接。,什么是netflow?,理解netflow的关键 (core!)例子,客户经过路由器向内部网络ssh登录Source IP addressDestination IP addressSource port numberDestination port numberProtocol typeType of service (ToS)Input interface.无论客户在整个ssh过程中做什么动作,工作时间长短,上面的7个关键点保证了在整个过程中此路由器上这个网络连接是可以唯一标识的。面向Flow! 以flow为对象采集数据,如这个“flow”在通讯过程的总字节数 ,使用的
4、src/dst port, src/dst address等等。,Netflow采集的数据内容,Source IP AddressDestination IP Address,Next Hop AddressSource AS NumberDest. AS NumberSource Prefix MaskDest. Prefix Mask,Input Interface PortOutput Interface Port,Type of ServiceTCP FlagsProtocol,Packet CountByte Count,Start TimestampEnd Timestamp,So
5、urce TCP/UDP PortDestination TCP/UDP Port,Usage,QoS,Timeof Day,Application,RoutingandPeering,From/To,PortUtilization,Netflow 工作架构,使设备输出Netflow数据(Data Export),在路由器上配置在全局配置模式下:ip flow-export source Loopback0ip flow-export version 5ip flow-export destination 9995ip flow-sampling-mode packet-interval 1
6、00端口配置模式下:interface e1/0ip route-cache flow sampled,Netflow数据收集工具,Netflow数据收集工具Flow collector (cisco的软件包),Netflow数据分析工具,Netflow数据分析工具FlowAnalyzer (cisco的软件包)读取flow collector的数据,个人感觉华而不实So what is the best?You brain! + unix tools(awk,sed,cat etc) ,Flow collector,软件的安装很简单,没什么技术含量,请参考软件readme. So.跳过! ;
7、),Flow collector 处理流程图,filter,什么是filterFilter filterAFilter filterB,permit nexthop 202.102.224.136 0.0.0.0,deny addr 1.2.0.0 0.0.255.255permit addr 0.0.0.0 0.0.0.0,Aggregation,什么是Aggregation ?是cisco公司定制好的对网络连接监控的内容以DestPort这个Aggregation为例Key field: dstportValue fields: packet count, byte count, flow
8、 countDestPort这个Aggregation通俗的理解:这一段时刻,我的路由器上的数据包都发往了哪些tcp/udp端口?发到这些端口的数据的包数,字节大小,总流数目是多少?78|6367|557723|853FlowCollector Aggregation Schemes里面可以找到所有的Aggregation,FlowCollector Aggregation Schemes,Flow collector,安装好的目录结构注意红色标记,Flow collector,Data 目录下存放的是输出的netflow记录文件(最有价值的记录内容就在这里!;)/opt/CSCOnfc/Da
9、ta/2003_04_21/202.102.224.1/DestPort78|6367|557723|85380|9836608|864296991|61921981|8836|790568|43382|5319|520273|38583|2695|161981|130Bin目录下./nfcollector status | show-tech | clean | start|stop all|nfcgw|collection,Flow collector,Config目录下nfconfig.file (core!)配置文件部分内容Thread routerportAggregation DestportPeriod 5Port 9995State ActiveDataSetPath /opt/CSCOnfc/DataCompression NoBinary NoMaxUsage 500,This is the end of NETFLOW CORE lecture,
