在最后的帖子中,我们讨论了NetFlow背后的一些基本想法,这是瑞士军刀的网络可见性工具。在这篇文章中,凭借“快速简便”的精神,提高您的生产力,我们将查看一些用于NetFlow.My最喜欢的CLI工具是顶级讲话者功能。您有多少次想知道链接上使用带宽的主机或应用程序?Top Talkers功能很容易看到。首先,您需要在相关接口上激活NetFlow。您可以通过应用“IP流入口”命令,在接口配置模式下进行此操作。TEST#SH RUN int F0 / 0.134 |i int | ip flownext,您启用到Top Talkers功能:test#sh运行|部分Top-Talkersyou可以指定要缓存的顶级讲话者以及要排序的属性。注意“部分”输出修饰符的使用:我们没有在上一个博客文章中讨论输出修饰符中的博客,但它非常有用。您需要从这里完成的所有问题是发出“Show IP Flow Top-Talkers”命令:TEST#SH IP流量TOPERESSSRCIF SRCIPADDRESS DSTIF DSTIPDDRESS PR SRCP DSTP BYTESSE0 / 0:1 10.116.147.101 FA0 / 0.134 10.77.10.139 06 0050 05C0 8599KSE0 / 0:1 10.19.19.197.101 FA0 / 0.134 * 10.77.10.139 06 0050 05C0 8599KSe0/0:1 10.67.109.131 Fa0/0.134 10.77.10.127 06 0050 0D83 7119KSe0/0:1 10.67.109.131 Fa0/0.134* 10.77.10.127 06 0050 0D83 7119KSe0/0:1 10.116.147.117 Fa0/0.134 10.77.10.135 06 0050 0954 1584KSe0/0:1 10.116.147.117 Fa0/0.134* 10.77.10.135 06 0050 0954 1584KThe output here is pretty self-explanatory. The only part that can be a little tricky is that the protocol, source port, and destination port fields are shown in hexadecimal. In this example, all of the flows are TCP flows; TCP is IP protocol 6. UDP flows would be listed as "11"; 11 in hex is 17 in base 10, and UDP is IP protocol 17. The source port in each of these is 0x50 (that's short for hexadecimal 50), which converts to 80 in base 10. As you know, TCP port 80 is used for HTTP. Thus, in these flows we're seeing traffic从10.116.147.101和10.67.109.131的Web服务器至三个不同的HTTP客户端。正如我们在上一篇文章中所讨论的那样,Netflow是应用程序 - 不可知论者:在技术上是正确的,我们无法知道这一点,这实际上是HTTP流量而不看应用层;它可能是在端口80上运行的其他服务。但是,很有可能,它是它的http.if如果要查看整个活动Netflow缓存,请使用“show ip cache flow”命令。如果我正在寻找在顶部X讲话者中可能没有显示的较小流量,我会发现这是特别有用的。如果您对这些类型的问题进行故障排除,则协议和数据包大小统计信息也可以方便:TestB #SH IP Cache FlowIP数据包大小分布(50401M总数据包):1-32 64 96 128 160 192 224 256 288 320 352 384 416448 480.000 .296 .028 .088。027 .025 .023。027 .025 .023。027 .025 .023。027 .025 .023。027 .025 .0 .004 512 544 576 1024 1536 2048 2560 3072 1536 2048 2560 3072 3584 4096 4608 4096 4608 .003 4096 4608 .003 .074 .004。018 .348 .000 .000 .000 .000 .000 .000 [输出省略]协议总流量分组字节分组活动(秒)空闲(秒)--------流/秒/流/ pkt / sec/流/流量/流量计 - Telnet 84488 0.0 3 59 0.0 2.3 13.4TCP-FTP 824292 0.1 14 61 2.8 3.5 4.1TCP-FTPD 1152377 0.2 45 880 12.0 0.5 1.8TCP -WW 653021156 152.0 36 777 5610.5 4.2 7.2 7.2 7.2 7.2.9 9 351618.2 4.5 4.2 [输出省略] GRE 164626 0.0 68 388 2.6 14.1 15.8IP-其他14789920 3.4 28849920 3.4 288 449 993.4 49.9 15.4 42.4 19.4 407 11734.9 2.5 12.2SRCIF SRCIPADDREST DSTIF DSTIPDDRESS PR SRCP DSTP PKTSGI0 / 1.9 10.113.10.162 GI0 / 0* 10.254.10.141 06 495f7194 222我在此删除了一堆输出,以便简洁起见,但您可以看到主要部分:数据包大小的统计分布,常见协议类型的统计分布以及Netflow缓存中的条目的原始列表。 The number of entries in the flow cache can be quite large; you'll definitely need to use output modifiers to filter this in a production environment.
界面FastEthernet0 / 0.134
IP流入口
在较旧的iOS版本中,“IP流入口”命令是“IP路由缓存流”。此旧版本仍然正常工作,但它被认为已被弃用,更新版本是优选的。还有一个“IP流源出口”命令,可以与理解流程方向性的收集器一起使用。
IP流量 - 顶级讲话者
前10名
排序字节
[省略输出]