Netflow是永远存在的工具之一,但直到过去几年,它还没有收到服务提供商和大型企业网络之外的很多关注。最近,有很多由各种供应商发布的NetFlow工具,这些工具旨在为中型商业市场。在这里,我想做的是简要介绍那些可能不熟悉它的人的netflow,然后谈谈如何从iOS命令行使用它没有需要安装任何其他基于服务器的工具。netflow概述出口商.,外部服务器为集电极。很多网络管理供应商销售收藏家软件。在这一系列的帖子中,我们将忽略收集器侧,并仅仅查看产生统计信息的路由器和交换机,通过多年来通过一堆不同的版本演变。我不会进入他们之间存在差异的血腥细节。足以说今天最常用的版本是Netflow版本5,版本9获得了地面。它们之间的主要差异是Netflow V9是“可扩展”,这意味着它可以支持没有协议重写的其他信息类型,并且它可以被配置为将不同类型的信息导出给不同的收集器。许多供应商除了思科支持流量出口协议,它们与Cisco Netflow非常相似或兼容。Netflow版本9与IETF的IPFIX协议密切相关.in摘要,NetFlow通常是您在需要高级信息时使用的第一个工具交通端点和流量类型,而不是链接利用率或错误计数器。像NAN和数据包捕获等其他工具也很棒,但我发现我最先在检查NetFlow后最常使用它们。常见NetFlow误解
基本上,Netflow是一种用于收集通过设备的流量的统计数据的协议,并将该信息导出到外部服务器以进行进一步处理和分析。在Netflow Parlancy中,路由器或交换机是
这些年来,我注意到人们对NetFlow能做什么不能做什么有相当多的误解。以下是一些需要记住的事情:
- NetFlow不会替换SNMP。具体而言,它不跟踪有关链路利用率,带宽配置,错误率,队列丢弃或任何其他接口级特征的信息。相反,NetFlow收集有关通过这些接口传递的流量的统计信息。最常,此信息包括源和目标IP地址,第4层协议,源和目标端口号,接口ID和数据包大小。然而,根据版本和配置,它可以包括各种各样的其他数据包属性,包括第2层信息,TTL,BGP AS,TCP标志,VRF,多播信息等。
- NetFlow不跟踪应用程序层信息。虽然您可以获得有关从端口号,数据包大小和IP地址等宿主进行的大量信息,但您没有进入实际应用层本身的可见性 - 例如,例如,您不能使用NetFlow获取人们浏览的网站列表,因为您无法看到HTTP标头。您可能能够根据反向DNS解析推断出关于网站的内容,但这在当今的虚拟Web主机和内容分发网络世界中不是一个非常可靠的工具。现在,我相信Netflow V9的某人将支持导出原始数据包数据。这是真的......但是据我所知,没有使用(尚未使用)用于应用层分析,并且每个数据包的输出块将带来一些可能是不希望的开销。
- 并非所有思科产品都支持NetFlow。具体来说,广泛使用的Catalyst 3560/3750及以下开关不支持它。这可能令人沮丧,因为这些交换机被广泛部署在SMB市场作为边缘甚至核心设备。有一些商业和开源的工具可以从tap或SPAN会话中获取原始数据包流,并在此基础上导出NetFlow,但是这些交换机没有办法获得我们在这里将要讨论的NetFlow的CLI接口。
在下一个帖子中,我们将查看iOS中的NetFlow命令行工具。