cisco netflow 部署说明

1
NETFLOW支持设备：
Cisco 800, 1700, 2600
Yes
Cisco 1800, 2800, 3800
Yes
Cisco 4500
Yes
Cisco 6500
Yes
Cisco7200, 7300, 7500
Yes
Cisco 7600
Yes
Cisco 10000, 12000, CRS-1
Yes
Cisco 2900, 3500, 3660, 3750
No
netflow是ios平台技术，也就是说路由器全系列都支持，而交换机平台则依赖于IOS版本和支持硬件，例如
Cisco 2900, 3500, 3660, 3750就不支持
我们关注交换网络核心设备：
6500/7600 系列：
1 启动netflowSwitch(config)# mls netflow
2 启动netflow 的双向流量
Switch(config)# mls flow ip destination-source 后面可接其他参数
3、进入VLAN，启动接口Netflow（如果在物理接口上其3层，则直接进入物理接口）
Switch(config)# interface vlan 5
Switch(config-if)# ip flow-export ingress-----此处为ingress 可以配置engress 依赖ios版本
Switch(config-if)# ip route-cache flow
4 配置Netflow的数据源，如果没有配置Loopback的接口，可以采用物理
接口，建议配置Loopback接口Switch(config)# ip flow-export source loopback 0
5 配置统计信息的输出目的，即采集服务器的ip和监听端口
(config)#ip flow-export 10.1.200.201 9991
7. 配置输出版本，目前可支持版本1和5
(config)#ip flow-export version 5
下面为参考命令：
Switch# show mls nde一般看到都是Netflow Data Export disabled 这说明Netflow都没有起来。

参看Cisco 《Configuring NetFlow Data Export》PDf文档，默认是Disabled的
启动NDE发送以及发送版本Switch(config)# mls nde sender [version {5 | 7}] 如果只输入mls nde sender 系统默认启用的是版本7，如果需要版本5，则mls nde sender version 5 ，目前版本能配的是5或7，这两个版本WEB均能出现正常的数据。

对于Cisco IOS 12.17以下版本的交换机，只有版本7。

参考部分用户反映netflow网管机器，没有收到数据包，可参考上面命令酌情配置，未必有效
4500 系列：
1 配置Netflow的数据源，如果没有配置Loopback的接口，可以采用物理接口，建议配置Loopback接口Switch(config)# ip flow-export source loopback 0
2 配置统计信息的输出目的，即采集服务器的ip和监听端口
(config)#ip flow-export 10.1.200.201 9991
3. 配置输出版本，目前可支持版本1和5
(config)#ip flow-export version 5
4. 设置路由器中flow cache的过期时限，建议按照以下配置：活动连接的时限为1分钟（即活动的连接每隔1分钟发送该连接的数据流量统计信息），非活动连接的时限为10秒钟。

(config)#ip flow-cache time active 1
(config)#ip flow-cache time inactive 10
(config)#ip flow-cache active-timeout 30
5部分Cisco4500就不支持，也就是它不能在某个Interface配置打开
Netflow，要么所有端口启用，要么都不启用，重要的无法区分不同Interface上的流量情况，只能看到整个设备所有的流量情况，只能在全局模式下开启：
Switch(config)# ip flow ingress infer-fields
如果可以在接口上使用：
那么进入VLAN，启动接口Netflow（如果在物理接口上其3层，则直接进入物理接口）
Switch(config)# interface vlan 5
Switch(config-if)# ip route-cache flow
下面cisco官方说明：
--------------------------------------------------------------------------------
Note Enabling NetFlow on a per interface basis is not supported on a Catalyst 4500 switch.
--------------------------------------------------------------------------------
This example shows how to enable NetFlow globally:
Switch# configure terminal
Switch(config)# ip flow ingress
This example shows how to enable NetFlow with support for inferred fields: Switch# configure terminal
Switch(config)# ip flow ingress infer-fields
netflow 总结
1：Netflow released Version：（Netflow based UDP）
V9：和V8/5/1不兼容，最大的Feature就是template，具有extensible：但是也因为V9是基于template，需要传输额外的模版数据，默认为20：1，占总流量的4%，Device为了维护Template必须消耗更多的资源
V8：只能针对aggregate cache：当你再路由器上开启route-based netflow aggregation，就可以使用V8
V5：只能针对Main cache：（比较常用）：后续增加了BGP AS信息和流序列号信息
V1：最先的发行版本，不再使用：
V2/V3/V4：没有released
V6：not support
很多国际标准多是基于Netflow的：
（IETF) IP Information Export (IPFIX) Working Group (WG) and the IETF Pack Sampling (PSAMP) WG are based on the NetFlow Version 9 export format.
2：配置Netflow的前提：
启用路由功能
开启CEF/DCEF/Fast switch三者选一
确认Device resource，Netflow需要resume additional resource
3：针对Netflow capture traffic：
==>Ingress Netflow
IP to IP
IP to MPLS
FR terminate
ATM terminate
==>Engress Netflow
IP TO IP
MPLS TO IP（MPLS 倒数第二跳）
4：netflow confirm flow with 7 keywords：
S/D IP ； S/D Port ；3层protocol type ；TOS；ingress interface
2
在部署netflow，通常需要考虑部署位置，
在早期IOS版本中，只支持ingress方向数据流统计，对出方向engress不做统计，
例如：
假设一个路由器有两个接口 A和B，由于缺省情况下，Netflow数据统计只针对进入(ingress)数据进行，当你只启用接口A的NetFlow数据输出
时，它只能输出接口A的流入（IN）流量和接口B的流出（OUT）流量。

接口A的流出流量只能由接口B的NetFlow输出数据才能得到。

所以如果不启用接口B的数据输出，将得不到接口A的流出流量信息。

用cisco官方图片实例：
图１
我们看到图中，箭头方向就是数据流动方向，server则是我们部署netflow网管机位置，那么，在那些接口需要开启netflow呢：
从图中，我们可以看到：在图中用椭圆形标注的地方就是需要开启netflow的接口，
从数据流向分析+标注位置，我们发现全是数据流的入接口方向开启。

如果是ＩＯＳ版本支持ｅｎｇｒｅｓｓ方向部署，那么部署位置，则简化许多：
图2
　如上面图2所示。

与图１做比较，发现部署位置，只需要对相应设备做配置即可，不再依赖于接口。

如何判断是否支持出方向ｎｅｔｆｌｏｗ技术，最简单的方法。

能否在接口或者全局模式开启：
Switch(config-if)# ip flow-export engress----------------------
或者 switch(config-if)# ip flow engress
2 谈到 netflow 的排错
使用netflow技术，出现问题，一般集中在netflow 分析仪，没有数据
那么对应我们排错，应该思路应该是：
先检查物理设备上面命令是否开启，开启参数是否正确
确认netflow设备工作正常，检查netflow分析仪，对应接收参数是否有误。

确认上面2步无误情况，检查netflow分析设备和netflow物理设备是否有防火墙，或者其他物理隔绝，阻隔UDP数据包
检查是否是netflow设备开启端口位置不对等等
下面给出对应简单排错方法：
1 需要检查对应平台配置命令，例如对于4500 和6500 平台配置命令，就有所不同，需要查看对应命令，查看配置是否有误。

A 命令show ip flow interface检查接口上面上是否开启netflow
Router# show ip flow interface
Ethernet0/0
ip flow ingress
B 命令 show run 看是否设定输出端口，及ip地址等，
2 确认配置上面没有问题，我们则应该使用IOS相关检测命令，看是否有netflow的输出，和1中提到命令配合：
常用的是 show ip cache flow
show ip flow export
下面给出netflow配置输出检测方法：
1 使用Cisco-4507R#show ip flow export 会出现类似于下面输出；
Flow export v5 is enabled for main cache
Exporting flows to 192.168.1.1 (9995)
Exporting using source interface Loopback0
Version 5 flow records
40 flows exported in 3 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
可间隔10S或者更长时间，重复使用上述命令。

看红色标注部分是否有增长，有增长，可初步判定netflow配置成功。

2 使用show ip cache flow 命令进一步检测netflow输出数据包内容，判断netflow是否配置正确，
我们可以注意到：show ip flow export 只是输出summary信息，而show ip cache flow
则是输出详细数据包分类信息，可以和netflow分析，得到数据对比，从而能近一步判定
Netflow不能正常工作的原因。

3 使用show mls nde 来看，nde是否开启。