NetFlow V9协议解析使用教程（一）
NetFlow V9协议解析使用教程(二)-配置，采集，处理NetFlow
一.实践环境
1.不是每一台交换机或者路由器都支持Netflow,如果不支持可以使用Fprobe监听流量，生成Netflow
2.采用的是中兴路由器，其它路由器如何设置要看它的用户手册了，但这里提供思路参考

比如现在想监听路由器1网口的双向流量，然后将NetFlow发往某个可达到的IP地址(例子:192.168.20.12)
中兴路由器配置如下:

ZXR10(config)#flow exporter exp //配置NetFlow输出策略,如果想要删除,则no flow exporter exp
ZXR10(config-flow-exporter)#destination ipv4-address 192.168.20.12  //将NetFlow数据报发送到192.168.20.12
ZXR10(config-flow-exporter)#transport udp 555   //端口为555,OSSIM接收的端口为555
ZXR10(config-flow-exporter)#export-protocol netflow-v9  //NetFlow的版本为V9
ZXR10(config-flow-exporter)#template data refresh 20 //将模板按照输出的netflow报文个数进行重复发送，范围1~600，默认值为20。
ZXR10(config-flow-exporter)#template data timeout 30  //将模板按照时间重发，范围1~86400，默认值是600秒。
ZXR10(config-flow-exporter)#exit  ZXR10(config)#sampler sam //配置NetFlow采样策略
ZXR10(config-sampler)#mode deterministic 1-out-of 1  //deterministic表示采样方式为非随机采样，1-out-of 1表示对所有包都进行采样
ZXR10(config-sampler)#exit  ZXR10(config)#flow record rec //创建NetFlow记录策略，并设置关键字段和非关键字段,其中match为关键字段，collect为非关键字段
ZXR10(config-flow-record)#match ipv4 source address
ZXR10(config-flow-record)#match ipv4 destination address
ZXR10(config-flow-record)#match transport source-port
ZXR10(config-flow-record)#match transport destination-port
ZXR10(config-flow-record)#collect counter bytes //采集的计数单位
ZXR10(config-flow-record)#collect counter packets
ZXR10(config-flow-record)#collect timestamp absolute first-millisec //flow第一个数据报到达的时间
ZXR10(config-flow-record)#collect timestamp absolute last-millisec  //flow最后一个数据报到达的时间
ZXR10(config-flow-record)#exit ZXR10(config)#flow monitor mo //配置监测策略,这个配置和路由器发送Netflow数据报的速率有关
ZXR10(config-flow-monitor)#cache entries 16  //配置缓存大小，单位为flow的个数，最小16，即缓存的flow数目达到16才会发送NetFlow数据报
ZXR10(config-flow-monitor)#cache timeout active 60 //设置flow活跃老化时间
ZXR10(config-flow-monitor)#cache timeout inactive 10 //设置flow非活跃老化时间
ZXR10(config-flow-monitor)#exporter exp //关联到NetFlow输出策略exp
ZXR10(config-flow-monitor)#record rec //关联到NetFlow输出的记录格式策略rec
ZXR10(config-flow-monitor)#exit ZXR10(config)#interface gei-1/1 //配置NetFlow接口
ZXR10(config-if-gei-1/1)#no shutdown
ZXR10(config-if-gei-1/1)#ip flow monitor mo sampler sam input //在接口上设置对IPv4报文的采样
ZXR10(config-if-gei-1/1)#ip flow monitor mo sampler sam output
ZXR10(config-if-gei-1/1)#exit
ZXR10(config)#show running-config ipflow    //查看NetFlow配置

二.采集NetFlow数据包
1.路由器发送Netflow数据包的形式为（其它路由器可能有别的形式，形式类别参考第一篇写的）:
(1)定时发送只带模板信息的Netflow数据包
(2)发送NetFlow数据包，不带模板信息

2.采集NetFlow数据包的工具:
(1)nfdump //用于采集和处理Netflow数据包，是个工具集
nfdump-1.6.17.zip
安装:
unzip nfdump-1.6.17.zip
cd nfdump-1.6.17
./configure
make
make install
然后再/usr/local/bin目录下会有nfcapd,nfdump,nfanon,nfexpire,nfreplay组件
nfcapd用于抓Netflow包并存储在磁盘，运行命令
/usr/local/bin/nfcapd -w -D -B 200000 -S 7 -p 555 -l /IDE/netflow
nfdump用于解析存储下来的netflow文件，也可以进行统计汇聚
nfdump -r nfcapd.201905020900 -o line
参考
https://blog.csdn.net/zhongbeida_xue/article/details/62218611
(2)nfsen //用于可视化和统计汇聚netflow数据文件
(3)OSSIM其实也就是用的nfdump+nfsen

NetFlow V9协议解析使用教程(二)-配置，采集，处理NetFlow相关推荐

1. php cms使用视频教程,PHPCMS v9视频模块使用教程二

   三.使用 1.本地上传.前面的步骤都完成后既可以使用视频模块了,可以直接在视频库管理中添加视频,也可以在视频模型的栏目添加内容是选择上传.视频文件是直接上传到酷6服务器的,需要一段上传和审核时间.完成 ...

2. 海洋CMS火车头数据采集教程-自动配置采集发布模块教程

   海洋CMS火车头采集以及发布模块,怎么用火车头采集器实现海洋CMS自动采集发布,大家都知道火车头采集器的采集规则是需要撰写,火车头的发布模块是需要制作,没有编程能力是无法让自动采集发布.今天给大家分享 ...

3. 调用wireshark（二）：调用协议解析器

   上文[调用wireshark(一):初次尝试 http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html ]已经介绍了调用wireshar ...

4. Mac下Android studio 之NDK配置教程(二)

   Mac下Android studio 之NDK配置教程(二) (一)简述 从上一篇NDK配置教程(一) 中,我 简单的阐述了MAC下NDK的基本解压和环境配置步骤. 本节我讲详细描述android s ...

5. 人工智能之配置环境教程二：在Anaconda中创建虚拟环境并在VsCode中使用

   人工智能之配置环境教程二:在Anaconda中创建虚拟环境安装pytorch并在VsCode中使用虚拟环境 作者介绍 一. 在Anaconda中创建虚拟环境 1. 进入本地终端 1.1 键盘使用**w ...

6. 树莓派教程二-网络配置

   2019独角兽企业重金招聘Python工程师标准>>> 因为做毕设,寒假在折腾树莓派,搞得差不多,写了几篇文章,供大家学习,原文在爱板网,然后我转到果壳这里来乐:树莓派教程二-网络配 ...

7. wireshark协议解析器 源码分析 封装调用

   源码分析 Wireshark启动时,所有解析器进行初始化和注册.要注册的信息包括协议名称.各个字段的信息.过滤用的关键字.要关联的下层协议与端口(handoff)等.在解析过程,每个解析器负责解析自己 ...

8. Java+MyEclipse+Tomcat (二)配置Servlet及简单实现表单提交

   在Java EE应用编程中Servlet是基础,JSP是建立在Servlet基础之上的,其他Web框架如Struts.WebWork和Spring MVC都是基于Servlet的.本文主要讲述MyEc ...

9. 公网传输技术之SRT协议解析（上）

    点击上方"LiveVideoStack"关注我们 作者:张博力 编辑:Alex ▼扫描下图二维码或点击阅读原文▼ 了解音视频技术大会更多信息 " 摘  要:SRT协议( ...

最新文章

1. 用oracle用户登陆toad,配置Toad连接远程Oracle数据库
2. MTK radiooptions 分析
3. WMI入门（三）：我需要的类在哪里？
4. 在ASP.NET MVC 4中使用Kendo UI Grid
5. Ubuntu 每日技巧- 自动备份Ubuntu 14.04到Box云存储上
6. Fragment Or DialogFragment Can not perform this action after onSaveInstanceState
7. 来看看比尔盖茨当年写的BASIC解释器源代码吧，你就知道泰勒级数有什么用了...
8. 【恋上数据结构】图基础知识介绍
9. CSS你可以不写，但这些规范必须要知道！
10. 数据库的数据进行改动，Cognos报表展示未及时更新
11. java调用python机器学习模型的坑
12. 台达EH3系列PLC与温控器的MODBUS RTU通信例程
13. Eclipse hibernate Tools下载
14. 【C 语言提高、进阶】Day 3
15. 曼哈顿算法公式_曼哈顿最小距离算法
16. python 批量转换docx只转换了一个出现pywintypes.com_error被调用的对象已与其客户端断开连接
17. 欧拉图简述---（一笔画问题）
18. pandas数据合并：concat、join、append
19. 明天见！2022智算峰会亮点抢先看
20. python批量裁剪图片_Python 图片批量裁剪

热门文章

1. 王者服务器维护杨戬,王者荣耀：体验服杨戬被动最高减60％受控时间，还需要韧性鞋吗...
2. Unity制作360全景图
3. Ubuntu20.04中VScode不能输入中文解决
4. 超详细的 Galgame 各种模拟器及工具使用教程
5. 判断给定的点们是否共线
6. spring cloud配置eureka出现 FreeMarker template、freemarker、Tip: It‘s the step等
7. 计算机应用基础是背的吗,计算机应用基础教学
8. Get和Post区别是什么
9. 修改美化MATLAB字体设置
10. 首席商学院新媒体运营创始人黎想：B站用户运营策略分析报告！