Настраиваем NetFlow на Cisco Печать


NetFlow — это протокол, разработанный компанией Cisco и предназначенный для сбора информации об IP-трафике внутри сети. Маршрутизаторы Cisco анализируют проходящий через интерфейс траффик, суммируют данные и отправляют статистику в формате NetFlow на специальный узел, называемый NetFlow Сollector. NetFlow часто используется для ведения биллинга или для анализа траффика сети. Протокол существует в нескольких версиях, последняя версия 9 предназначена для учёта траффика между АС (Автономная Система) и в импортируемых данных имеет несколько дополнительных полей таких как АС источника, АС назначения и пр., но обычно, для биллинга в не сложной сети внутри одной АС достаточно информации, содержащейся в данных NetFlow версии ‎5.

В общем случае, для того, чтобы настроить протокол NetFlow на устройствах Сisco, необходимо выполнить следующие команды:

conf t
ip flow-export destination 10.1.11.111 9991
ip flow-export version 9
ip flow-export source loopback1
ip flow-cache timeout active 1
ip flow-cache timeout inactive 15

interface G0/0
ip flow ingress
ip flow egress
exit

Строчка

ip flow-cache timeout active 1

указывает с какой периодичностью добавлять в кеш netflow, данные о трафике ещё активной сессии.

Другими словами, если пользователь скачивает большой файл за 30 минут, и timeout active = 40 минут, то поток считается непрерывным, и информация о том сколько скачал пользователь на 15 минуте закачки не отправится на netflow collector, а если timeout active = 5 минут, то каждые 5 минут данные о текущем потоке записываются в кеш на маршрутизаторе и импортируются на коллектор. Чем меньше значение, тем точнее на коллекторе информация о текущих закачках, но тем больше записей NetFlow гоняется по сети и хранится на коллекторе.

ip flow-cache timeout inactive 15

- указывает время, в течение которого если в существующем потоке не передаются данные, то он закрывается, и информация о нём записывается в кеш, а затем передаётся на коллектор.

 

Проверить работает ли NetFlow на устройстве можно так:

show ip flow export
show ip cache flow

Более подробно читайте на cisco.com

Автор Bordac, http://bloggik.net