如何在网络设备上配置Netflow

如何在网络设备上配置Netflow,第1张

Windows版Netflow流量采集程序在微软Windows环境下直接运行,中文界面,简洁实用,不用安装,真正的绿色软件。

该软件采集netflow流量信息(思科和凯创等的路由器交换机支持该协议),并在屏幕上实时显示。并能进行日志查询和流量统计。netflow技术在路由器或三层交换机上采集流量信息,然后发送到采集主机,比sniffer等抓包采集方式效率高很多。又不比RMON等方式只有流量统计信息,而netflow带有详细的访问日志。

该程序可用于网络管理时的网络通信日志记录和实时监视,可进行日志查询、流量统计和安全分析,可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。

二、系统要求

1、WINDOWS 2000或WINDOWS XP以上操作系统。

2、INTEL P3 1.0(或相当于)以上CPU,流量大时,建议P4 2.0以上。

3、512MB以上内存,流量大时,建议1GB以上内存。

4、屏幕最佳分辨率为1024x768。

三、程序配置与使用

1、程序不用安装,直接运行即可。运行环境为微软WINDOWS 2000以上操作系统,屏幕最佳分辨率为1024x768。程序运行并接收流量报文后会生成flowlog子目录,存储日志文件。

2、软件注册,请与软件作者联系,将机器码、公司名、用户名、联系电话、电子邮件等告诉程序作者。如未注册,流量记录的ip地址和字节数会随机地显示和存储为“未注册”。

3、流量较大时,可按“关闭监视”“打开监视”按钮,关闭监视后,屏幕不再滚动显示流量记录,这可提高流量采集速度,但记录已存储在磁盘上,不影响查询和流量统计分析。

四、思科CISCO系列路由器交换机NETFLOW配置

1、config全局状态下配置netflow版本:

(config)#ip flow-export version 5

此命令将netflow配置为版本5。

本程序暂时只支持netflow版本V1、V5。

2、config全局状态下配置netflow服务器地址和端口号:

(config)#ip flow-export destination xxx.xxx.xxx.xxx 55888

其中,xxx.xxx.xxx.xxx为netflow服务器地址,即运行该程序的主机的IP地址,55888为服务端口号。

3、在CISCO系列路由器交换机每个接口上(例如interface fastethernet0/0;interface fastethernet0/1等)配置:

(config-if)#ip route-cache flow

4、Config全局状态下设置时区

(config)#clock timezone Beijing 8

此命令配置为北京时间,+8时区。

5、enable状态下设置日期时间

#clock set 17:05:00 6 aug 2003

此命令配置为2003年8月6日17时05分00秒。

注意:要先配时区,后设置日期时间。同时,接收netflow报文的计算机也要配置成相应的时区。有的cisco机型掉电后,需重新设置日期和时间。

凯创等其它型号netflow的配置方法请见相应产品的说明书。

五、采集字段说明

1、日期

该条流记录发生的日期,该程序采集的流量日期由路由器输出,请正确设置路由器的日期和时间。

2、流开始时间

路由器输出的该条流记录开始的时间,普通版精确到秒,标准版以上精确到千分之一秒。

3、流结束时间

路由器输出的该条流记录结束的时间,普通版精确到秒,标准版以上精确到千分之一秒。

4、源ip地址

该条流记录发送方的ip地址。

5、目的ip地址

该条流记录接收方的ip地址。

6、源掩码长度

该条流记录发送方ip地址的掩码长度。

7、目的掩码长度

该条流记录接收方ip地址的掩码长度。

8、源端口号

该条流记录放送方的网络协议端口号。

9、目的端口号

该条流记录接收方的网络协议端口号。

10、协议

该条流记录使用的网络协议,为方便监视查看,在此已转化为udp、tcp、icmp...等字符形式。

11、TOS服务位

该条流记录IP封包的标头TOS(type-of-service)服务类型字段。为方便监视查看,在此已转化为二进制位形式。

服务类型(TOS)字段由8位组成,前3位为优先权子字段(现在已被忽略),第4位到第7位的含义分别为:最小延时,最大处理量,最大可靠度和最小花费,最后第8位固定为0。如果全为0,则表示正常运行,不做封包的特殊处理。

12、TCP标记位

该条流记录的TCP-FLAGS字段。为方便监视查看,在此已转化为二进制位形式。

TCP-FLAGS字段由6位组成,从左到右分别为URG、ACK、PSH、RST、SYN、FIN等。

U R G :紧急指针有效。

A C K :确认序号有效。非TCP协议此位也置1。

P S H :接收方应该尽快将这个报文段交给应用层。

R S T :重建连接。

S Y N :同步序号,用来发起一个连接。

F I N :发端完成发送任务。

13、包数

该条流记录数据传输的包个数。

14、字节数

该条流记录数据传输的字节数。

15、源自治区号

该条流记录发送方的路由协议自治区号。

16、目的自治区号

该条流记录接收方的路由协议自治区号。

17、物理入口

该条流记录从netflow输出设备(路由器)进入的物理端口号。

cisco2600的 fastethernet0/0端口编号为1,

fastethernet0/1端口编号为2。

18、物理出口

该条流记录从netflow输出设备(路由器)出去的物理端口号。

cisco2600的 fastethernet0/0端口编号为1,

fastethernet0/1端口编号为2。

19、下一跳路由地址

该条流记录从netflow输出设备(路由器)出去的下一个目的或中间路由器地址。

20、netflow输出地址

该条流记录的netflow输出设备(路由器)的地址。当流量记录从多个netflow输出设备发来的,该字段能用于区分不同的netflow输出设备。不过流量很大时,最好一台采集主机只接收一台netflow输出设备发来的流量记录。

21、netflow版本号

该条流记录的netflow版本号。

六、重要注意事项

1、流量太大时,采集主机配置尽量高,CPU P4 2.8以上,内存1G以上,120G以上高速硬盘。

2、流量太大时,采集主机尽量不要运行其它应用程序,特别是其它网络应用程序。

3、超过每分钟1万个流量记录时(一个网络通信从创建连接到关闭,一般产生一个流量记录,例如一个几百兆的下载可能只生成一个流量记录),由于屏幕显示是一个输出瓶颈,为保证采集效率,应关闭实时监视。关闭实时监视后,采集能力将有几十倍的提高(具体视主机和网络速度而定)。同时,在电源管理中关闭显示器,采集能力也有所提高。

4、流量太大时,不要把多个路由器(交换机)的流量信息发到一个采集器。

5、流量太大时,不要在流量采集的机器上进行查询和统计。可将包含此流量采集程序的文件夹及其生成的flowlog日志文件夹拷贝到另一台主机上 ,在另一台主机上进行查询和统计,日志查询和流量统计不需注册码。

6、为保证流量采集,流量采集线程优先级最高,查询和统计优先级较低,采集繁忙时,在采集主机上查询和统计很费时,这时,也可按“暂停采集”按钮停止采集,不过要丢失暂停期间的流量记录。

7、日志文件较大,拷贝和保存时,可先压缩,压缩率可达20倍左右。该程序每小时存储一个流量记录文件。拷贝时不要拷贝当前正记录的这一个小时的流量记录文件。该程序以起始时间进行记录、查询和统计,一条流量记录的起始和结束时间可能差的较远,因此,当发生上一个小时发起,下一个小时结束并发出流量记录的时候,还会打开上一个小时的日志文件,因此最好不要拷贝或手工打开最近两个小时的日志文件。

8、流量特大时的处理能力是否足够,请自行试用。

Windows版Netflow流量采集程序在微软Windows环境下直接运行,中文界面,简洁实用,不用安装,真正的绿色软件。

该软件采集netflow流量信息(思科和凯创等的路由器交换机支持该协议),并在屏幕上实时显示。并能进行日志查询和流量统计。netflow技术在路由器或三层交换机上采集流量信息,然后发送到采集主机,比sniffer等抓包采集方式效率高很多。又不比RMON等方式只有流量统计信息,而netflow带有详细的访问日志。

该程序可用于网络管理时的网络通信日志记录和实时监视,可进行日志查询、流量统计和安全分析,可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。

二、系统要求

1、WINDOWS 2000或WINDOWS XP以上操作系统。

2、INTEL P3 1.0(或相当于)以上CPU,流量大时,建议P4 2.0以上。

3、512MB以上内存,流量大时,建议1GB以上内存。

4、屏幕最佳分辨率为1024x768。

三、程序配置与使用

1、程序不用安装,直接运行即可。运行环境为微软WINDOWS 2000以上操作系统,屏幕最佳分辨率为1024x768。程序运行并接收流量报文后会生成flowlog子目录,存储日志文件。

2、软件注册,请与软件作者联系,将机器码、公司名、用户名、联系电话、电子邮件等告诉程序作者。如未注册,流量记录的ip地址和字节数会随机地显示和存储为“未注册”。

3、流量较大时,可按“关闭监视”“打开监视”按钮,关闭监视后,屏幕不再滚动显示流量记录,这可提高流量采集速度,但记录已存储在磁盘上,不影响查询和流量统计分析。

四、思科CISCO系列路由器交换机NETFLOW配置

1、config全局状态下配置netflow版本:

(config)#ip flow-export version 5

此命令将netflow配置为版本5。

本程序暂时只支持netflow版本V1、V5。

2、config全局状态下配置netflow服务器地址和端口号:

(config)#ip flow-export destination xxx.xxx.xxx.xxx 55888

其中,xxx.xxx.xxx.xxx为netflow服务器地址,即运行该程序的主机的IP地址,55888为服务端口号。

3、在CISCO系列路由器交换机每个接口上(例如interface fastethernet0/0;interface fastethernet0/1等)配置:

(config-if)#ip route-cache flow

4、Config全局状态下设置时区

(config)#clock timezone Beijing 8

此命令配置为北京时间,+8时区。

5、enable状态下设置日期时间

#clock set 17:05:00 6 aug 2003

此命令配置为2003年8月6日17时05分00秒。

注意:要先配时区,后设置日期时间。同时,接收netflow报文的计算机也要配置成相应的时区。有的cisco机型掉电后,需重新设置日期和时间。

凯创等其它型号netflow的配置方法请见相应产品的说明书。

五、采集字段说明

1、日期

该条流记录发生的日期,该程序采集的流量日期由路由器输出,请正确设置路由器的日期和时间。

2、流开始时间

路由器输出的该条流记录开始的时间,普通版精确到秒,标准版以上精确到千分之一秒。

3、流结束时间

路由器输出的该条流记录结束的时间,普通版精确到秒,标准版以上精确到千分之一秒。

4、源ip地址

该条流记录发送方的ip地址。

5、目的ip地址

该条流记录接收方的ip地址。

6、源掩码长度

该条流记录发送方ip地址的掩码长度。

7、目的掩码长度

该条流记录接收方ip地址的掩码长度。

8、源端口号

该条流记录放送方的网络协议端口号。

9、目的端口号

该条流记录接收方的网络协议端口号。

10、协议

该条流记录使用的网络协议,为方便监视查看,在此已转化为udp、tcp、icmp...等字符形式。

11、TOS服务位

该条流记录IP封包的标头TOS(type-of-service)服务类型字段。为方便监视查看,在此已转化为二进制位形式。

服务类型(TOS)字段由8位组成,前3位为优先权子字段(现在已被忽略),第4位到第7位的含义分别为:最小延时,最大处理量,最大可靠度和最小花费,最后第8位固定为0。如果全为0,则表示正常运行,不做封包的特殊处理。

12、TCP标记位

该条流记录的TCP-FLAGS字段。为方便监视查看,在此已转化为二进制位形式。

TCP-FLAGS字段由6位组成,从左到右分别为URG、ACK、PSH、RST、SYN、FIN等。

U R G :紧急指针有效。

A C K :确认序号有效。非TCP协议此位也置1。

P S H :接收方应该尽快将这个报文段交给应用层。

R S T :重建连接。

S Y N :同步序号,用来发起一个连接。

F I N :发端完成发送任务。

13、包数

该条流记录数据传输的包个数。

14、字节数

该条流记录数据传输的字节数。

15、源自治区号

该条流记录发送方的路由协议自治区号。

16、目的自治区号

该条流记录接收方的路由协议自治区号。

17、物理入口

该条流记录从netflow输出设备(路由器)进入的物理端口号。

cisco2600的 fastethernet0/0端口编号为1,

fastethernet0/1端口编号为2。

18、物理出口

该条流记录从netflow输出设备(路由器)出去的物理端口号。

cisco2600的 fastethernet0/0端口编号为1,

fastethernet0/1端口编号为2。

19、下一跳路由地址

该条流记录从netflow输出设备(路由器)出去的下一个目的或中间路由器地址。

20、netflow输出地址

该条流记录的netflow输出设备(路由器)的地址。当流量记录从多个netflow输出设备发来的,该字段能用于区分不同的netflow输出设备。不过流量很大时,最好一台采集主机只接收一台netflow输出设备发来的流量记录。

21、netflow版本号

该条流记录的netflow版本号。

六、重要注意事项

1、流量太大时,采集主机配置尽量高,CPU P4 2.8以上,内存1G以上,120G以上高速硬盘。

2、流量太大时,采集主机尽量不要运行其它应用程序,特别是其它网络应用程序。

3、超过每分钟1万个流量记录时(一个网络通信从创建连接到关闭,一般产生一个流量记录,例如一个几百兆的下载可能只生成一个流量记录),由于屏幕显示是一个输出瓶颈,为保证采集效率,应关闭实时监视。关闭实时监视后,采集能力将有几十倍的提高(具体视主机和网络速度而定)。同时,在电源管理中关闭显示器,采集能力也有所提高。

4、流量太大时,不要把多个路由器(交换机)的流量信息发到一个采集器。

5、流量太大时,不要在流量采集的机器上进行查询和统计。可将包含此流量采集程序的文件夹及其生成的flowlog日志文件夹拷贝到另一台主机上 ,在另一台主机上进行查询和统计,日志查询和流量统计不需注册码。

6、为保证流量采集,流量采集线程优先级最高,查询和统计优先级较低,采集繁忙时,在采集主机上查询和统计很费时,这时,也可按“暂停采集”按钮停止采集,不过要丢失暂停期间的流量记录。

7、日志文件较大,拷贝和保存时,可先压缩,压缩率可达20倍左右。该程序每小时存储一个流量记录文件。拷贝时不要拷贝当前正记录的这一个小时的流量记录文件。该程序以起始时间进行记录、查询和统计,一条流量记录的起始和结束时间可能差的较远,因此,当发生上一个小时发起,下一个小时结束并发出流量记录的时候,还会打开上一个小时的日志文件,因此最好不要拷贝或手工打开最近两个小时的日志文件。

8、流量特大时的处理能力是否足够,请自行试用。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/357229.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-09
下一篇2023-05-09

发表评论

登录后才能评论

评论列表(0条)

    保存