1、NetFlow介绍

  • 提供高层次的诊断,分类和识别网络异常。
  • 使用NetFlow来检查哪些行为改变明显的攻击是非常有效的。
  • 就像Wiretap一样捕获数据包。
  • NetFlow像电话账单。(谁和谁在通话,通过什么协议和端口,多长时间,速度如何,持续多久等)
  • 路由器和交换机作为一个流量遥感器,推送流量信息到NetFlow Collector(流量收集器)。

NetFlow和Flexible NetFlow

一个流是一组拥有相同键值的数据包(7键值:源目端口、源目IP、协议、接口和CoS(TLV))

键决定了什么是流,非键是我们要收集的是什么。

灵活的NetFlow支持对键值和非键值的自定义,而标准的NetFlow是不允许修改键值的。

灵活的NetFlow的优势:

①高扩展性,可汇聚的高容量的流信息。

②增强的流架构,专注于额外的安全监控能力。

③灵活的键值和非键值配置。

④export format

⑤全方位的IP和BGP的记账。

2、NetFlow的版本和用途

版本5是标准的NetFlow,而版本9是灵活的NetFlow。

用途:

网络监控、应用监控和分析、用户监控和分析、网络规划和分析、安全分析、记账和审计。

Cisco IOS Flexible NetFlow Technology Q&A

https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/flexible-netflow/prod_qas0900aecd804be091.html

3、NetFlow组件和配置:

组件:

①定义NetFlow要收集的信息(Key和nonkey)

②汇聚Record和Exporter并且调用到接口

③定义导出NetFlow的目的和版本

④定义流量的采样

配置:

①创建一个NetFlow的输出目的

R1(config)#flow exporter Net-Exporter 
R1(config-flow-exporter)#destination 192.168.1.100  <<<收集器的地址
R1(config-flow-exporter)#transport udp 9999  <<<端口号自己定义,但是和收集器上保持一致
R1(config-flow-exporter)#export-protocol netflow-v9

②创建一个自定义的流量记录

match后面配置的是“键”;collect后面配置的是“非键”。
R1(config)#flow record Net-Record
R1(config-flow-record)#match ipv4 source address <<<匹配的是源目IP
R1(config-flow-record)#match ipv4 destination address
R1(config-flow-record)#collect counter bytes <<<收集字节计数

③创建一个流量监控
R1(config)#flow monitor Monitor01 <<<定义监控名
R1(config-flow-monitor)#record Net-Record <<<调用自定义流量记录
R1(config-flow-monitor)#exporter Net-Exporter

④再创建一个流量监控

R1(config)#flow monitor Monitor02
R1(config-flow-monitor)#record netflow ipv4 original-input <<<定义记录类型:经典NetFlow
R1(config-flow-monitor)#exporter Net-Exporter <<<为监控指派NetFlow的输出

⑤接口下面调用

内部接口:
R1(config)#int f0/0
R1(config-if)#ip flow monitor Monitor01 input

外部接口:
R1(config)#int f1/0
R1(config-if)#ip flow monitor Monitor02 input

其他配置:

-配置flow-top-talker(全局配置了就可以,不用调用)
R1(config)#ip flow-top-talkers
R1(config-flow-top-talkers)#top 5  <<<收集前5的源
R1(config-flow-top-talkers)#sort-by packets <<<排序标准
R1(config-flow-top-talkers)#match protocol 1 <<<匹配ICMP协议,ICMP协议号为1

-配置采样MAP
R1(config)#flow-sampler-map MAP
R1(config-sampler)#mode random one-out-of 10 <<<随机采样,10个包抓取一个
R1(config-sampler)#int f0/0
R1(config-if)#flow-sampler MAP

查看相关信息(NetFlow最好还是在分析器上看,设备本地不好看,另外,配置了NetFlow在分析器上要等一会儿才会有数据体现出来)

在设备上查看NetFlow数据:

show flow exporter

show flow interface

show flow monitor

show flow monitor cache format

show flow record

show sampler

我们通过top-talker能看到之前配置前5个最高流量的记录。如下截图可以看到记录了98个报文。

其他show 信息:

关于IOS NetFlow的思科文档:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-sy/fnf-15-sy-book/fnf-fnetflow.html

路由器安全-NetFlow的更多相关文章

  1. 运用Ntop监控网络流量(视频Demo)

    运用Ntop监控网络流量 ____网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降.网络性能降低.通过流量 ...

  2. Ntop监控网络流量

    运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降. 网络性能降低.通过 ...

  3. 真实故事:网站遭遇DOS攻击

     网站遭遇DOS攻击 一个.事件背景 长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停.越是节假日,越可能出大问题,以下要讲述的就是一起遭受DOS攻击的案例. 春节长假刚过完,小李 ...

  4. CCNP路由实验之十二 MPLS

     个.第3个数据包„„同样的操作.包含查询路由表.重写MAC地址,CRC校验等. 系列路由器.或者12000系列路由器. Netflow switching 通过一种标准的交换机制,处理了流的第一 ...

  5. Linux服务器上监控网络带宽的18个常用命令nload, iftop,iptraf-ng, nethogs, vnstat. nagios,运用Ntop监控网络流量

    Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量 ...

  6. 【流量】netflow 基础知识

    摘要 记录下关于netflow的基础知识以及应用,现状 是什么 一种数据交换方式,NetFlow流量统计数据包括数据流时戳 源IP地址和目的IP地址 源端口号和目的端口号 输入接口号和输出接口号 下一 ...

  7. 使用spark 计算netflow数据初探

    spark是一个高性能的并发的计算平台,而netflow是一种一般来说数量级很大的数据.本文记录初步使用spark 计算netflow数据的大致过程. 本文包括以下过程: 1. spark环境的搭建 ...

  8. 【Network telemetry】谈谈网络遥感技术,从主动探测与被动探测再到Netflow与INT

    [前言] [本篇为原创]网络遥感,Network telemetry,为什么叫“telemetry”呢?我个人的理解是将网络中的数据进行一种“采集”,也就是实际上是一种网络数据的采集手段.由于工作需要 ...

  9. win7下利用ftp实现华为路由器的上传和下载

    win7下利用ftp实现华为路由器的上传和下载 1.  Win7下ftp的安装和配置 (1)开始->控制面板->程序->程序和功能->打开或关闭Windows功能 (2)在Wi ...

随机推荐

  1. [lua]紫猫lua教程-命令宝典-L1-03-01. 闭包

    L1[闭包]01. 函数的传递赋值 没什么说的 1.函数作为变量来看 可以轻松的声明 相互赋值 2.函数变量本质是 一个内存指针 所以函数变量的相互赋值不是传递的函数本身 而是指向这个函数的内存地址 ...

  2. nginx的学习

    什么是反向代理? 参考这个帖子的‘刘志军’的回答 https://www.zhihu.com/question/24723688 nginx的配置 http://baijiahao.baidu.com ...

  3. html代码分享

    贴图:<img src="图片URL"> 加入连接:<a href="所要连接的相关URL">写上你想写的字</a> 在新窗 ...

  4. HTML学习(13)区块元素和内联元素

    HTML 区块元素 大多数 HTML 元素被定义为块级元素或内联元素. 块级元素在浏览器显示时,通常会以新行来开始(和结束). 实例: <h1>, <p>, <ul> ...

  5. MyBatis Generator 超详细配置

    想快速开始,请直接拉到最后,看整体配置. MyBatis Generator 是 MyBatis 提供的一个代码生成工具.可以帮我们生成 表对应的持久化对象(po).操作数据库的接口(dao).CRU ...

  6. Flask 教程 第二十一章:用户通知

    本文翻译自The Flask Mega-Tutorial Part XXI: User Notifications 这是Flask Mega-Tutorial系列的第二十一章,我将添加一个私有消息功能 ...

  7. HTML前端入门归纳——样式

    本人一直在从事.net的开发,界面都是采用的WPF,近期花了一个多月进行HTML前端的学习,在这里呢进行学习总结和归纳. 本系列将主要分为4个模块: 控件 样式 布局 JavaScript 根据多年W ...

  8. 不起眼,但是足以让你收获的JVM内存案例

    今天的这个案例我觉得应该会让你涨姿势吧,不管你对JVM有多熟悉,看到这篇文章,应该还是会有点小惊讶的,不过我觉得这个案例我分享出来,是想表达不管多么奇怪的现象请一定要追究下去,会让你慢慢变得强大起来, ...

  9. Python学习之面向对象基础

    python的面向对象和以前学的c++,Java都是一般,大同小异,面向对象基础先谈谈类的构造,编写,属性和方法的可见性等等 1.定义类,创建和使用对象 #定义类 class Student(obje ...

  10. CSS3的一个伪类选择器:nth-child()

    CSS3的一个伪类选择器“:nth-child()”. Table表格奇偶数行定义样式: 语法: :nth-child(an+b) 为什么选择她,因为我认为,这个选择器是最多学问的一个了.很可惜,据我 ...