【RSR】RSR如何配置IPFIX

功能介绍

IPFIX 全称为IP Flow Information Export，即IP数据流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要优势在于：

1：该协议可工作于任何厂商的网络设备和管理系统平台之上，并用于输出基于网络设备的流量统计信息。这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。

2：输出格式具有较强的可扩展性，因此如果流量监控的要求发生改变，网络管理员也可通过修改相应配置来实现，不必升级网络设备软件或管理工具。

IPFIX 是基于“流”的概念。网络设备以七个关键域来表示每股网络流量：源 IP 地址、目的IP 地址、源端口、目的端口、三层协议类型、服务类型（Type-of-service）字节、输入逻辑接口。如果不同的IP报文中所有的七个关键域都匹配，那么所有这些IP报文都将被视为属于同一股流量。通过记录网络中这些流量的特征，如流量持续时间、流量中报文平均长度等，我们可以了解到当前网络的应用情况，根据这些信息对网络进行优化、安全检测、流量计费。

IPFIX 主要包括三个设备Export、Collector、Analyzer，三个设备之间的关系如下。

1： Export对网络流进行分析处理，提取符合条件的流统计信息，并将统计信息输出Collector。一般来说，Export为使能了IPFIX功能的网络设备，如路由器、交换机等。

2：Collector 负责解析Export的数据报文，把统计数据收集到数据库中，可供Analyser 进行解析。

3：Analyser 从Collector 中提取统计数据，进行后续处理，为各种业务提供依据,以图形界面的形式显示出来。

注意：在当前的应用环境中，一般将Collector与Analyser整合成一台服务器。如NETFLOW软件服务器就是整合了Collector与Analyser的所有功能。

应用场景

企业网管人员需要监控整个网络的流量，通过部署netflow软件，采集路由器的流量信息（包括接口流量、设备转发的流量等），那么路由器上可以启用ipfix功能，通过ipfix功能给网管软件传送相应的流量信息，供网管人员分析。

一、组网需求：

RSR50路由器作为出口，同时在内网中部署一台NETFLOW服务器用于出口的流量信息。

二、组网拓扑：

三、配置要点：

1、配置路由器的IPFIX功能

2、配置NETFLOW软件

四、配置步骤

1、配置路由器的IPFIX功能

（1）配置目标netflow服务器的IP与端口，默认端口号为9996。

ip flow-export destination 10.0.0.2 9996

（2）配置输出流记录的源IP，默认为该设备对应出接口的IP地址。

ip flow-export source gigabitEthernet 0/1

（3）配置流模板输出频率。

ip flow-export template timeout-rate 5

ip flow-export template refresh-rate 30

注意：以上配置流模板的输出频率为每发送30个报文、或5分钟后重传流模板。默认情况下系统将每隔20个报文、或5分钟后重传流模板。

（4）配置流记录输出的报文格式。

ip flow-export version 9  //配置ipfix使用version 9的报文格式输出。

注意：我司路由器支持ipfix/version9两种报文输出格式；但由于有些分析软件可能不支持version9报文格式，因此一般建议采用ipfix格式。

（5）配置缓存中流记录老化参数。

ip flow-cache timeout active 1             //配置活跃流老化时间为1分钟

ip flow-cache timeout inactive 10        //非活跃流老化时间为10秒

IPFIX是根据通过路由器转发的数据流来进行流量统计的。只有在某条流老化后，才会将该流的信息、该流的流量大小等按流模板生成CFLOW数据并封装进UDP报文，发往配置好的服务器。那么，如何判断一条流是否老化呢？

1）当在一定时间内（记做非活跃时间）没有检测到属于该流的报文，则这个流已经老化，应该输出流信息。

2）当某个流持续太长时间，我们不能无限地记录它的信息，我们设定一个时间（活跃时间），当超过这个时间，它也应该被老化，输出流信息。

根据不同的应用，所产生的数据流老化时间也不一样。例如HTTP等数据流属于突发型流量，每个HTTP应用的数据流都将会迅速老化，因此IPFIX能够将该数据流的状态实时地发往NETFLOW服务器。而诸如FTP、迅雷下载等应用的数据流，有可能等下载全部完成后该流（或多条流）才会老化。假如使用FTP下载一个文件花费了一小时的时间，那么在这种情况下，由于IPFIX默认活跃流的老化时间为30分钟，这将导致该FTP数据流状态每三十分钟才会更新一次，并发往NETFLOW服务器。导致在NETFLOW软件端分析出来的结果就会线路流量非常不稳定，并且时常有非常大的突发流量。

因此，根据不同的应用场景，缓存中的流记录老化时间是一个关键配置。

注意：流记录老化参数非常重要，若配置不恰当容易造成分析软件显示流量不准确等故障现象，因此建议按以上值配置（配置活跃流老化时间为1分钟，非活跃流老化时间为10秒）。

（6）使能流统计功能

ip access-list standard 1

    10 permit any              //配置ACL，定义需要进行统计的流量

interface gigabitEthernet 0/0

   ip flow egress            //使能该端口出方向的流量统计功能

   ip flow ingress          //使能该端口入方向的流量统计功能

   flow-sample 255 filter 1     //配置流采样率和需要统计的流量

注意：

1、由于RSR系列路由器IPFIX功能为软件实现，因此不支持对采样率进行配置。但可以通过标准或扩展ACL对采样的数据流进行过滤。

2、在接口配置了ip flow egress或ip flow ingress后，必须配置配置流过滤flow-sample功能，否则端口流量将无法转换为ipfix流量输出。

2、配置NETFLOW软件

确认软件监听端口与RSR路由器上配置的输出目的端口是否一致。若端口不一致，则会导致软件无法对流量进行分析。    

注意：NETFLOW软件具体配置请参照《NetFlowAnalyzer流量分析系统操作手册.pdf》

五、配置验证

1、查看已经开启netflow功能的接口

Ruijie#show ip flow interface

GigabitEthernet 0/0

  ip flow ingress

  ip flow egress

2、查看保存在缓存中的流信息

Ruijie#show ip flow cache

ip flow switching cache, 60000 entries

    38 active, 59962 inactive

    active flows timeout in 1 minutes

    inactive flows timeout in 10 seconds

Protocol       Total Flows    Total packets  Total bytes    Active time   

tcp-http       14             71             14296          294           

udp-ntp        1              1              76             62            

udp-http       2              2              60             123           

udp-dns        6              10             896            296           

udp-other      1425           2081           122699         82620         

udp            1434           2094           123731         83101         

tcp            14             71             14296          294           

Total:         1448           2165           138027         83395         

Display entries in main cache :

SrcIf   SrcIPAddress      DstIf   DstIPAddress      Pr   Tos  SrcPort DstPort Pkts        ActiveTime 

1       84.229.249.50     2   192.168.33.187    17   0    4671    23887   0       37

2       192.168.33.187    1   83.149.116.231    17   0    15005   4254    1       54

2       192.168.33.187    1   193.138.230.251   17   0    15005   4254    1       9

2       192.168.33.187    1   190.51.222.59     17   0    23887   11331   1       41

2       192.168.33.187    1   88.191.40.237     17   0    15005   3310    1       24

2       192.168.51.34     65535 192.168.51.255    17   0    137     137     0      7

2       192.168.33.62     1   192.168.33.255    17   0    137     137     1        13

注意：Cache中所保存的为当前激活的流，待流老化后设备会将流统计信息发往NETFLOW服务器。

3、查看已经输出的流信息

Ruijie#show ip flow export

cache for main metering process:

        flow export is enabled

        Exporting flows to 10.0.0.2 (2055)

        Exporting using source interface GigabitEthernet 0/1

        Template export information:

           Template timeout = 5 minutes

           Template refresh rate = 30 packets

        total 2070 packets metering

        total 0 packets dropped for no memory

        total 1366 flows exported in 180 udp datagrams

        0 ipfix message export failed

注意：当NETFLOW服务器无法监测到流量时，需要重点关注show ip flow export中的信息。确认输出的目的地址与端口，及输出的数据包统计信息等。

 4、查看NETFLOW软件上的监控信息

（1）查看接口的流量与速率统计信息：

（2）查看某个接口的实时流量

附录：FAQ

1、在NETFLOW服务器上抓包，可以抓到IPFIX的UDP数据包，但是NETFLOW服务器上却无法获取到数据进行分析。

       请检查操作系统上的防火墙、杀毒软件的配置。

2、NETFLOW软件上的实时流量图不准确，有较大波动。

       配置缓存中的流老化参数为一个较小的值。

ip flow-cache timeout active 1

ip flow-cache timeout inactive 10

       配置的老化时间越小，NETFLOW软件分析出的实时流量值就越精确。

3、RSR系列路由器是否可以配置IP FIX的采样率

由于RSR系列路由器ip fix功能为软件实现，因此虽然命令行里有配置采样率的命令：

flow-sample packet-number filter acl-name

但实际采样功能不生效，配置这条命令的目的是为了对该端口送往ipfix模块的流量（该流量来源于端口配置了ip flow ingress与ip flow egress）用ACL进行过滤，从而对匹配ACL的流量进行分析，向NETFLOW服务器输出流量信息，而packet-num参数没有实际意义。最终的采样率都为1：1。

由于交换机IPFIX功能为硬件实现，因此支持采样率的修改。

 4、NETFLOW软件无法显示设备上的接口名称

默认情况下，NETFLOW软件无法正确显示路由器的接口名，只能显示出接口索引号。若希望NETFLOW上能够显示路由器的接口名，则需要在路由器上配置SNMP参数，并在NETFLOW软件上添加SNMP管理设备。

在NETFLOW软件上添加SNMP管理设备：