cisconetflow部署說明

1、1 netflow支持設備：cisco 800, 1700, 2600 yes cisco 1800, 2800, 3800 yes cisco 4500 yes cisco 6500 yes cisco7200, 7300, 7500 yes cisco 7600 yes cisco 10000, 12000, crs-1 yes cisco 2900, 3500, 3660, 3750 nonetflow是ios平臺技術，也就是說路由器全系列都支持，而交換機平臺則依賴于ios版本和支持硬件，例如 cisco 2900, 3500, 3660, 3750就不支持我們關注交換網(wǎng)絡核心設備：65

2、00/7600 系列：1 啟動netflowswitch(config)# mls netflow2 啟動netflow 的雙向流量switch(config)# mls flow ip destination-source 后面可接其他參數(shù)3、進入vlan，啟動接口netflow（如果在物理接口上其3層，則直接進入物理接口）switch(config)# interface vlan 5switch(config-if)# ip flow-export ingress-此處為ingress 可以配置engress 依賴ios版本switch(config-if)# ip route-cach

3、e flow4 配置netflow的數(shù)據(jù)源，如果沒有配置loopback的接口，可以采用物理接口，建議配置loopback接口switch(config)# ip flow-export source loopback 05 配置統(tǒng)計信息的輸出目的，即采集服務器的ip和監(jiān)聽端口(config)#ip flow-export 10.1.200.201 99917. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 5下面為參考命令：switch# show mls nde一般看到都是netflow data export disabled 這說明n

4、etflow都沒有起來。參看cisco configuring netflow data export pdf文檔，默認是disabled的啟動nde發(fā)送以及發(fā)送版本switch(config)# mls nde sender version 5 | 7 如果只輸入mls nde sender 系統(tǒng)默認啟用的是版本7，如果需要版本5，則mls nde sender version 5 ，目前版本能配的是5或7，這兩個版本web均能出現(xiàn)正常的數(shù)據(jù)。對于cisco ios 12.17以下版本的交換機，只有版本7。參考部分用戶反映netflow網(wǎng)管機器，沒有收到數(shù)據(jù)包，可參考上面命令酌情配置，未必有

5、效4500 系列：1 配置netflow的數(shù)據(jù)源，如果沒有配置loopback的接口，可以采用物理接口，建議配置loopback接口switch(config)# ip flow-export source loopback 02 配置統(tǒng)計信息的輸出目的，即采集服務器的ip和監(jiān)聽端口(config)#ip flow-export 10.1.200.201 99913. 配置輸出版本，目前可支持版本1和5(config)#ip flow-export version 54. 設置路由器中flow cache的過期時限，建議按照以下配置：活動連接的時限為1分鐘（即活動的連接每隔1分鐘發(fā)送該連接的數(shù)

6、據(jù)流量統(tǒng)計信息），非活動連接的時限為10秒鐘。(config)#ip flow-cache time active 1(config)#ip flow-cache time inactive 10(config)#ip flow-cache active-timeout 305部分cisco4500就不支持，也就是它不能在某個interface配置打開netflow，要么所有端口啟用，要么都不啟用，重要的無法區(qū)分不同interface上的流量情況，只能看到整個設備所有的流量情況，只能在全局模式下開啟：switch(config)# ip flow ingress infer-fields如果可

7、以在接口上使用：那么進入vlan，啟動接口netflow（如果在物理接口上其3層，則直接進入物理接口）switch(config)# interface vlan 5switch(config-if)# ip route-cache flow下面cisco官方說明：-note enabling netflow on a per interface basis is not supported on a catalyst 4500 switch. -this example shows how to enable netflow globally: switch# configure termi

8、nalswitch(config)# ip flow ingressthis example shows how to enable netflow with support for inferred fields: switch# configure terminalswitch(config)# ip flow ingress infer-fields netflow 總結(jié)1：netflow released version：（netflow based udp） v9：和v8/5/1不兼容，最大的feature就是template，具有extensible：但是也因為v9是基于templ

9、ate，需要傳輸額外的模版數(shù)據(jù)，默認為20：1，占總流量的4%，device為了維護template必須消耗更多的資源 v8：只能針對aggregate cache：當你再路由器上開啟route-based netflow aggregation，就可以使用v8 v5：只能針對main cache：（比較常用）：后續(xù)增加了bgp as信息和 流序列號信息 v1：最先的發(fā)行版本，不再使用： v2/v3/v4：沒有released v6：not support很多國際標準多是基于netflow的：（ietf) ip information export (ipfix) working group

10、(wg) and the ietf pack sampling (psamp) wg are based on the netflow version 9 export format.2：配置netflow的前提： 啟用路由功能 開啟cef/dcef/fast switch三者選一 確認device resource，netflow需要resume additional resource3：針對netflow capture traffic：=ingress netflowip to ipip to mplsfr terminateatm terminate=engress netflowip

11、 to ipmpls to ip（mpls 倒數(shù)第二跳）4：netflow confirm flow with 7 keywords：s/d ip ； s/d port ；3層protocol type ；tos；ingress interface2 在部署netflow，通常需要考慮部署位置，在早期ios版本中，只支持ingress方向數(shù)據(jù)流統(tǒng)計，對出方向engress不做統(tǒng)計，例如：假設 一個路由器有兩個接口 a和b，由于缺省情況下，netflow數(shù)據(jù)統(tǒng)計只針對進入(ingress)數(shù)據(jù)進行，當你只啟用接口a的netflow數(shù)據(jù)輸出時，它只能輸出接口a的流入（in）流量和接口b的流出（ou

12、t）流量。接口a的流出流量只能由接口b的netflow輸出數(shù)據(jù)才能得到。所以如果不啟用接口b的數(shù)據(jù)輸出，將得不到接口a的流出流量信息。 用cisco官方圖片實例：圖我們看到圖中，箭頭方向就是數(shù)據(jù)流動方向，server則是我們部署netflow網(wǎng)管機位置，那么，在那些接口需要開啟netflow呢：從圖中，我們可以看到：在圖中用橢圓形標注的地方就是需要開啟netflow的接口，從數(shù)據(jù)流向分析+標注位置，我們發(fā)現(xiàn)全是數(shù)據(jù)流的入接口方向開啟。 如果是版本支持方向部署，那么部署位置，則簡化許多： 圖2如上面圖2所示。與圖做比較，發(fā)現(xiàn)部署位置，只需要對相應設備做配置即可，不再依賴于接口。如何判斷是否支持出

13、方向技術，最簡單的方法。能否在接口或者全局模式開啟：switch(config-if)# ip flow-export engress-或者 switch(config-if)# ip flow engress2 談到 netflow 的排錯 使用netflow技術，出現(xiàn)問題，一般集中在netflow 分析儀，沒有數(shù)據(jù)那么對應我們排錯，應該思路應該是： 先檢查物理設備上面命令是否開啟，開啟參數(shù)是否正確 確認netflow設備工作正常，檢查netflow分析儀，對應接收參數(shù)是否有誤。 確認上面2步無誤情況，檢查netflow分析設備和netflow物理設備是否有防火墻，或者其他物理隔絕，阻隔ud

14、p數(shù)據(jù)包 檢查是否是netflow設備開啟端口位置不對等等下面給出對應簡單排錯方法： 1 需要檢查對應平臺配置命令，例如對于4500 和6500 平臺配置命令，就有所不同，需要查看對應命令，查看配置是否有誤。a 命令show ip flow interface檢查接口上面上是否開啟netflowrouter# show ip flow interface ethernet0/0 ip flow ingressb 命令 show run 看是否設定輸出端口，及ip地址等， 2 確認配置上面沒有問題，我們則應該使用ios相關檢測命令，看是否有netflow的輸出，和1中提到命令配合： 常用的是 s

15、how ip cache flow show ip flow export 下面給出netflow配置輸出檢測方法：1 使用cisco-4507r#show ip flow export 會出現(xiàn)類似于下面輸出；flow export v5 is enabled for main cache exporting flows to 192.168.1.1 (9995) exporting using source interface loopback0 version 5 flow records 40 flows exported in 3 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level可間隔10s或者更長時間，重復使用上述命令。看紅