以前,分析网络流量一般是使用Hub或者在交换机设置镜像,使用Sniffer等网络嗅探工具

查看全部网络流量。这种方法有一个最大的问题,如果要分析多个网络的流量,就要在多个

交换机上设置镜像,而且要专门布线将镜像口的流量传送到安装网络嗅探工具的终端上,

十分的不方便。

Netflow技术为网络流量分析提供了一种更加方便的方法,如果路由器支持该技术,就可以在

路由器上配置相关命令,将流量发送到指定的终端上。

为了测试该技术,在主机上搭建了虚拟网络环境。

使用VMware创建一台虚拟机,在虚拟机中运行Dynamips软件,模拟两台思科3640组成的网络,

其中一台路由器的百兆以太网接口连接到虚拟机的网卡,即桥接到虚拟机上。两台路由器配置OSPF

路由协议

路由器A:

router ospf 100

network 192.168.10.0 0.0.0.255 area 0
network 192.168.11.0 0.0.0.255 area 0

 

路由器B:

router ospf 100
network 192.168.10.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0

 

其中192.168.10.0为网间网网段。

在虚拟机上安装Netflow analyzer软件。

在路由器上设置Netflow

ip flow-export source FastEthernet1/0
ip flow-export version 9
ip flow-export destination 192.168.11.1 9996

192.168.11.1是虚拟机的地址

interface FastEthernet1/0
ip address 192.168.10.1 255.255.255.0
ip flow ingress
ip flow egress
ip route-cache flow

FastEthernet1/0是路由器之间的互联接口

在Netflow analyzer中,切换到接口视图,会定时更新页面。Netflow设置完成后,

会自动出现一台可以被监控的路由器和接口,点击接口,还可以查看该接口流量的分布情况,

对标准的应用,会自动识别出现,例如ICMP。对自定义的应用,支持进行定义。

继续完善。

 

接口视图中,提示路由器时间与主机时间不同步。

在路由器中设置时间

clock timezone PST 8

clock set 20:23:00 21 may 2012

时间同步。

还可以设置SNMP

snmp-server community public RW

让Netflow analyzer可以获取路由器和接口的名字。

 

通过该环境,可以对分布在不同网络中的多台路由器集中进行监视,大大降低了实施监控的工作量。