NetFlow技术原理.pptx

NetFlow技术简介什么是NetFlowNetFlow版本NetFlow的用途NetFlow七元组NetFlow工作原理Flow Cache老化机制NetFlow 数据记录NetFlow 配置命令说明Cisco7600系列NetFlow相关配置什么是NetFlow1996年，Cisco系统公司的Darren Kerr和Barry Bruins开发了一种流量轮廓监控技术，即NetFlow。作为业界事实标准，NetFlow描述了路由器输出关于被路由套接字对（the routed socket pairs）统计信息的方法。目前Cisco的绝大多数路由器集成了该特性，Juniper、Extreme、华为、华三以及其他厂商也有集成该特性的路由器和交换机；NetFlow版本Netflow?V1，为Netflow技术的第一个实用版本。在如今的实际网络环境中已经不建议使用Netflow?V5，增加了对数据流BGP?AS信息的支持。Netflow?V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。Netflow?V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能，可以大大降低对数据输出的带宽需求。Netflow?V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicast?Netflow，MPLS?Aware?Netflow，BGP?Next?Hop?V9，Netflow?for?IPv6等。NetFlow的用途利用Netflow技术可以监测网络上的IP Flow信息IP Flow信息，可以回答用户的下面问题（5W1H）谁（Who: 源IP地址）什么时候（When——开始时间、结束时间）访问路径（Where）从哪（From：源IP、源端口）到哪（To：目标IP、目标端口）什么应用（What：协议类型、目标IP、目标端口）访问情况如何（How：流量大小、数据包数）是否正常（Why：基线、阀值、特征）NetFlow的用途采集到的netflow流量信息可以帮助进行网络行为分析业务访问情况分析网络规划流量计费病毒检测等等NetFlow七元组NetFlow使用七元组来区分每一个Flow，包括以下字段：源 IP 地址(source IP address)源端口号(source port number)目的 IP 地址(destination IP address)目的端口号(destination port number)协议类(protocol type)服务种类(type of service)输入接口(input logical interface)NetFlow工作原理Flow Cache老化机制流设备每秒检查一次cache,对条目做如下老化（Aging）措施：会话结束(TCP FIN or RST).flow cache 用完，最老的flow信息被输出The inactive timer has expired after 15 seconds of traffic inactivity.The active timer has expired after 30 minutes of traffic activity.老化的Flow信息，采用UDP包发送到采集器使用NetFlow版本V5,V9，一个UDP包最大可包括30个流（Flow）NetFlow 数据记录何去何从Packet CountByte CountSource IP AddressDestination IP Address使用情况Start TimestampEnd TimestampProtocolSource TCP/UDP PortDestination TCP/UDP Port发生时间应 用Input Interface PortOutput Interface Port接口利用率Next Hop AddressSource AS NumberDest. AS NumberSource Prefix MaskDest. Prefix MaskRouting和PeeringQoSType of ServiceTCP Flags一条流记录的部分主要信息index: 0xc1a21router: 192.168.254.2src IP: 192.168.231.55dst IP: 202.112.43.18input ifIndex: 8output ifIndex: 55src port: 12043dst port: 80pkts: 6bytes: 680IP nexthop