如何使用netflow

使用NFDUMP来分析NETFLOW V9流量(2009-12-06 22:20:23)转载标签： netflowv9nfdumpciscoit
使用NFDUMP来分析NETFLOW V9流量
今天测试了使用nfdump来分析来自netflow的流量采样，过程如下：
第一步：安装nfdump，这个比较简单，下载并解压后先./configure，再make,最后make install就可以了
第二步：启动监听：nfcapd -w -D -l /data/flow/zzcrs -t 900 -S 1 -p 9000
-w指出每隔一段时间同步到文件，时间间隔由-t参数指定
-D 启动到后台，即以Daemon mode形式启动
-l 指定文件保存的基本目录，-S指定子目录的格式，这里1代表%Y/%m/%d year/month/day
-p 指定监听的端口，这里使用UDP 9000，注意要把防火墙打开

第三步：配置路由器，这里以CISCO公司的CRS路由器为例配置
1）配置输出模板,主要指定我们安装nsfdump的电脑的IP地址及配置的监听端口，这里设定为1.1.1.1，端口如前所示为UDP 9000
flow exporter-map XX_LOCAL_EXPORT_MAP
version v9
options interface-table timeout 600
options sampler-table timeout 600
template data timeout 600
template options timeout 600
!
transport udp 9000
source Loopback0
destination 1.1.1.1
!

2)配置监控模板，引用我们之前定义的输出模板，注意这里可以指定多个输出模板
flow monitor-map XX_MONITOR_MAP
record ipv4
exporter XX_LOCAL_EXPORT_MAP

3）配置采样模板，这里配置的采样比为1000:1
sampler-map XX_SAMPLER_MAP
random 1 out-of 1000

4）在接口g0/0/0/0出方向上启用我们的netflow采样
int g0/0/0/0
flow ipv4 monitor XX_MONITOR_MAP sampler XX_SAMPLER_MAP egress

5)提交我们的配置
commit

最后一步：查看采样结果，这里对目标地址进行汇总，默认取top 10,并按默认的流排序/flows,也可以按字节/bytes等等,具体可以看看MAN
nfdump -r nfcapd.200912062120 -s dstip/flows