使用路由器作流量检测的几种方法

发布时间：2006.04.19 05:40 来源：51CTO 作者：unknown

一、ip accounting

1、配置方法

router(config)#int s 0/0

router(config-if)#ip accounting output-packets

router#sh ip accounting output-packets

Source Destination Packets Bytes

192.1.1.110 192.1.1.97 5 500

172.17.246. 128 192.1.1.110 8 704

Accounting data age is 2d23h

或者

router(config)#int s 0/0

router(config-if)#ip accounting access-violations

router#sh ip accounting [checkpoint] access-violations

Source Destination Packets Bytes ACL

192.1.1.110 224.0.0.5 46 3128 19

Accounting data age is 7

2、说明

此方法如果在路由器负载特大的时候请谨慎使用，因其会使系统性能下降；基于地址对的字节数量及数据包数量统计；通常只支持outbound的数据包，及被ACL拒绝的数据包（支持IN 和 OUT方向的ACL）；只统计穿越路由器的流量，源或目的是该路由器的数据包不做统计；支持所有的switching path，除了Autonomous Switching；可以通过SNMP来访问统计值，MIB是OLD-CISCO-IP-MIB, lipAccountingTable；ip accounting还支持其他的监测方式，如基于tos,mac-address等。

二、netflow

1、配置方法

router (config-if)#ip route-cache flow

router (config)#ip flow-export destination 172.17.246.225 9996

router (config)#ip flow-export version 5

Optional configuration

router (config)#ip flow-export source loopback 0

router (config)#ip flow-cache entries <1024-524288>

router (config)#ip flow-cache timeout

sh ip cache flow

IP packet size distribution (132429191 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480

.000 .191 .024 .009 .010 .006 .005 .008 .003 .005 .003 .003 .002 .001 .001

512 544 576 1024 1536 2048 2560 3072 3584 4096 4608

.001 .002 .107 .032 .578 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes

33 active, 4063 inactive, 7975259 added

104834714 ager polls, 0 flow alloc failures

Active flows timeout in 30 minutes

Inactive flows timeout in 15 seconds

last clearing of statistics never

Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)

-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow

TCP-Telnet 25378 0.0 12 652 0.0 22.9 15.2

TCP-FTP 432435 0.1 4 59 0.4 1.2 2.7

TCP-FTPD 28670 0.0 212 1397 1.4 8.2 1.6

TCP-WWW 4682530 1.0 15 927 16.4 2.4 4.6

2、说明

统计基于流（包括地址对、端口号、协议类型等）的数据量；只支持inbound的流量；只支持单播；只能在主端口配置；需要和cef或fast switching一起使用；对路由器性能有影响。

10,000 active flows: < 4% of additional CPU utilization

45,000 active flows: <12% of additional CPU utilization

65,000 active flows: <16% of additional CPU utilization
(e129)

[ 发表评论 ] 字体[ 大、中、小 ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ] [ 推荐给朋友 ]

【相关文章】

·	传统路由协议扩展最大限度减少网络中断	(04-18)	·	组网答疑：路由器能替代防火墙吗？	(04-17)
·	配置路由器：实现多设备控制端口访问	(04-14)	·	路由技术：服务器与路由器NAT技术应用	(04-14)
·	解决桥接中路由器配置IP参数的问题	(04-14)	·	揭秘：无线路由器“罢工”的真正原因	(04-14)
·	如何区分CPU 浅谈宽带路由器处理芯片	(04-13)	·	路由器硬件与操作系统软件间的关系	(04-13)
·	多WAN口路由器网吧业主的得力助手	(04-12)	·	技术优势与应用：谈多WAN口路由器	(04-03)

【客户需求反馈表】

姓　　名:

更多资料　了解方案　认识厂商

单位名称:

联系电话:

电子邮件: