该软件采集netflow流量信息(思科和凯创等的路由器交换机支持该协议),并在屏幕上实时显示。并能进行日志查询和流量统计。netflow技术在路由器或三层交换机上采集流量信息,然后发送到采集主机,比sniffer等抓包采集方式效率高很多。又不比RMON等方式只有流量统计信息,而netflow带有详细的访问日志。
该程序可用于网络管理时的网络通信日志记录和实时监视,可进行日志查询、流量统计和安全分析,可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。
二、系统要求
1、WINDOWS 2000或WINDOWS XP以上操作系统。
2、INTEL P3 1.0(或相当于)以上CPU,流量大时,建议P4 2.0以上。
3、512MB以上内存,流量大时,建议1GB以上内存。
4、屏幕最佳分辨率为1024x768。
三、程序配置与使用
1、程序不用安装,直接运行即可。运行环境为微软WINDOWS 2000以上操作系统,屏幕最佳分辨率为1024x768。程序运行并接收流量报文后会生成flowlog子目录,存储日志文件。
2、软件注册,请与软件作者联系,将机器码、公司名、用户名、联系电话、电子邮件等告诉程序作者。如未注册,流量记录的ip地址和字节数会随机地显示和存储为“未注册”。
3、流量较大时,可按“关闭监视”“打开监视”按钮,关闭监视后,屏幕不再滚动显示流量记录,这可提高流量采集速度,但记录已存储在磁盘上,不影响查询和流量统计分析。
四、思科CISCO系列路由器交换机NETFLOW配置
1、config全局状态下配置netflow版本:
(config)#ip flow-export version 5
此命令将netflow配置为版本5。
本程序暂时只支持netflow版本V1、V5。
2、config全局状态下配置netflow服务器地址和端口号:
(config)#ip flow-export destination xxx.xxx.xxx.xxx 55888
其中,xxx.xxx.xxx.xxx为netflow服务器地址,即运行该程序的主机的IP地址,55888为服务端口号。
3、在CISCO系列路由器交换机每个接口上(例如interface fastethernet0/0;interface fastethernet0/1等)配置:
(config-if)#ip route-cache flow
4、Config全局状态下设置时区
(config)#clock timezone Beijing 8
此命令配置为北京时间,+8时区。
5、enable状态下设置日期时间
#clock set 17:05:00 6 aug 2003
此命令配置为2003年8月6日17时05分00秒。
注意:要先配时区,后设置日期时间。同时,接收netflow报文的计算机也要配置成相应的时区。有的cisco机型掉电后,需重新设置日期和时间。
凯创等其它型号netflow的配置方法请见相应产品的说明书。
五、采集字段说明
1、日期
该条流记录发生的日期,该程序采集的流量日期由路由器输出,请正确设置路由器的日期和时间。
2、流开始时间
路由器输出的该条流记录开始的时间,普通版精确到秒,标准版以上精确到千分之一秒。
3、流结束时间
路由器输出的该条流记录结束的时间,普通版精确到秒,标准版以上精确到千分之一秒。
4、源ip地址
该条流记录发送方的ip地址。
5、目的ip地址
该条流记录接收方的ip地址。
6、源掩码长度
该条流记录发送方ip地址的掩码长度。
7、目的掩码长度
该条流记录接收方ip地址的掩码长度。
8、源端口号
该条流记录放送方的网络协议端口号。
9、目的端口号
该条流记录接收方的网络协议端口号。
10、协议
该条流记录使用的网络协议,为方便监视查看,在此已转化为udp、tcp、icmp...等字符形式。
11、TOS服务位
该条流记录IP封包的标头TOS(type-of-service)服务类型字段。为方便监视查看,在此已转化为二进制位形式。
服务类型(TOS)字段由8位组成,前3位为优先权子字段(现在已被忽略),第4位到第7位的含义分别为:最小延时,最大处理量,最大可靠度和最小花费,最后第8位固定为0。如果全为0,则表示正常运行,不做封包的特殊处理。
12、TCP标记位
该条流记录的TCP-FLAGS字段。为方便监视查看,在此已转化为二进制位形式。
TCP-FLAGS字段由6位组成,从左到右分别为URG、ACK、PSH、RST、SYN、FIN等。
U R G :紧急指针有效。
A C K :确认序号有效。非TCP协议此位也置1。
P S H :接收方应该尽快将这个报文段交给应用层。
R S T :重建连接。
S Y N :同步序号,用来发起一个连接。
F I N :发端完成发送任务。
13、包数
该条流记录数据传输的包个数。
14、字节数
该条流记录数据传输的字节数。
15、源自治区号
该条流记录发送方的路由协议自治区号。
16、目的自治区号
该条流记录接收方的路由协议自治区号。
17、物理入口
该条流记录从netflow输出设备(路由器)进入的物理端口号。
cisco2600的 fastethernet0/0端口编号为1,
fastethernet0/1端口编号为2。
18、物理出口
该条流记录从netflow输出设备(路由器)出去的物理端口号。
cisco2600的 fastethernet0/0端口编号为1,
fastethernet0/1端口编号为2。
19、下一跳路由地址
该条流记录从netflow输出设备(路由器)出去的下一个目的或中间路由器地址。
20、netflow输出地址
该条流记录的netflow输出设备(路由器)的地址。当流量记录从多个netflow输出设备发来的,该字段能用于区分不同的netflow输出设备。不过流量很大时,最好一台采集主机只接收一台netflow输出设备发来的流量记录。
21、netflow版本号
该条流记录的netflow版本号。
六、重要注意事项
1、流量太大时,采集主机配置尽量高,CPU P4 2.8以上,内存1G以上,120G以上高速硬盘。
2、流量太大时,采集主机尽量不要运行其它应用程序,特别是其它网络应用程序。
3、超过每分钟1万个流量记录时(一个网络通信从创建连接到关闭,一般产生一个流量记录,例如一个几百兆的下载可能只生成一个流量记录),由于屏幕显示是一个输出瓶颈,为保证采集效率,应关闭实时监视。关闭实时监视后,采集能力将有几十倍的提高(具体视主机和网络速度而定)。同时,在电源管理中关闭显示器,采集能力也有所提高。
4、流量太大时,不要把多个路由器(交换机)的流量信息发到一个采集器。
5、流量太大时,不要在流量采集的机器上进行查询和统计。可将包含此流量采集程序的文件夹及其生成的flowlog日志文件夹拷贝到另一台主机上 ,在另一台主机上进行查询和统计,日志查询和流量统计不需注册码。
6、为保证流量采集,流量采集线程优先级最高,查询和统计优先级较低,采集繁忙时,在采集主机上查询和统计很费时,这时,也可按“暂停采集”按钮停止采集,不过要丢失暂停期间的流量记录。
7、日志文件较大,拷贝和保存时,可先压缩,压缩率可达20倍左右。该程序每小时存储一个流量记录文件。拷贝时不要拷贝当前正记录的这一个小时的流量记录文件。该程序以起始时间进行记录、查询和统计,一条流量记录的起始和结束时间可能差的较远,因此,当发生上一个小时发起,下一个小时结束并发出流量记录的时候,还会打开上一个小时的日志文件,因此最好不要拷贝或手工打开最近两个小时的日志文件。
8、流量特大时的处理能力是否足够,请自行试用。
Windows版Netflow流量采集程序在微软Windows环境下直接运行,中文界面,简洁实用,不用安装,真正的绿色软件。该软件采集netflow流量信息(思科和凯创等的路由器交换机支持该协议),并在屏幕上实时显示。并能进行日志查询和流量统计。netflow技术在路由器或三层交换机上采集流量信息,然后发送到采集主机,比sniffer等抓包采集方式效率高很多。又不比RMON等方式只有流量统计信息,而netflow带有详细的访问日志。
该程序可用于网络管理时的网络通信日志记录和实时监视,可进行日志查询、流量统计和安全分析,可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。
二、系统要求
1、WINDOWS 2000或WINDOWS XP以上操作系统。
2、INTEL P3 1.0(或相当于)以上CPU,流量大时,建议P4 2.0以上。
3、512MB以上内存,流量大时,建议1GB以上内存。
4、屏幕最佳分辨率为1024x768。
三、程序配置与使用
1、程序不用安装,直接运行即可。运行环境为微软WINDOWS 2000以上操作系统,屏幕最佳分辨率为1024x768。程序运行并接收流量报文后会生成flowlog子目录,存储日志文件。
2、软件注册,请与软件作者联系,将机器码、公司名、用户名、联系电话、电子邮件等告诉程序作者。如未注册,流量记录的ip地址和字节数会随机地显示和存储为“未注册”。
3、流量较大时,可按“关闭监视”“打开监视”按钮,关闭监视后,屏幕不再滚动显示流量记录,这可提高流量采集速度,但记录已存储在磁盘上,不影响查询和流量统计分析。
四、思科CISCO系列路由器交换机NETFLOW配置
1、config全局状态下配置netflow版本:
(config)#ip flow-export version 5
此命令将netflow配置为版本5。
本程序暂时只支持netflow版本V1、V5。
2、config全局状态下配置netflow服务器地址和端口号:
(config)#ip flow-export destination xxx.xxx.xxx.xxx 55888
其中,xxx.xxx.xxx.xxx为netflow服务器地址,即运行该程序的主机的IP地址,55888为服务端口号。
3、在CISCO系列路由器交换机每个接口上(例如interface fastethernet0/0;interface fastethernet0/1等)配置:
(config-if)#ip route-cache flow
4、Config全局状态下设置时区
(config)#clock timezone Beijing 8
此命令配置为北京时间,+8时区。
5、enable状态下设置日期时间
#clock set 17:05:00 6 aug 2003
此命令配置为2003年8月6日17时05分00秒。
注意:要先配时区,后设置日期时间。同时,接收netflow报文的计算机也要配置成相应的时区。有的cisco机型掉电后,需重新设置日期和时间。
凯创等其它型号netflow的配置方法请见相应产品的说明书。
五、采集字段说明
1、日期
该条流记录发生的日期,该程序采集的流量日期由路由器输出,请正确设置路由器的日期和时间。
2、流开始时间
路由器输出的该条流记录开始的时间,普通版精确到秒,标准版以上精确到千分之一秒。
3、流结束时间
路由器输出的该条流记录结束的时间,普通版精确到秒,标准版以上精确到千分之一秒。
4、源ip地址
该条流记录发送方的ip地址。
5、目的ip地址
该条流记录接收方的ip地址。
6、源掩码长度
该条流记录发送方ip地址的掩码长度。
7、目的掩码长度
该条流记录接收方ip地址的掩码长度。
8、源端口号
该条流记录放送方的网络协议端口号。
9、目的端口号
该条流记录接收方的网络协议端口号。
10、协议
该条流记录使用的网络协议,为方便监视查看,在此已转化为udp、tcp、icmp...等字符形式。
11、TOS服务位
该条流记录IP封包的标头TOS(type-of-service)服务类型字段。为方便监视查看,在此已转化为二进制位形式。
服务类型(TOS)字段由8位组成,前3位为优先权子字段(现在已被忽略),第4位到第7位的含义分别为:最小延时,最大处理量,最大可靠度和最小花费,最后第8位固定为0。如果全为0,则表示正常运行,不做封包的特殊处理。
12、TCP标记位
该条流记录的TCP-FLAGS字段。为方便监视查看,在此已转化为二进制位形式。
TCP-FLAGS字段由6位组成,从左到右分别为URG、ACK、PSH、RST、SYN、FIN等。
U R G :紧急指针有效。
A C K :确认序号有效。非TCP协议此位也置1。
P S H :接收方应该尽快将这个报文段交给应用层。
R S T :重建连接。
S Y N :同步序号,用来发起一个连接。
F I N :发端完成发送任务。
13、包数
该条流记录数据传输的包个数。
14、字节数
该条流记录数据传输的字节数。
15、源自治区号
该条流记录发送方的路由协议自治区号。
16、目的自治区号
该条流记录接收方的路由协议自治区号。
17、物理入口
该条流记录从netflow输出设备(路由器)进入的物理端口号。
cisco2600的 fastethernet0/0端口编号为1,
fastethernet0/1端口编号为2。
18、物理出口
该条流记录从netflow输出设备(路由器)出去的物理端口号。
cisco2600的 fastethernet0/0端口编号为1,
fastethernet0/1端口编号为2。
19、下一跳路由地址
该条流记录从netflow输出设备(路由器)出去的下一个目的或中间路由器地址。
20、netflow输出地址
该条流记录的netflow输出设备(路由器)的地址。当流量记录从多个netflow输出设备发来的,该字段能用于区分不同的netflow输出设备。不过流量很大时,最好一台采集主机只接收一台netflow输出设备发来的流量记录。
21、netflow版本号
该条流记录的netflow版本号。
六、重要注意事项
1、流量太大时,采集主机配置尽量高,CPU P4 2.8以上,内存1G以上,120G以上高速硬盘。
2、流量太大时,采集主机尽量不要运行其它应用程序,特别是其它网络应用程序。
3、超过每分钟1万个流量记录时(一个网络通信从创建连接到关闭,一般产生一个流量记录,例如一个几百兆的下载可能只生成一个流量记录),由于屏幕显示是一个输出瓶颈,为保证采集效率,应关闭实时监视。关闭实时监视后,采集能力将有几十倍的提高(具体视主机和网络速度而定)。同时,在电源管理中关闭显示器,采集能力也有所提高。
4、流量太大时,不要把多个路由器(交换机)的流量信息发到一个采集器。
5、流量太大时,不要在流量采集的机器上进行查询和统计。可将包含此流量采集程序的文件夹及其生成的flowlog日志文件夹拷贝到另一台主机上 ,在另一台主机上进行查询和统计,日志查询和流量统计不需注册码。
6、为保证流量采集,流量采集线程优先级最高,查询和统计优先级较低,采集繁忙时,在采集主机上查询和统计很费时,这时,也可按“暂停采集”按钮停止采集,不过要丢失暂停期间的流量记录。
7、日志文件较大,拷贝和保存时,可先压缩,压缩率可达20倍左右。该程序每小时存储一个流量记录文件。拷贝时不要拷贝当前正记录的这一个小时的流量记录文件。该程序以起始时间进行记录、查询和统计,一条流量记录的起始和结束时间可能差的较远,因此,当发生上一个小时发起,下一个小时结束并发出流量记录的时候,还会打开上一个小时的日志文件,因此最好不要拷贝或手工打开最近两个小时的日志文件。
8、流量特大时的处理能力是否足够,请自行试用。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)