拓撲圖

成都創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務領域包括：做網(wǎng)站、成都做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的米林網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

NetFlow監(jiān)控涉及到的設備：

被監(jiān)控的交換機（也可能是鏡像服務器）和收集器（監(jiān)控軟件所在的設備）

工作原理：

NetFlow使用流（flow）來完成統(tǒng)計數(shù)據(jù)、網(wǎng)絡監(jiān)控，甚至網(wǎng)絡規(guī)劃。流有方向這個屬性，在一個接口或者一個vlan下，某一方向上具有相同參數(shù)的數(shù)據(jù)包組成了流（flow）。上邊這句話是cisco文檔中翻譯過來的，如果你沒看懂，你可以簡單理解為具有相同五元組（相同的源地址，目的地址，源端口，目的端口，協(xié)議）的數(shù)據(jù)包可以稱之為一個流（flow）。

被監(jiān)控的交換機，將端口進出方向的數(shù)據(jù)包進行分析，把相關信息（源地址，目的地址，源端口，目的端口，協(xié)議，包大小等信息）放進NetFlow包中，發(fā)到收集器（netflow collector）中，這個處理過程將消耗被監(jiān)控設備的cpu和內存。收集器（監(jiān)控軟件，都是第三方的）將數(shù)據(jù)進行整理，呈現(xiàn)報表。

v5只支持ipv4
v9支持ipv4和ipv6

配置命令示例（netflow v5，設備：asr1001x）：

flow exporter HK-test
destination 10.136.76.117
source Loopback1
transport udp 9998
export-protocol netflow-v5

輸出器主要用于配置輸出參數(shù)，有地址和端口，輸出源地址和版本，目標地址是收集器的ip，端口取決于收集器的監(jiān)聽端口，源端口是發(fā)送端口，抓包時候會看見源地址是loopback1的ip。

flow monitor HK-test-monitor
exporter HK-test
cache type immediate
record netflow-original

監(jiān)控器：將流記錄和輸出器綁定,這里流記錄使用默認netflow-original配置，因為v5不能自定義模板，cache使用immediate的效果是立即將解析好的數(shù)據(jù)包發(fā)送到監(jiān)控服務器，而不進行聚合匯總。

sampler test-1
mode deterministic 1 out-of 2

采樣比：按一比二比例，將所有的流量全部抓下來

interface GigabitEthernet0/0/4
ip flow monitor try sampler test-1 input
ip flow monitor try sampler test-1 output

配置到接口下

配置命令示例（netflow v9,設備：asr1001x）：

flow record try
description test
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport sourceport
match transport destinationport
collect counter bytes
collect counter packets long
collect timestamp sysuptime first
collect timestamp sysuptime last

flow exporter try_exporter
description test_ex
destination 10.136.76.117
source Loopback1
transport udp 9999
template data timeout 30

flow monitor try
description test
exporter try_exporter
cache type immediate
record try

sampler test1
mode deterministic 1 outof 2

interface GigabitEthernet0/0/4
ip flow monitor try sampler test1 input
ip flow monitor try sampler test1 output

與v5不同的是多添加了流記錄的配置，并且調用了try這個流記錄。

配置命令示例（netflow v9,設備：nexus 5k）：

鏈接：cisco-N6k-netflow-原版
提取碼：pa8i

flow exporter extest
destination 10.136.17.146
transport udp 9996
source Vlan40
version 9

輸出器主要用于配置輸出參數(shù)，有地址和端口，輸出源地址和版本，目標地址是收集器的ip，端口取決于收集器的監(jiān)聽端口，源端口是發(fā)送端口，抓包時候會看見源地址是int vlan 40的ip。

flow record rdtest
match ipv4 source address
match ipv4 destination address
match ip protocol
match ip tos
match transport source-port
match transport destination-port
collect counter bytes long
collect counter packets long
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect ip version

流記錄：收集相關信息，用于監(jiān)控數(shù)據(jù)流量

sampler sltest
mode 1 out-of 128

采樣比：每128個包，選取一個包

sampler full
mode 1 out-of 1

采樣比：一比一，將所有的流量全部抓下來

flow monitor mttest
record rdtest
exporter extest

監(jiān)控器：將流記錄和輸出器綁定

int vlan 40
ip flow monitor mttest input sampler full

將監(jiān)控器和一比一的采樣比應用在接口，經(jīng)測試，發(fā)現(xiàn)只能配置input方向的netflow監(jiān)控，無法配置output方向。

V5數(shù)據(jù)包樣式

默認wireshark是無法解析netflow數(shù)據(jù)包的，需要將對應端口解析成cflow格式。比如，我是用的是9999這個端口，需要:選中一個數(shù)據(jù)包->右鍵->解碼為->添加下圖內容，然后才能解析。

v9數(shù)據(jù)包樣式

會出現(xiàn)兩類包，一類叫模板包（定義收集的參數(shù)，因為version9是自定義收集方式，根據(jù)配置收集參數(shù)），一類叫數(shù)據(jù)包（根據(jù)模板產(chǎn)生的數(shù)據(jù)參數(shù)的包，收集器需要先獲得模板包才能識別數(shù)據(jù)包內容）

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前名稱：NetFlow的工作原理和配置介紹-創(chuàng)新互聯(lián)
網(wǎng)址分享：http://vcdvsql.cn/article24/ddgpce.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供外貿建站、移動網(wǎng)站建設、企業(yè)網(wǎng)站制作、云服務器、網(wǎng)站改版、網(wǎng)站設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)