流程快速入门指南

feature netflow

flow exporter SEVONE
  destination <sevone IP Address>
  transport udp 9996
  source <source interface of netflow export>
  version 9
  template data timeout 600
  option sampler-table timeout 600

flow record NetflowExport
  description Netflow_traffic
  match ipv4 source address
  match ipv4 destination address
  match ip protocol
  match ip tos
  match transport source-port
  match transport destination-port
  collect routing destination as
  collect routing forwarding-status
  collect routing next-hop address ipv4
  collect transport tcp flags
  collect counter bytes
  collect counter packets
  collect timestamp sys-uptime first
  collect timestamp sys-uptime last
  flow timeout active 60
  flow timeout inactive 15

flow monitor Monitor_Enterprise
  description MONITOR_ENTERPRISE
  record NetflowExport
  exporter SEVONE

Per interface:

interface Vlan4
  ip flow monitor Monitor_Enterprise input
  ip flow monitor Monitor_Enterprise output

1. 启用 Cisco Express 转发 (CEF) ，这是最新 IOS 发行版中的流所必需的。 在全局配置方式下，输入以下命令以启用 CEF。

   ip cef

   注: 全局配置方式由主机名指示，后跟 (config) #。 例如，如果路由器名为 Router-2，那么全局配置方式下的命令提示符将为 Router-2(config) #。
2. 输入以下命令以启动 NetFlow 数据导出 (NDE)。
   1. 指定 SevOne NMS 设备作为路由器的目标 (即流收集器) ，并指定端口。

      ip flow-export destination <enter SevOne NMS appliance IP address> 9996

      注: 缺省情况下， SevOne NMS 在端口 9996上收集流数据。 要确认指定的端口，请单击 管理 > 集群管理器 > 集群设置 选项卡> FlowFalcon 子选项卡> 字段 传入端口。
   2. 指定 NetFlow 将从中派生源 IP 地址的接口。

      ip flow-export source loopback 0

   3. 指定导出版本格式。 在以下命令中，将 <version-number> 替换为相应的版本 (例如， 5 或 9)。

      ip flow-export version <version-number>

3. 通过为 NetFlow 记帐流高速缓存指定参数，可以防止流在高速缓存中停留的时间超过所需的时间。 执行以下操作以配置活动流和不活动流的超时。
   注: 活动超时以分钟为单位指定，而不活动超时以秒为单位指定。
   1. 指定在高速缓存中保留 活动 流的分钟数。 将流分解为较短的段可防止将过多流发送到收集器 ( SevOne NMS 设备)。 以下命令允许活动流在高速缓存中停留 1 分钟。 换句话说，它会将流分成一分钟段。

      ip flow-cache timeout active 1

   2. 指定在高速缓存中保留 不活动 流的秒数。 这将导致已完成的流到期并从高速缓存中除去。 以下命令允许不活动流在高速缓存中停留 15 秒。

      ip flow-cache timeout inactive 15

4. 在要从中收集流的每个物理接口上启用 NetFlow 。 这通常是以太网或 WAN 接口。 您可能需要设置接口的速度 (以千比特/秒为单位) ，尤其是对于帧中继或 ATM 虚拟电路。
   注: 由于 VLAN 或隧道是自动包含的，因此不需要执行此操作。
   1. 使用以下命令指定接口。 将 <interface> 替换为要启用 NetFlow 的物理接口的名称。 例如， Ethernet0/0。

      interface <interface>

   2. 输入下列其中一个命令以启用上面指定的物理接口。
      • 在各个子接口 (而不是所有子接口) 上启用流。

        ip flow ingress

      • 在物理接口上启用流以及与其关联的所有子接口。

        ip route-cache flow

5. 保存配置更改。

   copy run start

6. 验证路由器是否正在生成流统计信息。 首先，切换到启用方式。 然后输入以下命令以查看当前 NetFlow 配置和状态。
   注: 启用方式 (也称为特权方式) 由后跟 #的主机名指示。 例如，如果路由器名为 Router-2，那么处于启用方式的命令提示符为 Router-2#。
   1. 输入以下命令以显示数据导出的状态和统计信息。

      show ip flow export

   2. 输入以下命令以显示活动流的摘要以及从路由器导出的 NetFlow 数据量。

      显示数据导出统计信息的摘要

      show ip cache flow

      显示数据导出统计信息的详细摘要

      show ip cache verbose flow

   3. 启用 ifIndex SNMP 设置。 这会指示路由器记住 ifIndexes ，以便在 device 配置或重新引导期间不会更改这些索引。

      snmp-server ifIndex persist

      注: 这是一个重要步骤， SevOne NMS 需要此步骤。

继续之前，请确保您处于特权/启用方式。 输入以下全局命令 (所有命令都在 router <enable> config 选项中输入)。

1. 指定 NetFlow 将从中派生源 IP 地址的接口。

   ip flow-export source <enter interface>

2. 指定导出版本格式。 例如， V 9。

   ip flow-export version 9

3. 指定 SevOne NMS 设备作为交换机的目标 (即流收集器) 并指定端口。

   ip flow-export destination <enter SevOne NMS appliance IP address> 9996

4. 从 PFC 启用 NDE 并配置 NDE 版本。

   mls nde sender version 9

5. 执行以下操作以指定要在高速缓存中保留活动流和不活动流的时间长度。
   1. 指定在高速缓存中保留 活动 流的秒数。 执行以下命令以允许活动流在高速缓存中保留 1 分钟。 换句话说，它会将流分成一分钟段。

      set mls agingtime long 60

   2. 指定在高速缓存中保留 不活动 流的秒数。 执行以下命令以允许不活动流在高速缓存中保留 15 秒。

      set mls agingtime 15

6. 如果您具有具有 IOS V 12.1.13(E) 或更高版本的 Supervisor Engine 2 或 720 ，那么需要输入以下两个命令以将接口和路由信息放入 NetFlow 导出中。

   
   mls flow ip interface-full
   
   mls nde interface

7. 针对每个物理接口输入以下命令。 将 <interface> 替换为接口名称。

   
   interface <interface>
   
   ip route-cache flow

1. 在路由器上的配置终端中，输入以下命令以启动 NetFlow 导出。

   
   ip flow-export version 9
   
   ip flow-export destination <enter SevOne NMS appliance IP address> 9996

2. 在每个物理接口上启用 NetFlow 。 将 <interface> 替换为接口名称。

   
   interface <interface>
   
   ip route-cache flow infer-fields

Juniper 通过使用路由引擎对包头进行采样并将它们聚集到流中来支持流导出。 通过定义防火墙过滤器以接受和采样所有流量，将该规则应用于接口，然后配置采样转发选项来实现包采样。

要配置内联流监视，请在 [编辑转发-选项采样实例实例-名称系列 inet 输出] 层次结构级别包含 inline-jflow 语句。

内联采样支持 version-ipfix 格式，该格式使用 UDP 作为传输协议。 要配置内联采样，请在 [编辑转发-选项采样实例实例-名称系列 inet 输出流-服务器地址] 层次结构级别包含 version-ipfix 语句。

以下操作命令包含用于显示内联配置信息的内联 fpc 关键字。

• 显示服务记帐错误
• 显示服务记帐流程
• 显示服务记帐状态

Junos OS 文档 > 发行说明 ( https://www.juniper.net/documentation/product/us/en/junos-os#cat=release_notes )，列出了可用的主要功能。

在 Alcatel 服务接口上启用 cflowd 时， cflowd 通过路由器收集路由的流量流样本进行分析。 cflowd 在因特网增强服务 (IES) 和虚拟专用路由网络 (VPRN) 服务接口上受支持。 已排除层 2 流量。 根据 cflowd 配置分析接口转发的所有包。 在接口级别， cflowd 可以与过滤器 (ACL) 或 IP 接口相关联。

在接口上启用 cflowd 时，该接口转发的所有包都将根据 全局 cflowd 配置进行分析。

在 config> router> interface 上下文中配置 cflowd 接口选项时，必须满足以下需求才能在特定接口上启用流量采样。

• 启用 cflowd。
• 选择 interface> cflowd 接口选项。
• 要在启用接口采样时从采样中省略某些类型的流量，请通过 ip-filter 或 ipv6-filter启用 config> filter> ip-filter> entry> interface-disable-sample 选项。 将过滤器应用于要省略的流量所在的服务或网络接口。

执行以下步骤以配置 AppFlow。

1. 启动 Citrix NetScaler 配置用户界面。

   

2. 从左侧菜单中，选择 系统 > 设置。
3. 在右侧的 " 设置" 下，单击 配置高级功能。
4. 在 " 配置高级功能 " 弹出窗口中，选中 AppFlow 复选框。
5. 单击确定。
6. 从左侧菜单的 " 系统 "下，展开 AppFlow 文件夹。 在 AppFlow 下，选择收集器。

   

7. 在页面底部，单击 添加 ...。
8. 在 创建 AppFlow Collector 弹出窗口中，为以下字段提供指定的输入。
   • 名称 -输入 SevOne。
   • IP Address -输入 SevOne Dedicated NetFlow 收集器 (DNC) 的 IP 地址。
   • 端口 -输入 9996。
9. 从左侧菜单的系统下，展开 AppFlow 文件夹并选择 " 操作 "。
   注: AppFlow 操作是一组收集器，如果关联的 AppFlow 策略匹配，将向这些收集器发送流记录。

   

10. 在页面底部，单击 添加 ...。
11. 在 " 创建 AppFlow 操作 " 弹出窗口中，选择列 收集器名称下的 SevOne 。
12. 在 SevOne 左侧的 Active 列下，选择复选框。
13. 单击创建。
14. 从左侧菜单的 System > AppFlow 下，选择 Policies 。
    注: 配置 AppFlow 操作后，需要配置 AppFlow 策略。 AppFlow 策略基于由一个或多个表达式组成的规则。 有关表达式的详细信息，请参阅《Citrix AppFlow 配置指南》。

    

15. 在页面底部，单击 添加 ...。在 创建 AppFlow 策略 弹出窗口中，执行以下操作。
    1. 在 名称 字段中，提供名称。
    2. 单击 操作 下拉列表以选择操作。
    3. 在 表达式 字段中，输入表达式。
    4. 单击创建。
16. 创建策略后，需要使策略生效。 要执行此操作，请执行以下 一项 操作。
    注: 可以将策略绑定到覆盖全局 /LB vserver/CS vserver/缺省全局。
    • 以全局方式绑定策略，使其适用于流经 NetScaler的所有流量。
    • 将策略绑定到特定虚拟服务器，以使其仅适用于与该虚拟服务器相关的流量。

    

17. 配置 AppFlow 设置，自定义发送到收集器的信息。 从左侧菜单的 " 系统 "下选择 AppFlow.

    

18. 在右面板的 Settings 下，单击 Change AppFlowSettings 。
19. 在 配置 AppFlow 设置 弹出窗口中，指定必要的设置以定制将发送到收集器的信息。
20. 以下 NetScaler 唯一字段以及带宽和数据包指标可在报告中使用。 在 SevOne NMS 中进行配置时，使用 FlowFalcon View Editor 提供字段名称。

    

21. 在 AppFlow 设置和 SevOne NMS 设置配置完成后，您可以创建报告视图并生成有关 AppFlow 数据的报告。

    示例

    

    

请参阅 SevOne NMS System Administration Guide > Cluster Manager > 子部分 Cluster Settings > FlowFalcon 以获取详细信息。

请参阅 SevOne NMS 系统管理指南 > 集群管理器部分 > 对等设置子部分 > FlowFalcon （单击时可用） <对等名称> （位于左侧的集群层次结构中）了解详细信息。

网络备份系统使用的应用程序端口。 用于以下示例的应用程序端口为 2222。

1. 使用标识您感兴趣的信息的旧 FlowFalcon 接口创建 FlowFalcon 过滤器。
2. 为所有接口/方向创建流警报策略。
   1. 定义常规设置。
      • 选择包含流接口的 device 或 object 组。
      • 选择包含应用程序端口信息的聚集视图，例如 排名靠前的应用程序 或 具有协议的排名靠前的应用程序。
      • 选择先前创建的 FlowFalcon 过滤器 (例如，备份流量)。
      • 选择 方向 = 任何 (这将为接口上的 Ingress 和 Egress 流量创建阈值)。
      • 将 "调度" 配置为仅包含星期一至星期五的 "营业时间"。
   2. 定义警报条件。
      • 在平均网络备份应用程序端口流量大于 1 MB (持续时间为 1 分钟) 时发出警报。
      • 当平均网络备份应用程序端口流量在 5 分钟内小于 1 MB 时，清除警报。

1. 使用标识您感兴趣的信息的旧 FlowFalcon 接口创建 FlowFalcon 过滤器。 请参阅 SevOne NMS User Guide > section FlowFalcon Reports > Filters。

   

2. 为所有接口/方向创建流警报策略。
   1. 定义常规设置。

      

   2. 配置时间表，使其仅包括周一至周五上午 9 点至下午 5 点（09:00 至 17:00）的时间段。

      

3. 定义警报条件。
   1. 当平均网络备份应用程序端口流量超过 1 兆字节/秒，持续时间超过 60 秒时发出警报。

      

   2. 当网络备份应用程序端口平均流量在 300 秒内低于 1 兆字节/秒时，清除警报。

      

   3. 单击 另存为新策略 以保存策略。

4. 转到 " 事件 ">" 警报" ，查看是否有警报。

   

5. 点击上面截图中字段对象旁边的 (2)，它将提供 FlowFalcon 界面的上下文，向您显示导致触发警报的数据。

   

1. 使用视图 Top Talkers (Bandwidth ， Packet ， Flows) 来运行聚集视图报告，以识别感兴趣的主机。 然后选择其中一个主机。

   

2. 使用视图 含应用程序和 ToS 及方向的重要对话来运行非聚集视图报告。 使用以下设置:
   1. 汇总数据 = 否
   2. 查看 = 具有应用程序和 ToS 和方向的顶级对话
   3. 时间范围 = 定制。 然后配置时间跨度，显示最近 15 分钟的内容。

      

   4. 创建一个过滤器，将应用程序 IP 配置为您在步骤 1 中运行的 "顶级主机 "报告中的主机 IP。

      

   5. 单击 " 获取结果 "运行报告。

      

3. 下面的截屏显示了生成的报告。 它包含与我们的主机进行的对话。 该报告显示的是前 10 名，但我们可以配置系统在表格中显示所有结果。

   

从 SevOne NMS，浏览至 管理 > 流配置 > 流规则。 您将发现有一些规则集，用于确定缺省情况下是启用还是禁用新找到的流接口 (即我们新接收流的接口)。 请检查这些规则以确认流未被无意中阻塞。

出现此问题时，通常是存在意外网络问题 (例如，未正确配置的 防火墙 规则) 阻止流到达 NMS 的问题。

要排除此情况，您将需要在应该接收这些 NetFlow 包的 PAS 或 DNC 上运行包捕获。

1. 检入 NMS 中配置为接收 NetFlow 的端口。 缺省情况下，它是端口 9996。 可通过浏览至 管理 > 集群管理器 > 集群设置 选项卡> FlowFalcon 子选项卡> 字段 传入端口来找到此选项卡。
   1. 请针对设备配置进行检查。 如果在 NMS 中配置了非标准端口，那么尤其如此。
   2. 如果所有端口配置都很好，请将此端口号保持为方便，因为您将需要此端口号来执行将来的步骤。
2. 在有问题的 SevOne 同级上运行包捕获。 如果在此包捕获中未看到流，那么这意味着存在网络配置问题，阻止这些包到达 NMS ，例如，错误的防火墙规则。 启动 tcpdump 后，您将看到出现注意方向和长度的包。
   1. 从命令行界面执行以下命令。

      tcpdump port [Port] and host [Device IP] -s0

   2. 如果流量通过非默认接口输入，则需要使用-i标志来表示该流量应通过哪个网络接口输入。
      • 如果您不知道，那么可以运行以下命令来标识流应该进入的接口。

        route -n

      • 一旦确定了流将从其到达的网关，那么输出中的极右列将显示接口的名称。 例如， eno1， ens32等。
      • 执行以下命令以检查 tcpdump。

        tcpdump port [port] and host [deviceIP] -i [interfaceName] -s0

确认流后，请确保正在接收的流包含必需的模板详细信息。

NetFlow 包含模板包及其流包。 要使 SevOne 能够解析流包并知道包含的数据是什么，这些都是必需的。 因此， NetFlow 模板中需要有一些统一性。 下面列出了一些字段。 每个 o 这些字段都需要在模板中，以便 NMS 能够将其解析出来。 该设备需要修改其配置以包含以下字段。

NetFlow v9

- Source ip/port (ip4 or 6) (L4_SRC_ADDR/L4_SRC_PORT)
- Dest ip/port (ip4 or 6) (L4_DST_ADDR/L4_DST_PORT)
- Ingress interface (INPUT_SNMP)
- Bandwidth (BYTES)
- Number of packets (IN_PKTS/PKTS)
- Start Time (FIRST_SWITCHED)
- End Time (LAST_SWITCHED)

IPFIX/ v10

- Source ip/port (ip4 or 6) (L4_SRC_ADDR/L4_SRC_PORT)
- Dest ip/port (ip4 or 6) (L4_DST_ADDR/L4_DST_PORT)
- Ingress interface (INPUT_SNMP)
- Bandwidth (BYTES)
- Number of packets (IN_PKTS/PKTS)
- Start Time - any one of the following matching the start time unit.
-- (FIRST_SWITCHED)
-- (flowStartSeconds)
-- (flowStartMilliseconds)
-- (flowStartMicroseconds)
-- (flowStartNanoseconds)
- End Time - any one of the following matching the end time unit.
-- (LAST_SWITCHED)
-- (flowEndSeconds)
-- (flowEndMilliseconds)
-- (flowEndMicroseconds)
-- (flowEndNanoseconds)

要检查是否正在接收流，可以收集包捕获并使用诸如 wireshark之类的工具对其进行复审。

1. 要收集包捕获，请执行以下命令。 为确保您至少能收到一个模板数据包，它被配置为运行 15 分钟。

   timeout 15m tcpdump port [port] and host [deviceIP] -i [interfaceName] \
   -s0 -w /Path/to/tcpdump.pcap

2. 下载包捕获后，在 wireshark中打开包捕获，例如，打开任何其他包捕获分析工具。 在本指南中，将使用 wireshark 。
3. 您可以使用以下过滤器在 wireshark 中查找流模板包。

   $ cflow.template_id

4. 如果对此进行过滤后未看到任何包，那么这意味着您未接收到必需的模板包，并且设备未正确配置为发送模板，或者设备上存在阻止发送模板的问题。
5. 如果确实看到包，请检查以确认模板是否标识了解析所必需的字段 (如上所述)。 如果缺少其中任何一个，那么您将无法解析流。
   1. 您可能需要检查多个模板。 通常，您将在称为 选项 模板的其他模板标识下接收到包含其他详细信息的其他模板。 每个模板都将具有特定标识，并且它们关联的流包将指向它们关联的模板标识。
   2. 如果要发送的字段有任何混淆，那么以下是列表。

      字段标识列表

      nfl[2]="IN_PKTS"
      nfl[3]="FLOWS"
      nfl[4]="PROTOCOL"
      nfl[5]="SRC_TOS"
      nfl[6]="TCP_FLAGS"
      nfl[7]="L4_SRC_PORT"
      nfl[8]="IPV4_SRC_ADDR"
      nfl[9]="SRC_MASK"
      nfl[10]="INPUT_SNMP"
      nfl[11]="L4_DST_PORT"
      nfl[12]="IPV4_DST_ADDR"
      nfl[13]="DST_MASK"
      nfl[14]="OUTPUT_SNMP"
      nfl[15]="IPV4_NEXT_HOP"
      nfl[16]="SRC_AS"
      nfl[17]="DST_AS"
      nfl[18]="BGP_IPV4_NEXT_HOP"
      nfl[19]="MUL_DST_PKTS"
      nfl[20]="MUL_DST_BYTES"
      nfl[21]="LAST_SWITCHED"
      nfl[22]="FIRST_SWITCHED"

      重要信息: 可以在 NetFlow的正式 Cisco 文档中找到其他字段。