1、NetFlow介绍

  • 提供高层次的诊断,分类和识别网络异常。
  • 使用NetFlow来检查哪些行为改变明显的攻击是非常有效的。
  • 就像Wiretap一样捕获数据包。
  • NetFlow像电话账单。(谁和谁在通话,通过什么协议和端口,多长时间,速度如何,持续多久等)
  • 路由器和交换机作为一个流量遥感器,推送流量信息到NetFlow Collector(流量收集器)。

NetFlow和Flexible NetFlow

一个流是一组拥有相同键值的数据包(7键值:源目端口、源目IP、协议、接口和CoS(TLV))

键决定了什么是流,非键是我们要收集的是什么。

灵活的NetFlow支持对键值和非键值的自定义,而标准的NetFlow是不允许修改键值的。

灵活的NetFlow的优势:

①高扩展性,可汇聚的高容量的流信息。

②增强的流架构,专注于额外的安全监控能力。

③灵活的键值和非键值配置。

④export format

⑤全方位的IP和BGP的记账。

2、NetFlow的版本和用途

版本5是标准的NetFlow,而版本9是灵活的NetFlow。

用途:

网络监控、应用监控和分析、用户监控和分析、网络规划和分析、安全分析、记账和审计。

Cisco IOS Flexible NetFlow Technology Q&A

https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/flexible-netflow/prod_qas0900aecd804be091.html

3、NetFlow组件和配置:

组件:

①定义NetFlow要收集的信息(Key和nonkey)

②汇聚Record和Exporter并且调用到接口

③定义导出NetFlow的目的和版本

④定义流量的采样

配置:

①创建一个NetFlow的输出目的

R1(config)#flow exporter Net-Exporter 
R1(config-flow-exporter)#destination 192.168.1.100  <<<收集器的地址
R1(config-flow-exporter)#transport udp 9999  <<<端口号自己定义,但是和收集器上保持一致
R1(config-flow-exporter)#export-protocol netflow-v9

②创建一个自定义的流量记录

match后面配置的是“键”;collect后面配置的是“非键”。
R1(config)#flow record Net-Record
R1(config-flow-record)#match ipv4 source address <<<匹配的是源目IP
R1(config-flow-record)#match ipv4 destination address
R1(config-flow-record)#collect counter bytes <<<收集字节计数

③创建一个流量监控
R1(config)#flow monitor Monitor01 <<<定义监控名
R1(config-flow-monitor)#record Net-Record <<<调用自定义流量记录
R1(config-flow-monitor)#exporter Net-Exporter

④再创建一个流量监控

R1(config)#flow monitor Monitor02
R1(config-flow-monitor)#record netflow ipv4 original-input <<<定义记录类型:经典NetFlow
R1(config-flow-monitor)#exporter Net-Exporter <<<为监控指派NetFlow的输出

⑤接口下面调用

内部接口:
R1(config)#int f0/0
R1(config-if)#ip flow monitor Monitor01 input

外部接口:
R1(config)#int f1/0
R1(config-if)#ip flow monitor Monitor02 input

其他配置:

-配置flow-top-talker(全局配置了就可以,不用调用)
R1(config)#ip flow-top-talkers
R1(config-flow-top-talkers)#top 5  <<<收集前5的源
R1(config-flow-top-talkers)#sort-by packets <<<排序标准
R1(config-flow-top-talkers)#match protocol 1 <<<匹配ICMP协议,ICMP协议号为1

-配置采样MAP
R1(config)#flow-sampler-map MAP
R1(config-sampler)#mode random one-out-of 10 <<<随机采样,10个包抓取一个
R1(config-sampler)#int f0/0
R1(config-if)#flow-sampler MAP

查看相关信息(NetFlow最好还是在分析器上看,设备本地不好看,另外,配置了NetFlow在分析器上要等一会儿才会有数据体现出来)

在设备上查看NetFlow数据:

show flow exporter
show flow interface
show flow monitor
show flow monitor cache format
show flow record
show sampler

我们通过top-talker能看到之前配置前5个最高流量的记录。如下截图可以看到记录了98个报文。

其他show 信息:

关于IOS NetFlow的思科文档:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/fnetflow/configuration/15-sy/fnf-15-sy-book/fnf-fnetflow.html

路由器安全-NetFlow的更多相关文章

  1. 运用Ntop监控网络流量(视频Demo)

    运用Ntop监控网络流量 ____网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降.网络性能降低.通过流量 ...

  2. Ntop监控网络流量

    运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降. 网络性能降低.通过 ...

  3. 真实故事:网站遭遇DOS攻击

     网站遭遇DOS攻击 一个.事件背景 长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停.越是节假日,越可能出大问题,以下要讲述的就是一起遭受DOS攻击的案例. 春节长假刚过完,小李 ...

  4. CCNP路由实验之十二 MPLS

     个.第3个数据包„„同样的操作.包含查询路由表.重写MAC地址,CRC校验等. 系列路由器.或者12000系列路由器. Netflow switching 通过一种标准的交换机制,处理了流的第一 ...

  5. Linux服务器上监控网络带宽的18个常用命令nload, iftop,iptraf-ng, nethogs, vnstat. nagios,运用Ntop监控网络流量

    Linux服务器上监控网络带宽的18个常用命令 本文介绍了一些可以用来监控网络使用情况的Linux命令行工具.这些工具可以监控通过网络接口传输的数据,并测量目前哪些数据所传输的速度.入站流量和出站流量 ...

  6. 【流量】netflow 基础知识

    摘要 记录下关于netflow的基础知识以及应用,现状 是什么 一种数据交换方式,NetFlow流量统计数据包括数据流时戳 源IP地址和目的IP地址 源端口号和目的端口号 输入接口号和输出接口号 下一 ...

  7. 使用spark 计算netflow数据初探

    spark是一个高性能的并发的计算平台,而netflow是一种一般来说数量级很大的数据.本文记录初步使用spark 计算netflow数据的大致过程. 本文包括以下过程: 1. spark环境的搭建 ...

  8. 【Network telemetry】谈谈网络遥感技术,从主动探测与被动探测再到Netflow与INT

    [前言] [本篇为原创]网络遥感,Network telemetry,为什么叫“telemetry”呢?我个人的理解是将网络中的数据进行一种“采集”,也就是实际上是一种网络数据的采集手段.由于工作需要 ...

  9. win7下利用ftp实现华为路由器的上传和下载

    win7下利用ftp实现华为路由器的上传和下载 1.  Win7下ftp的安装和配置 (1)开始->控制面板->程序->程序和功能->打开或关闭Windows功能 (2)在Wi ...

随机推荐

  1. win10显示“没有有效的IP地址”

    可能你没有新建该宽带连接!!!(本人就是蠢到如此地步了_(:з)∠)_)

  2. 《E=MC2或一个思想的故事》

    思想是起点.一切行动都以萌芽状态孕藏在思想之中,以往所做过的一切均离不开思想. 他是个纯朴的人,喜欢在乡下静静地冥想. .而科学家们却非常清楚,那些最伟大的成就都是在静默中完成的.

  3. css动画 自动打字,让你的文字飞舞起来

    自动打字的效果 非一般的炫酷 <!DOCTYPE html> <html lang="en"> <head> <meta charset= ...

  4. 普及C组第一题(8.9)

    2297. [noip普及组2(放到第一题)]棋盘 (好像重名了)(File IO): input:chess.in output:chess.out 题目描述 众所周知,国际象棋的棋盘是一个网格.国 ...

  5. c++中const变量定义与头文件包含的有关问题

    在使用C++进行程序开发的时候,有个常识我们很熟悉,就是把类的定义写在.h文件中,把类的具体实现写在.cpp文件中.这毫无疑问是对的.但我们很少去思考为什么要这样做,本文结合自己的学习体会,对头文件及 ...

  6. 第二十五篇 玩转数据结构——链表(Linked List)

          1.. 链表的重要性 我们之前实现的动态数组.栈.队列,底层都是依托静态数组,靠resize来解决固定容量的问题,而"链表"则是一种真正的动态数据结构,不需要处理固定容 ...

  7. 很多win10系统用户都遇见了开机发现任务管理器中有个系统中断进程占用cpu99%的问题,

    很多win10系统用户都遇见了开机发现任务管理器中有个系统中断进程占用cpu99%的问题,尝试了网上提供的方法都不能得到有效的解决.下面小编就为大家详细的介绍电脑工程师提供的正确的解决姿势. 出现系统 ...

  8. 2019牛客暑期多校训练营(第三场) J LRU management 模拟链表操作

    输入n, m,n表示n种操作,m表示最多可以容纳m个串. 第一种操作:先在容器里找是否存在这个串,如果不存在,则添加在末尾,这个串携带了一个值v. 如果存在,则先把之前存在的那个拿出来,然后在后面添加 ...

  9. opencv:二值图像的概念

    灰度图像与二值图像 二值分割 #include <opencv2/opencv.hpp> #include <iostream> using namespace cv; usi ...

  10. Linux - CentOS7 命令行快捷键简介

    1. 概述 CentOS7 下输入命令的一些快捷键 2. 快捷键 1. 移动 单个字符 ctrl + b/f 单个单词 alt + b/f 行首行尾 ctrl + a/e 2. 编辑 删除单个字符 c ...