netflow

NetFlow是一种数据交换方式,利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。

interface g*
 ip flow ingress/egress/monitor 接口启用flow inbound/outbound/Monitor
show ip cache g* flow

参数详解

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow

TCP-Telnet 2261 0.0 16 52 0.0 4.1 14.0

Protocol IP:见RFC 1340

Total Flows:自从最后一次清除统计信息后,这种协议的信息流的个数。

Flows/Sec:每秒钟时间内出现这种协议的信息流的平均个数,它等于总信息流数/综合时间的秒数。

Packets/Flow:遵守这种协议的信息流中平均的包数。等于这种协议的包数,或者在这段综合时间内,这种协议的信息流数。

Bytes/Pkt:遵守这种协议的包的平均字节数。

Packets/Sec:每秒钟时间内这种协议的平均包数,或者这段综合时间的总秒数。

Active/Flow:从第一个包到终止信息流的最后一个包的总时间,或者这段综合时间内这种协议总的信息流数。

Idle/Flow:从这种协议的各个非终止信息流的最后一个包起,直到输入这一命令时止的时间总和,或者这段综合时间内信息流的总时间长度。

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts

Gi0/0         10.0.201.47     Null          210.22.84.3     11 D68F 0035     1 1SrcIf:源头接口的内部端口名字。

SrcIPaddress:该信息流的源头IP地址。

DstIf:目的地接口的内部端口名字。

DstIPaddress:该信息流的目的地IP地址。

Pr:IP协议TCP-6 UDP-17(16进制)

SrcP:源头端口地址(16进制)

DstP:目的地端口地址(16进制)

Pkts:从这一信息流得到的包个数。

B/Pkt:这一信息流中每个包的平均字节数。Active一个信息流中第一个包到最后一个包之间的秒数。

ip flow-top-talkers 启用top统计
top 10 前top 10
sort-by bytes/packets 根据bytes大小或packets数量统计
cache-timeout 2000 cache间隔2000ms
match source address 10.0.0.0/24
match destination address 200.0.0.0/24
match direction egress/ingress 统计outbound或inbound

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Bytes
Gi0/0 10.0.201.21 Gi0/1 202.108.33.95 06 CD18 0050 228K

SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Bytes
Port Msk AS Port Msk AS NextHop B/Pk Active
Gi0/0 10.0.201.21 Gi0/1 202.108.33.95 06 00 18 224K
CD18 /0 0 0050 /0 0 0.0.0.0 718 625.0

常规switch配置
interface g*
ip route-cache flow 接口下启用netflow
exit
ip flow-cache timeout active 30 设定netflow记录活动超时间
ip flow-export source lookback 0 设定netflow发送的源地址
ip flow-export version 5 [peer-as|origin-as] Netflow输出的版本为版本5。NetFlow分析仪只支持版本5和7。(你的路由器使用 BGP时,可以指定是否在输出包含源或者对方-不可能包含两者。)
ip flow-export destination [ip-add][udp-port] 把netflow信息输出到指定的工作站 (缺省端口为 9996) 老版本采取命令*ip flow-export [ip-add][udp-port]*
ip flow-cache timeout active 1 分割活动期长的流为1分钟的片段。你可以选择1到60之间的任何分钟值。如果使用缺省的30分钟,则流量报告也许会许多尖峰。老版本采取命令*ip flow-cache active-timeout 30*
ip flow-cache timeout inactive 15 保证定期输出完成的流。缺省值为15秒,可以选择10到600之间的任何值。如果选择的值大于250秒。也许 NetFlow分析仪将报告流量值太低的错误。
ip flow-cache entries 设定netflow记录缓冲区的入口数

show ip flow export 显示当前Netflow的配置。
show ip cache flow 该命令显示当前活动的流的概要,还显示设备输出了多少Netflow数据。
show ip cache verbose flow
================
6500 or 7600 core switch配置
mls netflow 3 启动netflow
mls flow ip destination-source 启动netflow 的双向流量
mls nde sender [version {5|7}] 启动NDE发送以及发送版本(默认为7)
interface g*
ip flow-export ingress 启动接口Netflow
ip route-cache flow
ip flow-export source loopback 0 7 设定netflow发送的源地址

show mls nde
Netflow Data Export enabled
show mls netfow ip 可查看看到大量的流量信息及大量的滚屏信息

Cisco 官方netflow流量分析系统 ManageEngine_NetFlowAnalyzer

时间: 2024-10-12 17:46:07

netflow的相关文章

用OSSIM简单实现分布式Netflow分析系统

用OSSIM简单实现分布式Netflow分析系统 若干要对网络异常流量进行分析,首先要深入了解其产生原理及特征,对异常流量的种类.流向.产生后果.数据包类型.地址.端口等多个方面进行分析.Linux下Netflow数据采集分析工具为Nfdump,通过Nfsen,以Web界面展示出来,然而如果让你完全通过之前编译安装的方式搭建Netflow采集分析平台确非常复杂. 以下三幅图展示了在OSSIM系统中实现分布式Netflow系统的截图. 如何轻松设置Netflow,大家请参考<开源安全运维平台OSS

[转]Rapidly detecting large flows, sFlow vs. NetFlow/IPFIX

Figure 1: Low latency software defined networking control loop The articles SDN and delay and Delay and stability describe the critical importance of low measurement delay in constructing stable and effective controls. This article will examine the d

[转]Comparing sFlow and NetFlow in a vSwitch

As virtualization shifts the network edge from top of rack switches to software virtual switches running on the hypervisors; visibility in the virtual switching layer is essential in order to provide network, server and storage management teams with

Rapidly detecting large flows, sFlow vs. NetFlow/IPFIX

Figure 1: Low latency software defined networking control loop The articles SDN and delay and Delay and stability describe the critical importance of low measurement delay in constructing stable and effective controls. This article will examine the d

Comparing sFlow and NetFlow in a vSwitch

As virtualization shifts the network edge from top of rack switches to software virtual switches running on the hypervisors; visibility in the virtual switching layer is essential in order to provide network, server and storage management teams with

路由器安全-NetFlow

1.NetFlow介绍 提供高层次的诊断,分类和识别网络异常. 使用NetFlow来检查哪些行为改变明显的攻击是非常有效的. 就像Wiretap一样捕获数据包. NetFlow像电话账单.(谁和谁在通话,通过什么协议和端口,多长时间,速度如何,持续多久等) 路由器和交换机作为一个流量遥感器,推送流量信息到NetFlow Collector(流量收集器). NetFlow和Flexible NetFlow 一个流是一组拥有相同键值的数据包(7键值:源目端口.源目IP.协议.接口和CoS(TLV))

netflow网络流量管理

1.在设备上配置netflow.①netflow v5全局配置: ip flow-export source Vlan200ip flow-export version 5ip flow-export destination 10.16.6.166 9996 接口配置: interface GigabitEthernet0/1ip flow ingressip flow egress ②netflow v9全局配置record部分: flow record NetFlowmatch ipv4 s

netflow之 java开源 jnca

1. 开源Java  jnca  下载: jnca-beta-1.0.zip 2. 同时去网上下载 一个可以本地测试工具: flowalyzer.exe 3. 步骤 搭建一个mysql 库 由于只提供了 mysql版本的采集包(mysql-connector-java-3.1.10-bin.jar). 2.  搭建完库后,有程序来初始化建表,在执行程序前,先手动建一张表 脚本: CREATE TABLE IF NOT EXISTS IpSegments ( IpSeg VARCHAR(15) N

网络流量分析利器-可视化网络-netflow【1】-基础原理

网络流量分析利器-可视化网络-netflow[1]-基础原理 网络流量分析利器-可视化网络-netflow[2]-Cisco NetFlow 工作原理介绍及配置 网络流量分析利器-可视化网络-netflow[3]-netflow版本5和版本9区别 网络流量分析利器-可视化网络-netflow[4]-接收器nfdump简介 网络流量分析利器-可视化网络-netflow[5]-linux下数据采集器fprobe 网络流量分析利器-可视化网络-netflow[6]-生产网流量监控架构设计 fprobe