Nfsen网络流量分析手册

合集下载

如何使用网络流量分析技术进行数据分析(二)

网络流量分析技术（Network Traffic Analysis）是一种通过监测、收集和分析网络数据流来获得有关网络流量特征和行为模式的技术。

在当今数字化时代，网络流量分析技术已经成为数据分析领域中不可或缺的一项工具。

本文将探讨如何使用网络流量分析技术进行数据分析。

一、网络流量分析技术的概述网络流量分析技术是指通过拦截、解码和分析网络数据包，从中提取有用的信息和特征，以便更好地了解网络行为和流量模式。

网络流量分析技术主要可分为两类：单机流量分析和网络监控系统。

单机流量分析主要聚焦于特定主机或网络节点的流量分析，通过收集网络数据包并对其进行解码和分析，可以了解该主机的网络使用情况、流量类型、安全漏洞等信息。

而网络监控系统则更侧重于整个网络的流量分析，可以监测和分析整个网络中的数据流，提供对整个网络的性能、安全状况和异常行为的分析。

二、网络流量分析技术在数据分析中的应用1. 用户行为分析通过分析网络流量数据，可以获取用户的上网行为数据，包括用户的访问网站、搜索记录、在线活动等。

这些数据可以帮助企业更好地了解用户需求和行为模式，从而优化产品设计和市场推广策略。

2. 网络性能优化通过对网络流量数据进行分析，可以了解网络瓶颈、带宽利用率、延迟等关键指标，从而及时发现并解决网络拥堵和性能问题，提升网络的可用性和用户体验。

3. 安全威胁检测网络流量分析技术可以通过监控网络数据包中的异常行为和恶意攻击，及时发现和阻止网络安全威胁的产生，保障网络的安全性。

常见的安全威胁包括黑客攻击、网络蠕虫、恶意软件等。

4. 业务智能分析通过对网络流量数据的分析，可以了解用户访问的来源、频率、持续时间等信息，从而评估用户对业务的兴趣和忠诚度，为业务决策提供数据支持。

5. 数据决策支持网络流量分析技术可以将网络数据与其他业务数据结合，通过数据挖掘和模式识别等技术，发现隐藏在海量数据背后的规律和关联，为企业决策提供有力支持。

三、网络流量分析技术的工具和方法在进行网络流量分析时，有一些常用的工具和方法可以帮助我们更好地获取、解码和分析网络数据包。

使用nfsen+sflow+netflow分析网络流量

使用nfsen+sflow+netflow分析网络流量一.前言因为发现有一台hp交换器的负载特别高，但要找出那个IP 造成的，单以tcpdump 分析起来会很难发现问题，因此想要利用hp 交换机具有的sflow功能并搭配nfsen 来分析sflow 结果，如此可以帮助我们分析网络中的流量组成，抓取实施带宽使用情况，帮我找出"hog"。

最终也让我达到目的，感谢open source 相关组织及多位不计付出的IT 前辈。

需求系统及软件OS: CentOS 6.8 X64 / CentOS 7.6 X64nginx-1.9.15.tar.gzphp-7.1.15.tar.bz2nfdump-1.6.13.tar.gznfsen-1.3.7.tar.gz二.下载资源/download/download/nginx-1.9.15.tar.gz/nfsen/nfsen-1.3.7.tar.gz/project/nfdump[注]/nfsen预设下载的版本是 1.3.6p1 ，但这个版本我在centos 6.8 及7.3 都发生相同的错误，也许是运气不佳，但使用nfsen-1.3.7.tar.gz 到是没什么问题三.ngnix 及php 的安装相关rpm 安装yum -y install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-develyum -y install libxml2 install libxml2-devel openssl openssl-devel \curl curl-devel libjpeg libjpeg-devel libjpeg libjpeg-devel libpng \libpng-devel freetype freetype-devel pcre pcre-devel libxslt \libxslt-devel bzip2 bzip2-devel libxslt libxslt-devel[ngnix 安装]useradd wwwtar -xvf nginx-1.9.15.tar.gzcd nginx-1.9.15/configure --prefix=/ap/nginx＃＃你可以不加--prefix这这参数，这样会安装在/usr/loca/ngnix 目录下make && make install[ ngnix.conf 设定档修改](1)user www www; ##必须加上group 否则会有nginx: [emerg]getgrnam("www") failed in ... 错误(2)location / {root html;index index.php index.html index.htm;}(3)location ~ \.php$ {root html;fastcgi_pass 127.0.0.1:9000;fastcgi_index index.php;fastcgi_param SCRIPT_FILENAME /php$fastcgi_script_name;include fastcgi_params;}[php-fpm]tar -xvf php-7.1.15.tar.bz2cd php-7.1.15./configure --prefix=/usr/local/php --with-curl --with-freetype-dir --with-gd --with-gettext \--with-iconv-dir --with-kerberos --with-libdir=lib64 --with-libxml-dir --with-mysqli --with-openssl \--with-pcre-regex --with-pdo-oci=instantclient,/usr/instantclient,11.2 \--with-pdo-mysql --with-pdo-sqlite --with-pear \--with-png-dir --with-jpeg-dir --with-xmlrpc --with-xsl --with-zlib \--with-bz2 --with-mhash --enable-fpm --enable-bcmath --enable-libxml \--enable-inline-optimization --enable-gd-native-ttf --enable-mbregex \--enable-mbstring --enable-opcache --enable-pcntl --enable-shmop \--enable-soap --enable-sockets \--enable-sysvsem --enable-sysvshm --enable-xml --enable-zipmake && make installcp php.ini-development /usr/local/php/lib/php.inicp /usr/local/php/etc/php-fpm.conf.default /usr/local/php/etc/php-fpm.confcp sapi/fpm/php-fpm /usr/local/bincp /usr/local/php/etc/php-fpm.d/www.conf.default /usr/local/php/etc/php-fpm.d/www.conf[edit /usr/local/php/lib/php.ini]cgi.fix_pathinfo=0date.timezone = Asia/Shanghai[edit /usr/local/php/etc/php-fpm.conf]pid = run/php-fpm.pid[edit /usr/local/php/etc/php-fpm.d/www.conf ](1)security.limit_extensions = .php .php3 .php4 .php5 .php7(2)location / {root html;index index.php index.html index.htm;}(3)location ~ \.php$ {root html;fastcgi_pass 127.0.0.1:9000;fastcgi_index index.php;fastcgi_param SCRIPT_FILENAME /php$fastcgi_script_name;include fastcgi_params;}[start php & nginx]/usr/local/php/sbin/php-fpm/ap/nginx/sbin/nginx[stop php & nginx]kill -INT `cat /usr/local/php/var/run/php-fpm.pid`##需搭配[edit /usr/local/php/etc/php-fpm.conf]/ap/nginx/sbin/nginx -s stop四.nfdump 及nfsen 的安装[相关rpm]yum -y install rrdtool rrdtool-devel libpcap-develyum install perl perl-Sys-Syslog rrdtool-perl perl-Data-Dumper perl-MailTools perl-Socket6[nfdump 安装]tar -xvf nfdump-1.6.13.tar.gzcd nfdump-1.6.13./configure --enable-nfprofile --enable-nftrack --enable-sflow \--enable-nfpcapd --with-rrdpathmake && make install[说明] --enable-nfpcapd for netflow[建立帐号，目录]mkdir -p /data/nfsenuseradd netflow -g www[错误记录]##错误configure: error: Can not link librrd configure failed!##原因rpm rrdtool-devel 未安装##错误nfpcapd.c:90:18: fatal error: pcap.h: No such file or directory##原因rpm libpcap-devel 未安装##错误nfpcapd.c:86:3: error: #error missing bpf headermake clean ; ./configure ...[nfsen-1.3.7 安装]tar -xvf nfsen-1.3.7.tar.gzcd nfsen-1.3.7cp etc/nfsen-dist.conf etc/nfsen.conf[ edit etc/nfsen.conf ]$BASEDIR= "/data/nfsen";$HTMLDIR = "/php/nfsen";$WWWUSER = "www";$WWWGROUP = "www";$PREFIX = '/usr/local/bin';%sources = ('H3C' => { 'port' => '8603','col' => '#0000ff', 'type' => 'sflow' },'upstream1' => { 'port' => '9995', 'col' => '#0000ff', 'type' => 'netflow' },);[edit libexec/NfProfile.pm]no strict 'refs'; #加上这一行[安装]./install.pl etc/nfsen.confcd /php/nfsen ; cp -rp css icons js /ap/nginx/html/[错误]##错误ERROR: nfsend connect() error: Permission denied!## ERROR: nfsend - connection failed!!## ERROR: Can not initialize globals!## 实在不清楚m 这个档案是那个用户需要权限，怎么设定都不行，只有chmod 666 才能正常，而且每次重斆服务的时候都要再执行一次##解决chmod a+rw /data/nfsen/var/run/m[start]/data/nfsen/bin/nfsen startchmod a+rw /data/nfsen/var/run/m[stop]/data/nfsen/bin/nfsen start五.完工后的画面六.HP 交换机设定sflow 的方式[检查目前状态]coreswitch2(config)# show sFlow 1 destinationSFlow Destination InformationDestination Instance : 1sflow : DisabledDatagrams Sent : 0Destination Address :Receiver Port : 6343Owner :Timeout (seconds) : 0Max Datagram Size : 1400Datagram Version Support : 5OOBM Support : Disabledcoreswitch2(config)# show sFlow 1 samplingSFlow Sampling Information| Sampling Dropped | Polling Port | Enabled Rate Header Samples | Enabled Interval----- + ------- -------- ------ ---------- + ------- --------sFlow 1 destination 10.21.2.83 8603 ##default port 6343sFlow 1 sampling all 500 ##开始发送封包[确认封包发送]coreswitch2(config)# show sFlow 1 destinationSFlow Destination InformationDestination Instance : 1sflow : EnabledDatagrams Sent : 168Destination Address : 10.21.2.83Receiver Port : 8603Owner : Administrator, CLI-Owned, Instance 1Timeout (seconds) : 2147483603Max Datagram Size : 1400Datagram Version Support : 5OOBM Support : Disabled[取消封包发送]no sFlow 1 destination 10.21.2.81[以tcpdump 确认主机是否收到封包]tcpdump host 10.21.3.7tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes14:49:42.950699 IP 10.21.3.7.53504 > 10.21.2.83.8603: UDP, length 1284七.CISCO netflow 如何设定需要在支持NETFOLW功能的交换机上进行相关配置ip flow ingress infer-fieldsip flow ingress layer2-switchedip flow-export version 5ip flow-export destination X.X.X.X. 9995 (要和NFSEN.CONF里面的埠号一致)ip route-cache flow infer-fields八.如何操作nfsenhttp://XXXXX/php/nfsen.php九.END。

Nfsen网络流量分析手册

Netflow网络流量分析手册作者：聂晓亮（毛蛋哥）目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮，网名毛蛋哥。

2004年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了Cisco认证培训，并获得了一些成绩。

本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。

作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

聂晓亮（毛蛋哥）的Blog：聂晓亮（毛蛋哥）的Wiki：欢迎交流：pharaohnie@二、为什么会有这本书在工作的几年当中，经常有朋友和一些网友问我一些关于流量分析的问题，诸如：●我们局域网怎么这么慢，是不是有人在下BT？●192.168.0.1也没人用，怎么网卡疯狂闪烁，它在做什么？●老板让我查查服务器为什么总是那么大流量，可我不知道从何下手。

●公司出口带宽不够了，但一时有没那么多带宽预算，我在考虑是不是要关掉一些和公司业务无关的协议，但不知道应该关哪些协议。

网络流量分析和监控指南

网络流量分析和监控指南随着互联网的飞速发展，网络安全已成为各个组织和个人面临的重要问题。

了解和监控网络流量是保障网络安全的重要一环。

本文将介绍网络流量分析和监控的基本概念、方法和工具，帮助读者更好地保护网络安全。

一、网络流量分析的基本概念网络流量分析是指对网络数据包进行捕获、解析和分析，以获取网络流量的相关信息。

网络流量分析可以帮助检测网络攻击、优化网络性能和提供安全事件响应等重要功能。

在进行网络流量分析之前，我们需要了解以下几个基本概念：1. 数据包（Packet）：是网络通信的基本单位，它包含了源地址、目标地址、传输协议以及有效载荷等信息。

2. 抓包（Packet Capture）：是指通过网络抓包工具，捕获网络中的数据包以便进行后续的分析和处理。

3. 流（Flow）：是指一组具有一致源地址、目标地址、端口号和协议的数据包序列，它代表了一次特定的通信会话。

4. 协议（Protocol）：是指互联网通信过程中使用的规则和约定，常见的协议有TCP、UDP、IP和HTTP等。

二、网络流量分析的方法和工具网络流量分析可以通过多种方法和工具来实现。

下面介绍几种常用的分析方法和工具：1. 流量分类分析：通过对网络流量进行分类，可以更好地理解各类流量的特征和行为。

常见的流量分类方法有基于端口、协议和应用程序等。

2. 故障排除分析：当网络出现故障时，可以通过分析流量来找到问题根源。

故障排除分析可以帮助定位网络连接问题、带宽瓶颈和设备故障等。

3. 安全事件分析：通过分析网络流量，可以检测和响应各类安全事件，包括入侵和恶意软件等。

常见的安全事件分析工具有入侵检测系统（IDS）和网络安全信息与事件管理系统（SIEM）等。

4. 性能优化分析：网络流量分析可以帮助识别网络性能瓶颈，从而提供性能优化的建议。

常见的性能优化分析方法有带宽利用率分析和延迟分析等。

5. 用户行为分析：通过分析网络流量，可以了解用户的行为和需求。

如何使用网络流量分析技术进行数据分析(一)

如何使用网络流量分析技术进行数据分析引言：随着互联网的普及和数字化时代的到来，海量的网络数据不断涌现，给数据分析带来了挑战，也为数据分析提供了更多的可能性。

网络流量分析技术作为一种有效的数据分析方法，能够从大量的网络数据中提炼有用的信息，为决策提供保障，本文将围绕如何使用网络流量分析技术进行数据分析展开论述。

一、网络流量分析技术介绍网络流量分析技术是指通过对网络传输过程中的数据包进行拦截、监视和分析，获取网络传输的有关信息，进而从中提取有价值的数据进行分析。

常见的网络流量分析技术包括数据包分析、流量建模、数据挖掘等方法。

二、网络流量分析技术在数据分析中的应用1. 网络安全领域的应用网络流量分析技术在网络安全领域有着广泛的应用。

通过对网络流量进行分析，可以发现恶意软件、网络攻击等安全威胁，并采取相应的防御措施。

例如，通过分析网络流量中的异常行为和异常流量，可以及时发现并阻断网络入侵行为，提升网络安全水平。

2. 业务运营优化对企业的网络流量进行分析，可以发现用户的行为模式和需求，从而优化运营策略。

例如，通过对用户网络行为的统计和分析，可以了解用户的访问习惯，从而针对性地提供个性化服务和产品推荐，提升用户体验，增加用户黏性。

3. 需求预测与决策支持网络流量分析技术可以通过对历史网络流量数据的挖掘和分析，来预测未来的需求趋势。

例如，通过对电商网站的流量进行分析，可以预测某一商品的销售状况，从而为生产和供应链提供业务决策支持。

4. 网络性能优化网络流量分析技术可以帮助企业优化网络性能，提升传输速度和数据可靠性。

通过对网络流量的监测和分析，可以发现网络拥塞、传输瓶颈等问题，并提出相应的优化方案，从而提高网络效率和质量。

三、网络流量分析技术的挑战与未来发展趋势1. 大数据处理网络流量数据庞大，处理起来具有一定的挑战。

如何高效地处理和存储大规模的网络流量数据，成为网络流量分析技术发展的关键问题。

未来，随着大数据技术的不断发展，相信网络流量分析技术将会更加成熟和高效。

nROSE 配置手册

1.3.
几种主要的流量控制措施......................................................................................................................... 8 1.3.1. 1.3.2. 1.3.3. 1.3.4. 1.3.5.
1.5. 1.6.
QoS 的监控与管理.................................................................................................................................. 33 典型配置举例............................................................................................................................................ 33 1.6.1. 流量监管使用........................................................................................................................... 34 模块化 QoS 命令行接口概述................................................................................................ 37 模块化 QoS 命令行接口配置................................................................................................ 37 模块化 QoS 命令行接口......................................................................................................................... 37 1.7.1. 1.7.2.

内容WinDump手册名称windump–获取网络流量命令格式windump

内容W i n D u m p手册名称w i n d u m p–获取网络流量命令格式w i n d u m pSANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#内容：WinDump手册名称windump–获取网络流量命令格式windump.txt6宽容润滑了彼此的关系，消除了彼此的隔阂，扫清了彼此的顾忌，增进了彼此的了解。

内容：WinDump手册名称windump–获取网络流量命令格式windump[-aBdDeflnNOpqRStvxX][-ccount][-Ffile][-iinterface][-mmodule][-rfile][-ssnaplen][-Ttype][-wfile][-Ealgo:secret][expression]描述Tcpdump输出网卡数据包中匹配布尔表达式的数据包头。

SunOS系统下使用nit或bpf:要运行tcpdump，你必须有对dev/nit或/dev/bpf*的权利。

Solaris系统下使用dlpi:你必须有对网络假设置的权利。

HP-UX系统下使用dlpi:你应该以超级用户ROOT或安装SETUID到ROOT下。

IRIX 下使用SNOOP：你应该以超级用户ROOT或安装SETUID到ROOT下。

LINUX下：你应该以超级用户ROOT或安装SETUID到ROOT下。

在系统Ultrix和DigitalUNIX：命令参数-a将网络和广播地址转化为名称-c接收指定数据包后退出-d接收人可读的包匹配编译代码到标准输出，然后停止-dd以C程序分段方式捕获包匹配代码-ddd以十进制数据形式捕获包匹配代码-e在每个捕获行打印链路层-Ealgo:secret为解密IPSEESP包使用算法。

算法可以是des-cbc,3des-cbc,blowfish-cbc,rc3-cbc,cast128-cbc,或none。

默认值是desc-cbc。

只有当TCPDUMP编译时使用激活加密选项时，才可以解密数据包。

利用Sniffer进行路由环流量分析

1. 环境简介这是一个实际发生的网络利用率异常导致网络大量丢包的案例，用户的网络丢包现象很严重，给用户造成了很大的困扰。

2. 网络环境用户的网络是一个省级网络环境，包括局域网和广域网，并同全国的广域网络相连。

网络拓扑如下：3.网络异常现象该网络丢包现象严重，如果通过省局域网向地市网络或全国网络发包，每发出10个PING包将只能收到7个REPLY包，这样，基于网络的应用受到很大的影响。

4.找出产生网络流量最大的主机我们同样利用Sniffer的Host Table功能，将该网络所有计算机产生的网络流量按照发出数据包的包数多少进行排序，结果如下图。

从上图中我们看到，IP地址为10.22.0.25的主机发出数据包最多，远远超过了其他主机，相应产生的流量也最大。

5.分析这台主机的网络流量首先我们分析该主机的网络流量流向，也就是分析它在向谁发包，我们利用Sniffer的Matrix功能来监控。

通过Sniffer的Matrix，我们发现IP地址为10.22.0.25的主机发出的数据包很分散，我们调查了一下，发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机，而它发包的对象是该网络中地市级路由器的IP地址，也就是说网络的网管主机向地市路由器发出大量的网络包，导致网络流量异常并导致网络大量丢包，使网络处于不稳定状态。

在发现这个问题后，我们将该网管主机的网络连接解除，发现网络马上恢复到了正常状态，不在有丢包现象发生，看起来这个网络的问题完全是由这台网管主机引起的一样，但这种现象非常难以理解，为什么网管主机会造成网络问题呢。

我们利用Sniffer的Decode功能将捕获到的网络流量解码，来分析网管主机发出的数据包的内容，看看到底它发出了什么样的数据包。

我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP Echo数据包，也就是Ping包，我们对其向10.22.127.246发送的ICMP Echo包进行分析，发现了奇怪的现象。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

2004年毕业于北京联合大学信息工程学院，热爱网络相关知识及摄影，机缘巧合参加了Cisco认证培训，并获得了一些成绩。

本书写于2008年10月，作者目前状态工作较为舒适，故有空闲时间完成此书。

聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。

作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。

●公司出口带宽不够了，但一时有没那么多带宽预算，我在考虑是不是要关掉一些和公司业务无关的协议，但不知道应该关哪些协议。

诸如这类问题还有很多，对于专业的网络人员当然不是什么难题，但对于一般非IT类公司的网管人员也许就是一个不可能完成的任务。

因此，才有了这本书，也就是说，这本书的目的就是帮助一般的网管人员了解他们所管理的网络运行情况，排查网速慢、个别主机大量占用带宽的问题。

三、流量分析原理(一)原始流量分析方式原始流量分析是通过复制网络流量至分析端，然后对其进行分析。

采用此类分析方式的好处是完全获取了网络的所有流量，可以对其进行深度分析，甚至是用户使用的搜索关键字；弊端是由于需要分析的流量较大，分析端负载会非常高，并不适合进行需要保存历史数据的长期分析。

(二)Netflow分析方式Netflow是Cisco公司开发出的一套协议，用于专门解决原始流量方式所产生的问题。

当在网络设备或其接口上开启Netflow功能后，网络设备会对需要进行分析的流量进行采样分析，并把采样分析的结果发送至分析段进行流量分析，当然这些采样分析的结果要比原始数据小的多的多。

其中网络设备采样分析的结果数据会包含源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。

使用Netflow分析方式的好处显而易见，分析端得到的已经不再是原始数据，而是一个初步分析结果，只要对这些初步结果进行二次分析即可获得更多的数据。

由于网络设备发送过来的初步分析结果远小于原始数据，因此分析端可以充分利用CPU做更多的历史分析，也就解决了原始数据分析方式所导致的无法分析较长时间数据的问题。

当然，在Netflow分析方式中，由于分析端得到的不是原始数据，自然也无法获得像用户搜索关键字这样的详细信息。

两种分析方式各有特点，建议在进行长期数据分析或进行流量统计分析时使用Netlfow分析方式。

在需要对网络协议进行分析时，如Skype无法连接服务器这样的情况时使用原始数据分析方式。

四、流量采样(一)在网络设备上开启Netflow功能这里只列出如何在Cisco设备上开启Netflow功能。

一般情况下，Cisco 路由器都能支持Netflow功能，而交换机只有一些高端系列能够支持Netflow 功能。

下面以一台Cisco 4507R交换机配置为例说明如何在Cisco交换机上开启Netflow功能。

其中需要Cisco 4507R和Netflow分析端可以相互Ping通，才能确保Netflow数据可以顺利的送达分析端进行分析。

4507R上的Netflow基本配置如下：ip flow ingress infer-fieldsip flow ingress layer2-switchedip flow-export destination 192.168.1.1 9995192.168.1.1为Netflow分析端的IP地址，9995表示Cisco 4507R向Netflow分析端的UDP 9995发送Netflow数据。

验证一下Cisco 4507R是否已经开始发送Netflow数据：Cisco-4507R#show ip flow exportFlow export v5 is enabled for main cacheExporting flows to 192.168.1.1 (9995)Exporting using source interface Loopback0Version 5 flow records40 flows exported in 3 udp datagrams0 flows failed due to lack of export packet0 export packets were sent up to process level多进行几次验证，如果看到橘黄色字体的部分保持持续增长，则表明已经开始发送Netflow数据了。

(二)网络设备不支持Netflow在一些非IT行业的中小企业以及一些中小学校中，网络环境相对简单，网络设备不一定支持Netflow功能。

对于这样的环境也有相应的解决方法-Fprobe。

1.部署方式Fprobe是一款在FreeBSD（FreeBSD的安装方法见五-(二)）下运行的软件，它可以将其接口收到的数据转化为Netflow数据，并发送至Netflow分析端。

我们可以通过部署这样一台服务器，并将网络流量镜像至此服务器来实现对网络流量进行Netflow分析。

其部署方式如下：如果经费不足，可以将Fprobe和Netflow部署在同一台服务器中，如下图：Fprobe和Netflow部署在同一台服务器的方式较为普遍，因此我们将按下图举例Fprobe的安装及配置网络设备镜像流量，此处所使用的网络设备为Cisco 4507R。

Cisco 4507R与服务器使用2跟线缆连接，左边的线缆用于将进入4507R 的gi1/3的流量镜像至服务器的fxp0，由于fxp0接口用于接收镜像流量，因此fxp0可以不分配IP地址。

右边的线缆用于保持服务器的网络连通性，这样可以使网络管理员从任何位置都可以用192.168.1.1访问服务器并进行流量分析。

2.安装Fprobefb# cd /usr/ports/net-mgmt/fprobe/fb# make install cleanfb# rehash3.启动Fprobe查看服务器的接口名称。

fb# ifconfigfxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500options=8<VLAN_MTU>ether 00:90:27:a5:58:16media: Ethernet autoselect (100baseTX <full-duplex>)status: active确认接口名称为fxp0后，启动fprobe。

fb# fprobe -i fxp0 127.0.0.1:9555上面的命令表示把接口fxp0收到的数据转化为Netflow数据并发送至本机的UDP 9555。

如果采用Fprobe和Netflow分开部署的方式，请将127.0.0.1改为Netflow分析端的IP地址，并保证Fprobe服务器和Netflow服务器可以相互ping通。

4.镜像流量至Fprobe服务器Cisco-4507R(config)#monitor session 1 source interface gi1/3rxCisco-4507R(config)#monitor session 1 destination interface gi1/4上面的命令表示将gi1/3收到的流量复制到gi1/4。

5.检测是否收到Netflow数据fb# tcpdump -n -i lo0 dst port 9555tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes14:00:44.016020 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:49.018368 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:54.018791 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464 14:00:59.018328 IP 127.0.0.1.65504 > 127.0.0.1.9555: UDP, length 1464如果能收到如上所示信息（桔黄色部分），则表示已经成功的将4507R发送的数据转化为Netflow数据并发送至本机的UDP 9555。

五、部署服务器Netflow数据的收集及分析是通过Nfsen来实现的，Nfsen同样是FreeBSD 下的免费软件。

它完全基于浏览器进行分析和控制。

(一)硬件需求Nfsen对于CPU的要求较内存的更高一些，我们部署了一台服务器，CPU 为Xeon 3.0，内存为2G，硬盘60G。

这台服务器处理双向共为1.8Gbps的原始数据，Netflow数据为1Mbps。

从这里也可以看出原始数据与Netflow数据的大小对比。