NetFlow技术原理

SNMP的基本操作
*Get-Request *Get-NextRequest
*从某变量中Get值
*从表格中Get下一个值 *响应Get操作 *把一数值存入具体变量 *报告事件信息
SNMP的五种基本操作
*Get-Response
*Set-Request *Trap
1. SNMP以GET-SET替代复杂的命令集，利用基本操作演绎出全部操作。
二、接口配置
interface GigabitEthernet2/0/2 ip address 10.0.2.14 255.255.255.252 ip flow ingress mls netflow sampling
三、SNMP配置
snmp-server community public RO snmp ifmib ifindex persist
何去何从
发生时间
应用
接口利用率
• Input Interface Port • Output Interface Port
• Type of Service • TCP Flags
QoS
Routing 和 Peering
一条流记录的部分主要信息
index: 0xc1a21 router: 192.168.254.2 src IP: 192.168.231.55 dst IP: 202.112.43.18 input ifIndex: 8 output ifIndex: 55 src port: 12043 dst port: 80 pkts: 6 bytes: 680 IP nexthop: 202.112.43.20 start time: end time: protocol: tos: src AS: dst AS: src masklen: dst masklen: TCP flags: engine type: engine id:
什么应用（What：协议类型、目标IP、目标端口） 访问情况如何（How：流量大小、数据包数） 是否正常（Why：基线、阀值、特征）
NetFlow的用途
采集到的netflow流量信息可以帮助进行 网络行为分析 业务访问情况分析 网络规划 流量计费 病毒检测 等等
NetFlow的用途
利用Netflow技术可以监测网络上的IP Flow信息 IP Flow信息，可以回答用户的下面问题（5W1H） 谁（Who: 源IP地址） 什么时候（When——开始时间、结束时间） 访问路径（Where）
从哪（From：源IP、源端口） 到哪（To：目标IP、目标端口）
NetFlow技术简介
什么是NetFlow NetFlow版本 NetFlow的用途 NetFlow七元组 NetFlow工作原理 Flow Cache老化机制 NetFlow 数据记录 NetFlow 配置命令说明 Cisco7600系列NetFlow相关配置
什么是NetFlow
11:29:22 2014-2-9 11:29:25 2004-2-9 6 0x0 0 321 20 0 0x1b 1 0
注： Cisco产品配置命令：snmp ifmib ifindex persist 保证设备重启之后，设备的ifindex号保持不变
NetFlow 配置命令说明
全局配置
设置NetFlow的版本: ip flow-export version 9 设置用于输出数据包的源地址： ip flow-export source <接口> 一般设置为:到达目的地（采集设备SinoBaaS）的最佳路由接口 设置输出的目的地： ip flow-export destination <目标 IP> <目标端口>
NetFlow工作原理
Flow Cache老化机制
流设备每秒检查一次cache,对条目做如下老化 （Aging）措施：
会话结束(TCP FIN or RST). flow cache 用完，最老的flow信息被输出 The inactive timer has expired after 15 seconds of traffic inactivity. The active timer has expired after 30 minutes of traffic activity.
1996年，Cisco系统公司的Darren Kerr和Barry Bruins开发了一种流量轮廓监控技术，即 NetFlow。 作为业界事实标准，NetFlow描述了路由器输 出关于被路由套接字对（the routed socket pairs）统计信息的方法。 目前Cisco的绝大多数路由器集成了该特性， Juniper、Extreme、华为、华三以及其他厂商 也有集成该特性的路由器和交换机；
NetFlow版本
Netflow V1，为Netflow技术的第一个实用版本。在如今的 实际网络环境中已经不建议使用 Netflow V5，增加了对数据流BGP AS信息的支持。 Netflow V7，思科Catalyst交换机设备支持的一个Netflow 版本，需要利用交换机的MLS或CEF处理引擎。 Netflow V8，增加了网络设备对Netflow统计数据进行自动 汇聚的功能，可以大大降低对数据输出的带宽需求。 Netflow V9，一种全新的灵活和可扩展的Netflow数据输出 格式，采用了基于模板（Template）的统计数据输出。方 便添加需要输出的数据域和支持多种Netflow新功能，如 Multicast Netflow，MPLS Aware Netflow， BGP Next Hop V9，Netflow for IPv6等。
老化的Flow信息，采用UDP包发送到采集器 使用NetFlow版本V5,V9，一个UDP包最大可 包括30个流（Flow）
NetFlow 数据记录
使用情况
• Packwk.baidu.comt Count • Byte Count
• Start Timestamp • End Timestamp
• Source IP Address • Destination IP Address
Cisco7600系列NetFlow相关配置
一、全局配置
mls flow ip interface-full mls nde sender mls sampling time-based 64
ip flow-capture fragment-offset ip flow-capture packet-length ip flow-capture ttl ip flow-capture icmp ip flow-capture mac-addresses ip flow-export source GigabitEthernet2/0/2 ip flow-export version 9 ip flow-export destination 10.1.52.78 9996
Snmp网管技术简介
网络管理基本知识 SNMP协议模型 SNMP的基本操作 Cisco设备SNMP配置命令
网络管理基本知识
网络设备
执行操作 SNMP
MIB
代 理
通知
管理者
被管对象
管理者：工作站、微机等，一般位于网络系统主干或接近主干的 位置，负责发出管理操作的指令，并接收来自代理的信息 代理：一般位于被管理设备内部，把来自管理者的命令或信息请 求转换为本设备特有的指令，完成管理者的指示，或返回所在设 备的信息。代理也可以主动发送通知给管理者
NetFlow七元组
NetFlow使用七元组来区分每一个Flow，包括 以下字段：
源 IP 地址(source IP address) 源端口号(source port number) 目的 IP 地址(destination IP address) 目的端口号(destination port number) 协议类(protocol type) 服务种类(type of service) 输入接口(input logical interface)
2. 采用管理信息库定义设备的管理信息库（MIB）。
Cisco设备SNMP配置命令
一、Snmp的基本配置命令 snmp-server community public RO 定义Snmp访问密码（Community String）：public 定义Snmp访问密码public为只读操作权限：RO snmp-server community private RW 定义Snmp访问密码private为读写操作权限：RW 二、Snmp访问控制配置命令 用ACL（访问控制列表）来限制对网络设备进行SNMP访问 snmp-server community public RO 1 通过access-list 1 定义允许进行snmp操作的IP地址 ip access-list standard 1 permit host 10.1.52.78 permit host 10.1.52.73 三、保证设备重启之后，设备的ifindex号保持不变 snmp ifmib ifindex persist
接口配置（开启一个接口的 flow switching 功能）
interface e1/0
ip flow ingress ip flow egress（有的设备不可配置，有的设备可配置，但不起作用）
状态查看
show ip cache flow show ip flow export
SNMP协议模型
NMS
UDP port 162
SNMP就是用来规定NMS和 Agent之间是如何传递管理信息 的应用层协议。
Request
Response
Trap
UDP port 161
AGENT
1. 网管站（NMS）对网络设备发送各种查询报文，并接收来自被管设备 的响应及陷阱（trap）报文，将结果显示出来。 2. 代理（agent）是驻留在被管设备上的一个进程，负责接受、处理来自 网管站的请求报文，然后从设备上其他协议模块中取得管理变量的数值， 形成响应报文，反送给NMS。 3 . 在一些紧急情况下，如接口状态发生改变，主动通知NMS（发送陷 阱TRAP报文），实时性较高。
• Protocol • Source TCP/UDP Port • Destination TCP/UDP Port • Next Hop Address • Source AS Number • Dest. AS Number • Source Prefix Mask • Dest. Prefix Mask