NetFlow cung cấp quản trị mạng với quyền truy cập vào thông tin ghi âm cuộc gọi cụ thể từ các mạng dữ liệu của họ. Xuất khẩu dữ liệu NetFlow có thể được sử dụng cho nhiều mục đích, bao gồm cả quản lý mạng và lập kế hoạch, doanh nghiệp kế toán và chargebacks phòng ban, hóa đơn ISP, kho dữ liệu và khai thác dữ liệu cho các mục đích tiếp thị. NetFlow cũng cung cấp một cơ chế hiệu quả cao mà xử lý danh sách truy cập bảo mật mà không phải trả càng nhiều các hình phạt hiệu quả như là phát sinh với các phương pháp chuyển đổi khác có sẵn.
Thủ tục cấu hình NetFlow được cung cấp trong chương "" Cấu hình NetFlow sau này trong ấn phẩm này.
Chương này mô tả NetFlow. Nó chứa những phần sau:
•
Kế toán Thống kê
•Định dạng dữ liệu NetFlow
•NetFlow tập hợp
•Chính sách NetFlow Routing
Kế toán Thống kê
NetFlow Cisco IOS là một ứng dụng cung cấp số liệu thống kê về các gói dữ liệu lưu thông qua các thiết bị định tuyến trong mạng. Nó đang nổi lên như một kế toán mạng lưới tiểu học và công nghệ bảo mật.
NetFlow không liên quan đến bất kỳ giao thức kết nối, thiết lập, hoặc giữa các bộ định tuyến hoặc bất kỳ thiết bị mạng khác hay trạm kết thúc. NetFlow không cần bất kỳ sự thay đổi bên ngoài, hoặc là để các gói chính mình hoặc cho bất kỳ thiết bị mạng. NetFlow là hoàn toàn minh bạch để các mạng lưới hiện có, bao gồm cả trạm kết thúc và phần mềm ứng dụng và thiết bị mạng như thiết bị chuyển mạch LAN. Ngoài ra, NetFlow thác và xuất khẩu được thực hiện độc lập trên mỗi thiết bị liên mạng; NetFlow không cần phải được hoạt động trên mỗi router trong mạng.
NetFlow được hỗ trợ trên IP và IP lưu lượng truy cập gói gọn trên giao diện hầu hết các loại và encapsulations. Tuy nhiên, NetFlow không hỗ trợ ATM LAN thi đua (LANE) và không hỗ trợ một Inter-Switch Link (ISL) / LAN ảo (VLAN), ATM, Frame Relay hoặc giao diện khi nhiều hơn một đầu vào danh sách điều khiển truy cập (ACL) được sử dụng trên giao diện. Dịch vụ IP Cisco 12.000 thẻ ATM Engine dòng không có sự hạn chế này khi có nhiều hơn một đầu vào ACL được sử dụng trên giao diện.
Thu giữ dữ liệu giao thông
Một lưu lượng mạng được xác định là một dòng suối unidirectional của các gói tin giữa nguồn và đích đến cho-cả hai được xác định bởi một địa chỉ IP lớp mạng và số cổng giao thông vận tải-layer. Cụ thể, dòng chảy được xác định như là sự kết hợp của các lĩnh vực sau đây:
•Nguồn địa chỉ IP
•Điểm đến địa chỉ IP
•Số cổng nguồn
•Điểm đến cổng số
•Nghị định thư loại
•Loại hình dịch vụ
•Giao diện đầu vào
NetFlow Cache
NetFlow hoạt động bằng cách tạo ra một bộ nhớ cache lưu lượng. Các bộ nhớ cache NetFlow bao gồm các mục cho các thống kê lưu lượng truy cập mà được cập nhật cho dù cùng với các chuyển mạch các gói tin tiếp theo. Thông tin được duy trì trong bộ nhớ cache NetFlow cho tất cả các luồng hoạt động.
Định dạng dữ liệu NetFlow
NetFlow xuất khẩu dòng chảy thông tin trong UDP datagrams một trong hai định dạng. Các phiên bản 1 định dạng là phiên bản ban đầu phát hành, và phiên bản 5 là một tăng cường sau đó để thêm BGP (BGP) hệ thống tự trị (AS) thông tin và số thứ tự dòng chảy. Phiên bản 2 đến 4 không được thả.
Trong phiên bản 1 và phiên bản 5 định dạng, datagram bao gồm một tiêu đề và một hoặc các hồ sơ lưu lượng nhiều hơn nữa. Trường đầu tiên của tiêu đề chứa số phiên bản của datagram xuất khẩu. Thông thường, một ứng dụng nhận dạng hoặc là chấp nhận giao một bộ đệm đủ lớn cho các datagram có thể lớn nhất từ một trong hai định dạng và sử dụng các phiên bản từ tiêu đề để xác định làm thế nào để giải thích các datagram. Trường thứ hai trong tiêu đề là số bản ghi trong datagram và cần được sử dụng để chỉ mục thông qua các hồ sơ.
Tất cả các trường trong cả hai phiên bản 1 hoặc phiên bản 5 định dạng được trong mạng tự byte. Bảng 5 và Bảng 6 mô tả các định dạng dữ liệu của phiên bản 1, và Bảng 7 và Bảng 8 mô tả các định dạng dữ liệu của phiên bản 5.
Chúng tôi khuyên các ứng dụng nhận datagrams kiểm tra để đảm bảo rằng các datagrams là từ một nguồn NetFlow hợp lệ. Chúng tôi đề nghị bạn lần đầu tiên kiểm tra kích thước của datagram là để bảo đảm ít nhất là đủ dài để có các phiên bản và các lĩnh vực truy cập. Tiếp theo chúng tôi khuyên bạn xác minh rằng phiên bản là hợp lệ (1 hoặc 5) và số byte nhận được là đủ cho tiêu đề và hồ sơ lưu lượng truy cập (sử dụng phiên bản thích hợp).
Bởi vì xuất khẩu NetFlow sử dụng UDP datagrams gửi xuất khẩu, có thể cho datagrams đến bị mất. Để xác định thông tin có hoặc không lưu lượng xuất khẩu bị mất, phiên bản 5 định dạng tiêu đề chứa một số thứ tự dòng chảy. Các số thứ tự bằng số thứ tự của các trang trước cộng với số lượng dòng chảy trong datagram trước. Sau khi nhận được một datagram mới, tiếp nhận đơn có thể trừ đi số thứ tự dự kiến từ số thứ tự trong tiêu đề để có được số lượng các dòng chảy bị mất.
Enabling NetFlow
To enable NetFlow, first configure the router for IP routing as described in the IP configuration chapters in the Cisco IOS IP and IP Routing Configuration Guide. After you configure IP routing, use the following commands beginning in global configuration mode:
Exporting NetFlow Statistics
NetFlow information can also be exported to network management applications. To configure the router to export NetFlow statistics maintained in the NetFlow cache to a workstation when a flow expires, use one of the following commands in global configuration mode:
Customizing the Number of Entries in the NetFlow Cache
Normally the size of the NetFlow cache will meet your needs. However, you can increase or decrease the number of entries maintained in the cache to meet the needs of your NetFlow traffic rates. The default is 64K flow cache entries. Each cache entry is approximately 64 bytes of storage. Assuming a cache with the default number of entries, approximately 4 MB of DRAM would be required. Each time a new flow is taken from the free-flow queue, the number of free flows is checked. If there are only a few free flows remaining, NetFlow attempts to age 30 flows using an accelerated timeout. If there is only one free flow remaining, NetFlow automatically ages 30 flows regardless of their age. The intent is to ensure free flow entries are always available.
To customize the number of entries in the NetFlow cache, use the following command in global configuration mode:
Command | Purpose |
|---|---|
ip flow-cache entries number | Changes the number of entries maintained in the NetFlow cache. The number of entries can be 1024 to 524288. The default is 65536. |
Managing NetFlow Statistics
You can display and clear NetFlow statistics. NetFlow statistics consist of IP packet size distribution, IP NetFlow cache information, and flow information such as the protocol, total flow, flows per second, and so forth. The resulting information can be used to find out information about your router traffic. To manage NetFlow statistics, use either of the following commands in privileged EXEC mode:
Command | Purpose |
|---|---|
show ip cache flow | Displays the NetFlow statistics. |
clear ip flow stats | Clears the NetFlow statistics. |
Configuring IP Distributed Switching and NetFlow on VIP Interfaces
On Cisco 7500 series routers with a Route Switch Processor (RSP) and with Versatile Interface Processor (VIP) controllers, the VIP hardware can be configured to switch packets received by the VIP with no per-packet intervention on the part of the RSP. This process is called distributed switching. Distributed switching decreases the demand on the RSP.
The VIP hardware can also be configured for NetFlow, a new high-performance feature that caches information about the flow. NetFlow data can also be exported to network management applications.
Refer to the Cisco Product Catalog for information about VIP port adapters used for distributed switching.
To configure distributed switching on the VIP, first configure the router for IP routing as described in this chapter and the various routing protocol chapters, depending on the protocols you use.
After you configure IP routing, use the following commands beginning in global configuration mode:
When the RSP or VIP is using NetFlow, it uses a flow cache instead of a destination network cache to switch IP packets. The flow cache uses source and destination network address, protocol, and source and destination port numbers to distinguish entries.
To export NetFlow cache entries to a workstation when a flow expires, use the following command in global configuration mode:
Command | Purpose |
|---|---|
ip flow-export ip-address udp-port | Configures the router to export NetFlow cache entries to a workstation. |
Configuring an Aggregation Cache
To configure an aggregation cache, you must enter aggregation cache configuration mode, and you must decide which type of aggregation scheme you would like to configure: autonomous system, Destination Prefix, Prefix, Protocol Prefix, or Source Prefix aggregation cache. Once you define the aggregation scheme, define the operational parameters for that scheme.
Verifying Aggregation Cache Configuration and Data Export
To verify the aggregation cache information, use the following command in EXEC mode:
Command | Purpose |
|---|---|
show ip cache flow aggregation | Displays the aggregation cache information. |
To confirm data export, use the following command in EXEC mode:
Command | Purpose |
|---|---|
show ip flow export | Displays the statistics for the data export including the main cache and all other enabled caches. |
Configuring NetFlow Policy Routing
As long as policy routing is configured, NetFlow policy routing is enabled by default and cannot be disabled. That is, NPR is the default policy routing mode. No configuration tasks are required to enable policy routing in conjunction with CEF, dCEF, or NetFlow. As soon as one of these features is turned on, packets are automatically subject to policy routing in the appropriate switching path.
There is one new, optional configuration command (set ip next-hop verify-availability). This command has the following restrictions:
•It can cause some performance degradation.
•CDP must be configured on the interface.
•The direct next hop must be a Cisco device with CDP enabled.
•It is not available in dCEF, due to the dependency of the CDP neighbor database.
It is assumed that policy routing itself is already configured.
If the router is policy routing packets to the next hop and the next hop happens to be down, the router will try unsuccessfully to use Address Resolution Protocol (ARP) for the next hop (which is down). This behavior will continue forever.
To prevent this situation, you can configure the router to first verify that the next hop(s) of the route map is the router's CDP neighbor(s) before routing to that next hop.
This task is optional because some media or encapsulations do not support CDP, or it may not be a Cisco device that is sending the router traffic.
To configure the router to verify that the next hop is a CDP neighbor before the router tries to policy route to it, use the following command in route-map configuration mode:
Command | Purpose |
|---|---|
set ip next-hop verify-availability | Causes the router to confirm that the next hop(s) of the route map is a CDP neighbor(s) of the router. |
If the command shown is set and the next hop is not a CDP neighbor, the router looks to the subsequent next hop, if there is one. If there is none, the packets simply are not policy routed.
If the command shown is not set, the packets are either successfully policy routed or remain forever unrouted.
If you want to selectively verify availability of only some next hops, you can configure different route-map entries (under the same route-map name) with different criteria (using access list matching or packet size matching), and use the set ip next-hop verify-availability command selectively.
Monitoring NetFlow Policy Routing
Typically, you would use existing policy routing and NetFlow show commands to monitor these features. For more information on these show commands, refer to the policy routing and NetFlow documentation.
To display the route map Inter Processor Communication (IPC) message statistics in the RP or VIP, use the following command in EXEC mode:
Command | Purpose |
|---|---|
show route-map ipc | Displays the route map IPC message statistics in the RP or VIP. |
Config netflow hoac ip accounting to the router interface thi se biet lien. The netflow will show the number of packets in/out since the show command initiated and stats will be disappeared soon after the user terminated their process. With netflow you can tell the layer 4 source or destination port number in Hex, ban phai doi lai Dec hoac la manually hoac la dung Window Calculator. Netflow thi that tien loi de tim ra application (vi du http port 80, telnet port 23, ftp port 20 -21). IP accounting chi cho biet dia chi nguoi goi va nguoi nhan nhung khong cho biet tcp/udp port. Sau khi tim duoc dia chi ip roi thi phan con lai rat la don gian (arp de tim mac addr roi sau do tu mac addr de tim ra switchport). Netflow cung giup minh tim duoc virus 1 cach de dang, bang cach xem tcp/udp port number va so luong processes tren 1 interface. Vi du neu ban thay co multiple processes tu 1 source ip addr va moi lan chi chuyen co 1 packet dent nhieu dia chi cua nguoi nhan thi co the do la vi bi virus.
wwnnyngr01c26(config)#int s1/0
wwnnyngr01c26(config-if)#ip route-cache flow
wwnnyngr01c26#sh ip cache flow | be Sr
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Se1/0.16 10.98.75.4 Local 10.35.195.1 06 CFC2 0017 33
Se1/0.16 10.98.73.2 Fa0/0 10.35.192.245 01 0000 0800 1
Se1/0.16 10.24.58.102 Fa0/0 10.35.192.218 06 07D5 0408 1
Se1/0.16 10.56.98.34 Fa0/0 10.35.192.222 06 07D5 0D40 2
Se1/0.16 10.56.238.23 Fa0/0 10.35.192.218 06 0A26 0D94 2437 >>>
Se1/0.16 10.56.98.32 Fa0/0 10.35.192.222 06 07D5 0CF0 2
Se1/0.16 10.56.162.166 Fa0/0 10.35.192.103 06 0AD1 0087 73
Se1/0.16 10.56.162.166 Fa0/0 10.35.192.102 06 0AD9 0087 67
Se1/0.16 10.53.232.208 Fa0/0 10.35.192.218 06 07D5 0F41 2
Se1/0.16 10.24.59.101 Fa0/0 10.35.192.218 06 07D5 0409 1
Se1/0.16 10.24.59.102 Fa0/0 10.35.192.218 06 07D5 040F 1
Se1/0.16 10.24.59.102 Fa0/0 10.35.192.222 06 07D5 040F 1
Se1/0.16 10.56.232.227 Fa0/0 10.35.192.102 06 0A26 0671 3027 >>>>
