中国电信集团系统集成公司

什么是netflow?
• 理解netflow的关键(core!)
– Flow由7个因素构成(交换机可以略少)
• • • • • • • • Source IP address Destination IP address Source port number Destination port number Protocol type Type of service (ToS) Input interface. 观察上面7个要素可以发现它们可以唯一的标识路由器上的一 个网络连接。
Flow collector 处理流程图
filter
• 什么是filter
• Filter filterA
permit nexthop 202.102.224.136 0.0.0.0
Hale Waihona Puke Baidu
• Filter filterB
deny addr 1.2.0.0 0.0.255.255
permit addr 0.0.0.0 0.0.0.0
Application Routing and Peering
Netflow 工作架构
使设备输出Netflow数据（Data Export）
• 在路由器上配置
– 在全局配置模式下：
ip flow-export source Loopback0 ip flow-export version 5 ip flow-export destination security.zz.ha.cn 9995 ip flow-sampling-mode packet-interval 100
• 读取flow collector的数据，个人感觉华而丌实
– So what is the best?
• You brain! + unix tools(awk,sed,cat …etc)
Flow collector
• 软件的安装
– 很简单，没什么技术含量，请参考软件readme. So….跳过！ ；）
Flow collector
• Config目录下
– nfconfig.file (core!)
配置文件部分内容 • Thread routerport • Aggregation Destport • Period 5 • Port 9995 • State Active • DataSetPath /opt/CSCOnfc/Data • Compression No • Binary No • MaxUsage 500
• Source IP Address • Destination IP Address • Source TCP/UDP Port • Destination TCP/UDP Port
From/To
Time of Day Port Utilization
QoS
• Next Hop Address • Source AS Number • Dest. AS Number • Source Prefix Mask • Dest. Prefix Mask
什么是netflow?
• 谁可以使用netflow • 使用netflow必须是CCNX、CCXE么？
– No,你甚至可以丌懂 路由！
什么是netflow?
• 理解netflow的关键 (core!)
– 问题
• 同一时刻 路由交换设备上的ip流量非常大且杂乱，怎么捕获？ • 面向Flow!! • 面向flow??
– 无论客户在整个ssh过程中做什么动作，工作时间长短，上面的7 个关键点保证了在整个过程中此路由器上这个网络连接是可以唯 一标识的。 – 面向Flow!! 以flow为对象采集数据，如这个“flow”在通讯过程的 总字节数 ，使用的src/dst port, src/dst address等等。
Netflow采集的数据内容
Usage
• Packet Count • Byte Count • Start Timestamp • End Timestamp • Input Interface Port • Output Interface Port • Type of Service • TCP Flags • Protocol
– 端口配置模式下：
• interface e1/0 • ip route-cache flow ［sampled］
Netflow数据收集工具
• Netflow数据收集工具
– Flow collector （cisco的软件包）
Netflow数据分析工具
• Netflow数据分析工具
– FlowAnalyzer （cisco的软件包）
www.aclm8.com
为什么需要netflow?
• 路由器，交换机A在某种意义上是黑盒子 • 管理员丌知道黑盒子里面发生了什么
– 黑盒子里面的数据都在干什么，谁发出的，到哪里去 ，流量大小等等指标
什么是netflow?
• Netflow的作用
– – – – 流量分析和监控 根据流量计费 网络加速 用于安全分析
– – – – – 78|6367|557723|853 80|9836608|864296991|619219 81|8836|790568|433 82|5319|520273|385 83|2695|161981|130
• Bin目录下
– ./nfcollector {status | show-tech | clean | {start|stop} {all|nfcgw|collection}}
Aggregation
• 什么是Aggregation ？
– 是cisco公司定制好的对网络连接监控的内容
• 以DestPort这个Aggregation为例 • Key field: dstport • Value fields: packet count, byte count, flow count
什么是netflow?
• 理解netflow的关键 (core!)
– 例子，客户经过路由器向内部网络ssh登录
• • • • • • • Source IP address Destination IP address Source port number Destination port number Protocol type Type of service (ToS)` Input interface.
– DestPort这个Aggregation通俗的理解：这一段时刻，我 的路由器上的数据包都发往了哪些tcp/udp端口？发到 这些端口的数据的包数，字节大小，总流数目是多少 ？
• 78|6367|557723|853
– FlowCollector Aggregation Schemes里面可以找到所有的 Aggregation
FlowCollector Aggregation Schemes
Flow collector
• 安装好的目录结构
– 注意红色标记
Flow collector
• Data 目录下
– 存放的是输出的netflow记录文件
• （最有价值的记录内容就在这里！；）） • /opt/CSCOnfc/Data/2003_04_21/202.102.224.1/DestPort
Netflow 要点介绍
宫一鸣
本文下载地点 http://security.zz.ha.cn/netflowcore.ppt Apr 22,2003
First of All
• This lecture is not a step-by-step guide, just focuses on the core concept.
• This is the end of NETFLOW CORE lecture