理解并演示:思科的netflow功能(200-120新增考点)
理解并實(shí)施思科的netflow功能
? ? NetFlow是Cisco IOS軟件中集成的一種功能,用來(lái)將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中,或者流量監(jiān)管服務(wù)平臺(tái)上,從而提供非常精準(zhǔn)的流量測(cè)量,現(xiàn)在被其他的廠商大規(guī)模地使用。由于網(wǎng)絡(luò)通信具有流動(dòng)性,所以緩存中記錄的NetFlow統(tǒng)計(jì)數(shù)據(jù)通常包含轉(zhuǎn)發(fā)的IP信息。輸出的NetFlow統(tǒng)計(jì)數(shù)據(jù)可用于多種目的,如:網(wǎng)絡(luò)流量核算、網(wǎng)絡(luò)付費(fèi)、網(wǎng)絡(luò)監(jiān)控及商業(yè)目的的數(shù)據(jù)存儲(chǔ)。這些數(shù)據(jù)流中包含來(lái)源和目的的相關(guān)信息,以及端到端會(huì)話使用的協(xié)議和端口。這些信息能幫助IT人員監(jiān)控和調(diào)整網(wǎng)絡(luò)流量,以及面向網(wǎng)絡(luò)有效地分配帶寬。
NetFlow流量統(tǒng)計(jì)平臺(tái)的結(jié)構(gòu)
NetFlow流量統(tǒng)計(jì)平臺(tái)包括3個(gè)主要部分:探測(cè)器、采集器和報(bào)告系統(tǒng)。探測(cè)器是用來(lái)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)的,采集器是用來(lái)收集探測(cè)器傳來(lái)的數(shù)據(jù)的,報(bào)告系統(tǒng)是用來(lái)從采集器收集到的數(shù)據(jù)中產(chǎn)生易讀的報(bào)告的。具體顯示如圖9.107所示。
NetFlow的版本
NetFlow技術(shù)最早是由思科公司于1996年自主研究開發(fā)的。在NetFlow技術(shù)的演進(jìn)過(guò)程中,思科公司一共開發(fā)出了5個(gè)主要的實(shí)用版本。
NetFlow V1:NetFlow技術(shù)的第一個(gè)實(shí)用版本。支持IOS 11.1、11.2、11.3和12.0,但在如今的實(shí)際網(wǎng)絡(luò)環(huán)境中已經(jīng)不建議使用。
NetFlow V5:增加了對(duì)數(shù)據(jù)流BGP AS信息的支持,是當(dāng)前主要的實(shí)際應(yīng)用版本。支持IOS 11.1CA和12.0及其后續(xù)IOS版本。
NetFlow V7:思科Catalyst交換機(jī)設(shè)備支持的一個(gè)NetFlow版本,需要利用交換機(jī)的MLS或CEF處理引擎。
NetFlow V8:增加了網(wǎng)絡(luò)設(shè)備對(duì)NetFlow統(tǒng)計(jì)數(shù)據(jù)進(jìn)行自動(dòng)匯聚的功能(共支持11種數(shù)據(jù)匯聚模式),可以大大降低對(duì)數(shù)據(jù)輸出的帶寬需求。支持IOS12.0(3)T、12.0(3)S、12.1及其后續(xù)IOS版本。
NetFlowV9:一種全新的靈活和可擴(kuò)展的NetFlow數(shù)據(jù)輸出格式,采用了基于模板的統(tǒng)計(jì)數(shù)據(jù)輸出。方便添加需要輸出的數(shù)據(jù)域和支持多種NetFlow新功能,如Multicase NetFlow、MPLS Aware NetFlow、BGP Next Hop V9、NetFlowfor IPv6等,支持IOS12.0(24)S和12.3T及其后續(xù)IOS版本。
演示:利用NetFlow統(tǒng)計(jì)流經(jīng)網(wǎng)絡(luò)設(shè)備的流量
演示目標(biāo):配置路由器與交換機(jī)的NetFlow功能,收集穿越各個(gè)路由器的流量。
演示工具:為了讓整個(gè)實(shí)驗(yàn)的效果更真實(shí),在該演示環(huán)境中,將使用一套第三方的NetFlow Analyzer 5分析系統(tǒng),以方便作NetFlow流量統(tǒng)計(jì)的效果評(píng)估,類似于這樣的流量統(tǒng)計(jì)平臺(tái)系統(tǒng),在Internet上免費(fèi)共享軟件很多,注意,這個(gè)第三方的統(tǒng)計(jì)平臺(tái)的使用不是我們認(rèn)證要求的重點(diǎn),要點(diǎn)是在思科的網(wǎng)絡(luò)設(shè)備配置NetFlow功能。
演示環(huán)境:如圖9.108所示。
背景說(shuō)明:網(wǎng)絡(luò)中的路由器R1、R2與交換機(jī)S1是NetFlow的探測(cè)器,負(fù)責(zé)收集流經(jīng)各個(gè)設(shè)備的網(wǎng)絡(luò)流量。192.168.1.100是NetFlow的采集平臺(tái),負(fù)責(zé)收集各個(gè)探測(cè)器利用NetFlow發(fā)來(lái)的流量標(biāo)本。在本演示實(shí)例中使用“NetFlow Analyzer 5”軟件安裝在192.168.1.100上作為NetFlow的采集平臺(tái)。
演示步驟:
第一步:首先應(yīng)該在啟動(dòng)NetFlow的各個(gè)設(shè)備上配置統(tǒng)一的時(shí)鐘源,以保證NetFlow的收集平臺(tái)顯示數(shù)據(jù)流量時(shí)提供正確的采集時(shí)間。在該演示實(shí)例中,以R1(192.168.2.1)為整個(gè)網(wǎng)絡(luò)提供時(shí)間源,所以clock set指令為設(shè)置R1的實(shí)時(shí)時(shí)間。然后ntp master是R1作為整個(gè)網(wǎng)絡(luò)的時(shí)鐘源。ntp source e1/0是指在作時(shí)鐘消息更新時(shí)的更新源接口是R1的E1/0接口。
配置路由器R1為時(shí)鐘源:
r1#clock set 23:33:00 6 mar 2013
r1(config)#ntp master
r1(config)#ntp source e1/0
第二步:在路由器R2上利用ntp server 192.168.2.1指令指示從192.168.2.1獲得時(shí)鐘來(lái)源,而192.168.2.1正是第一步中R1的E1/0接口地址。
r2(config)#ntpserver 192.168.2.1
配置完路由器R2的時(shí)間來(lái)源后可利用show ntp status指令查看R2獲得時(shí)間來(lái)源的結(jié)果:
r2#show ntp status
Clock is synchronized,stratum9,reference is 192.168.2.1
nominal freq is 250.0000 Hz,actual freqis 250.0000 Hz,precision is 2**18
reference time isCF3D6557.F2564FB5<23:35:51.946 UTC Sat Mar 6 20 2013>
clock offset is 45.8321 msec,root delayis 24.12 msec
root dispersion is 68.41 msec,peerdispersion is 22.55 msec
第三步:在路由器R2上啟動(dòng)NetFlow,指令ip flow-export destination 192.168.1.100 9996指示NetFlow探測(cè)平臺(tái)將收集到的流量發(fā)送到192.168.1.100,使用9996號(hào)端號(hào)進(jìn)行發(fā)送。指令ip flow-export version 5指示開啟NetFlow的5號(hào)版本。在接口配置模式下的ip flow ingress對(duì)進(jìn)入流量進(jìn)行采集;ip flow egress對(duì)出站流量進(jìn)行采集。路由器R1的NetFlow配置與R2相同,這里不再多述。
r2(config)#ipflow-export destination 192.168.1.100 9996
r2(config)#ipflow-export version 5
r2(config)#inte e1/0
r2(config-if)#ipflow ingress
r2(config-if)#ipflow egress
注意:下一個(gè)步驟是配置NetFlow的服務(wù)端,也就是集中采集平臺(tái),注意因?yàn)镹etFlow服務(wù)端的用戶訂制環(huán)境不同,配置界面也有很大的區(qū)別,由于這不是CCNA認(rèn)證課程的核心,所以在下一個(gè)配置步驟中筆者只是演示當(dāng)時(shí)他所使用的NetFlow服務(wù)端,而這個(gè)配置是不具備通用性的。筆者使用的是NetflowAnalyzer 5服務(wù)端軟件。
第四步:在192.168.1.100的主機(jī)上安裝NetFlow的集中采集平臺(tái),以Netflow Analyzer 5軟件平臺(tái)作為集中采集平臺(tái)。下面是安裝過(guò)程中較為關(guān)鍵的參數(shù),如圖9.109所示。Web server后面的8080端口是指該集中采集平臺(tái)以Web頁(yè)面的形式顯示給用戶,頁(yè)面的端口號(hào)為8080。當(dāng)用戶需要查看采集結(jié)果時(shí),在IE瀏覽器中輸入:http://192.168.1.100:8080,就可以訪問到采集平臺(tái)。NetFlow后面的端口號(hào)9996指示接收探測(cè)器發(fā)送流量的端口,該端口必須與命令ip flow-exportdestination 192.168.1.100 9996中的9996相同。當(dāng)出現(xiàn)如圖9.110所示的界面,填寫SNMP的管理參數(shù),這里可保持默認(rèn)參數(shù)不變,直接單擊“Next”按鈕。
第五步:在IE瀏覽器中輸入http://192.168.1.100:8080,訪問采集平臺(tái)。輸入用戶名與密碼就可以進(jìn)入NetFlow的采集平臺(tái),如圖圖9.111所示。
第六步:如圖9.112所示,顯示NetFlow Analyzer 5的初始界面。
第七步:開始測(cè)試NetFlow Analyzer 5與探測(cè)器結(jié)合,集中采集與分析流量的過(guò)程。如圖9.113所示的是R1(192.1681.1)和R2(192.168.2.1)的各個(gè)接口上通過(guò)的數(shù)據(jù)流量。選擇圖中192.168.1.1的“ifinddex2”,并單擊它。在如圖9.114所示的界面中,選擇“目的”選項(xiàng)卡,顯示目的流入的排行榜,并且可以形象地為用戶顯示百分比統(tǒng)計(jì)圖。還可以切換到“會(huì)話”選項(xiàng)卡界面,如圖9.115所示。看出會(huì)話來(lái)源與穿越探測(cè)器的協(xié)議類型與流量分類。在如圖9.115所示的結(jié)果中分析統(tǒng)計(jì)目前共計(jì)有4種流量:一種是路由協(xié)議RIP所使用的流量,發(fā)送該類型流量的源設(shè)備是192.168.2.1(R1)目標(biāo)地址是224.0.0.9;第二種流量是NetFlow本身的采集流量,源地址是192.168.2.1(R1),目標(biāo)是NetFlow的采集平臺(tái)192.168.1.100;第三種流量是NTP時(shí)鐘更新流量,發(fā)送源是192.168.2.1(R1),目標(biāo)地址是192.168.2.2(R2);第四種流量是流經(jīng)192.168.2.1(R1)到192.168.1.100的ICMP流量。
總結(jié)
以上是生活随笔為你收集整理的理解并演示:思科的netflow功能(200-120新增考点)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于wpf窗体中Allowtranspa
- 下一篇: 架构无小事:QQ碰微信 贴吧遇微博