Fluke Netflow Tracker試用筆記

【51CTO.com 原創】目前企業網絡中，企業內部網絡基本以萬兆、千兆主幹，千兆、百兆桌面的網絡，Internet出口10M至100M以上，多ISP的鏈接，隨着企業網絡的擴大，若是提供一套有效的網絡運維管理，管理好網絡以及相關應用，成爲企業信息化建設的重中之重，企業網絡中，對流量的分析又顯得特別重要，目前流量管理系統比較多，有基於硬件的流控管理，有基於Netflow的流量管理的軟硬件，相關係統各有所長，整體上都是分析網絡中流量使用狀況，是否有異常等，本次試用Fluke的Netflow Tracker，基於軟件的一套流量管理軟件。

本次試用的軟件安裝在企業內部一臺服務器，對一臺Cisco的2811路由器的流量進行分析，該2811路由器是企業鏈接一臺分支機構，租用的是4M鏈路，路由器上啓用的兩個以太口。

1.1 瞭解Netflow

在安裝前Netflow Tracker，瞭解了一下網站上的Netflow Tracker的手冊，首先了解一下Netflow，Netflow是網絡設備中提取的單向流，現有的版本有V一、V五、V七、V八、V9，在12.4版本的路由器上，支持V一、V5和V9：

Netflow V1，爲Netflow技術的第一個實用版本。支持IOS 11.1，11.2，11.3和12.0，但在現在的實際網絡環境中已經不建議使用。

Netflow V5，增長了對數據流BGP AS信息的支持，是當前主要的實際應用版本。支持IOS 11.1CA和12.0及其後續IOS版本。

Netflow V9，一種全新的靈活和可擴展的Netflow數據輸出格式，採用了基於模板（Template）的統計數據輸出。方便添加須要輸出的數據域和支持多種Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其後續IOS版本。

1.2關於IPFIX

IPFIX(IP Flow Information Export，IP流動信息輸出)是IETF的技術人員2004年才制訂的一項規範，使得網絡中流量統計信息的格式趨於標準化。該協議工做於任何廠商的路 由器和管理系統平臺之上，並用於輸出基於路由器的流量統計信息。

IPFIX定義的格式爲Cisco的NetFlow Version 9數據輸出格式做爲基礎，可以使IP流量信息從一個輸出器(路由器或交換機)傳送到另外一個收集器。由於IPFIX具備很強的可擴展性，所以網絡管理員們能夠 自由地添加或更改域(特定的參數和協議)，以便更方便地監控IP流量信息。使用模板的方便之處在於網管和廠商沒必要爲了用戶可以查看流量統計信息，而每次都要更換軟件。

2 路由器配置

路由配置上很簡單，不過若是參照51CTO網站上的配置有點問題，ip flow-export destination  的後面須要添加NETFLOW TRACKER的服務器的IP地址和NETFLOW TRACKER服務器監聽端口的，網站上少了監聽端口，軟件推薦的配置爲2055端口，個人配置爲9999；配置的路由器使用到的是兩個以太口，取源爲物理接口，若是是多個接口的路由器或交換機的話，應該配置爲Loopback接口，配置以下：

ip cef ip flow-export source FastEthernet0/1 ip flow-export version 9 ip flow-export destination 10.20.223.103 9999 interface FastEthernet0/1 ip address 10.20.251.30 255.255.255.252 ip flow ingress ip flow egress

這裏理解一下在Cisco路由器接口下配置Netflow發佈的三命令，IOS11.1 接入ip route-cache flow，該命令開啓Netflow，計算收到的流量；12.2(15)T 版本引入 ip flow ingress，這個命令和ip route-cache flow效果同樣，12.3(11)T版本引入ip flow engress，接收出的流量，從這三個命令分析後，比較好理解安裝手冊中提到各個版本的配置差別；同時也明白Netflow的流是單向的。

 

3 NETFLOW TRACKER 軟件安裝與配置：

軟件的安裝很簡單，數據庫及WEB Server的設置所有自動設置好，安裝過程當中提示WEB管理的Https端口，經過檢查，若是默認的端被佔用，建議修改成其餘的端口便可，我在安裝測試不是一臺乾淨服務器，設置的端口爲8081，管理時輸入 https://localhost:8081，安裝軟件完畢後，基本無需設置便可收集到路由器的流量；在路由器配置時，配置了監聽端口爲9999，須要在安裝完畢後，設置監聽端口，從「主菜單->設置->監聽端口」頁面上添加，如圖一，若是配置多臺設備，能夠爲不一樣的路由器（交換機）配置多個監聽端口。

圖一：監聽端口配置

4 NETFLOW TRACKER的報表分析使用

4.1流量的分析

安裝完畢過幾分鐘後，NETFLOW TRACKER就已經接收到數據，啓動界面後，默認啓動的爲最繁忙的設備，本次使用就配置一臺設備，圖二顯示的該設備的實時流量。

圖二：Netflow採集設備的實施流量

同時也顯示該設備的各個端口的流量狀況，報表清晰，一目瞭然。如圖三。

圖三：採集設備各端口的流量。

能夠經過地址和會話分析，獲得相關的流量以及流量的排名狀況，從分析中也能獲得目前經過該路由器的主要的應用系統以及應用系統的使用狀況。

圖四：網絡中地址對流量及相關協議分佈

 

4.2 異常流量的分析

實用的源地址發佈報表，經過源地址發佈分析，能快速準肯定位，目前網絡中是否存在蠕蟲病毒、DOS（DDOS）、網絡掃描等，報告能夠從設備的餅圖快捷進入，如圖五。

圖五：快捷進入實施報表

經過源地址的排名，如圖五，能夠分析通過企業網設置的地址段源地址發佈的狀況，經過相關的網管軟件，後直接經過交換機的端口分析，定位出現異常的電腦，進而排查病毒、掃描、DDOS等問題。

圖六：源地址分發排名

4.3 歷史數據分析

能夠經過系統提供的遠期報告，查看遠期的歷史數據，這點頗有用，以試用的路由器端口的遠期數據分析，從圖七中咱們能夠看出，該路由器的物理接口的流量基本再2M之內，企業租用的鏈路爲4M，從數據上看，近期無需對線路進行擴容，經過提供的報告格式，能夠做爲企業網管的週報、月報等。
同時能夠設置好基準線、告警、告警閥值等，能夠獲得網絡異常告警，能夠經過其餘的報表，分析問題所在。

圖七：端口的歷史數據（可報表）

圖八：端口速率歷史數據

5 試用總結

基於Netflow下分析軟硬件比較多，相對於硬件而言，Netflow Tracker做爲軟件，在安裝和使用時，很容易得手，本次試用大約爲1周時間，操做起來仍是比較順手，有些菜單等設置可能不太適合常規的設置方式，熟悉系統後，仍是容易得手的。部署也很簡單。無需過多網絡進行過多的修改，同時軟件的投入成本也低於硬件。

軟件提供大量的報表供網絡管理員分析網絡，試用的路由器因爲爲分支路由器，數據量小，分析了典型的幾個報表，能夠經過另外的設置，好比設置基準線、設置告警觸發等等完善報表，使之成爲網絡管理的利器。

【責任編輯： 王曼伊 TEL：（010）68476606

From: http://expert.51cto.com/art/200811/98029_2.htm