Tweet
Bạn có bao giờ muốn biết chi tiết ai đang làm gì trên mạng của bạn, thiết bị nào chiếm băng thông, ứng dụng nào gây nghẽn? Cisco NetFlow chính là giải pháp đỉnh cao cho bài toán giám sát và phân tích lưu lượng IP! Dưới đây là bản tổng hợp súc tích và thực chiến cho phần 6.11 – Cấu hình và xác minh Cisco NetFlow.
📌 Khái niệm cốt lõi
NetFlow là tính năng kế toán lưu lượng (traffic accounting) chạy song song trên CEF (Cisco Express Forwarding). Nó ghi nhận và tổng hợp các dòng lưu lượng (flow) đi qua router hoặc switch, sau đó xuất thông tin đó đến collector để phân tích.
🧠 Lưu ý: Mỗi “flow” chỉ được tạo khi lưu lượng đi qua thiết bị, không tính traffic được tạo ra từ chính router.
🔄 Vòng đời của một flow
🎯 Sampling và Filtering
🧱 Cấu hình cơ bản
Router(config)# ip flow-cache timeout active 15 Router(config)# ip flow-cache timeout inactive 30 Router(config)# interface fa0/0 Router(config-if)# ip flow ingress Router(config-if)# ip flow egress
📍 Kích hoạt NetFlow ở cả ingress và egress để bắt được toàn bộ hành vi mạng.
📡 Export Flow đến Collector
Router(config)# ip flow-export destination 192.168.1.100 9996 Router(config)# ip flow-export version 9
🧠 Thuật ngữ quan trọng
🧪 Kiểm tra và xác minh
bash
show ip flow interface show ip cache flow show ip flow export show ip flow export template
💡 Top Talkers – Ai đang “nói nhiều” nhất trên mạng?
Router(config)# ip flow-top-talkers
Router(config-flow-top-talkers)# top 10
Router(config-flow-top-talkers)# sort-by packets
Router(config-flow-top-talkers)# match protocol 1 show ip flow top-talkers
Hữu ích khi cần tìm ra thiết bị “ngốn băng thông” hoặc nghi vấn DDoS nội bộ.
🧰 Cấu hình Sampling
Router(config)# flow-sampler-map SAMPLE10
Router(config-sampler)# mode random one-out-of 10
Router(config-if)# flow-sampler SAMPLE10 egress
Dùng khi bạn chỉ cần phân tích một phần nhỏ lưu lượng để tiết kiệm tài nguyên.
🌐 Tổng kết
NetFlow là công cụ “must-have” cho:
Với version 9 + sampling + aggregation, NetFlow không chỉ dừng lại ở giám sát mà còn giúp bạn đưa ra quyết định chiến lược về mạng.
📌 Khái niệm cốt lõi
NetFlow là tính năng kế toán lưu lượng (traffic accounting) chạy song song trên CEF (Cisco Express Forwarding). Nó ghi nhận và tổng hợp các dòng lưu lượng (flow) đi qua router hoặc switch, sau đó xuất thông tin đó đến collector để phân tích.
- Flow là sự kết hợp của 7 trường định danh:
- Source IP
- Destination IP
- Source Port
- Destination Port
- Protocol
- ToS
- Interface (ifIndex)
🧠 Lưu ý: Mỗi “flow” chỉ được tạo khi lưu lượng đi qua thiết bị, không tính traffic được tạo ra từ chính router.
🔄 Vòng đời của một flow
- Thiết bị phát hiện traffic và ghi lại vào NetFlow Cache.
- Flow sẽ bị xóa khỏi cache trong các trường hợp:
- Inactive (không có lưu lượng trong 15s - mặc định)
- Active timeout (30 phút - mặc định)
- Cache đầy (FIFO)
- Nhận gói TCP FIN hoặc RST
- Flow được export về collector theo định kỳ.
🎯 Sampling và Filtering
- Sampling: Chỉ ghi nhận 1 trong N gói, giúp giảm tải tài nguyên. Ví dụ: 1 in 100 packets.
- Filtering: Lọc lưu lượng theo protocol/class để tập trung phân tích chuyên biệt.
🧱 Cấu hình cơ bản
Router(config)# ip flow-cache timeout active 15 Router(config)# ip flow-cache timeout inactive 30 Router(config)# interface fa0/0 Router(config-if)# ip flow ingress Router(config-if)# ip flow egress
📍 Kích hoạt NetFlow ở cả ingress và egress để bắt được toàn bộ hành vi mạng.
📡 Export Flow đến Collector
Router(config)# ip flow-export destination 192.168.1.100 9996 Router(config)# ip flow-export version 9
- V9 cho phép xuất nhiều thông tin hơn: IPv6, MPLS, BGP next-hop...
- V5: chỉ hỗ trợ IPv4, định dạng cố định, không mở rộng được.
🧠 Thuật ngữ quan trọng
- Flow: phiên giao tiếp
- Flow-Record: bản ghi thông tin flow
- Export Packet: gói chứa các flow-record gửi đi
- Template Record (Schema): định nghĩa cấu trúc flow-record
- Options Record: chứa thông tin cấu hình, như sampling
🧪 Kiểm tra và xác minh
bash
show ip flow interface show ip cache flow show ip flow export show ip flow export template
💡 Top Talkers – Ai đang “nói nhiều” nhất trên mạng?
Router(config)# ip flow-top-talkers
Router(config-flow-top-talkers)# top 10
Router(config-flow-top-talkers)# sort-by packets
Router(config-flow-top-talkers)# match protocol 1 show ip flow top-talkers
Hữu ích khi cần tìm ra thiết bị “ngốn băng thông” hoặc nghi vấn DDoS nội bộ.
🧰 Cấu hình Sampling
Router(config)# flow-sampler-map SAMPLE10
Router(config-sampler)# mode random one-out-of 10
Router(config-if)# flow-sampler SAMPLE10 egress
Dùng khi bạn chỉ cần phân tích một phần nhỏ lưu lượng để tiết kiệm tài nguyên.
🌐 Tổng kết
NetFlow là công cụ “must-have” cho:
- Capacity Planning
- Security Monitoring
- Traffic Optimization
- Billing theo ứng dụng
Với version 9 + sampling + aggregation, NetFlow không chỉ dừng lại ở giám sát mà còn giúp bạn đưa ra quyết định chiến lược về mạng.