NetFlow概念
©open-lab技术交流中心 -- open-lab技术交流中心　
NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。
　
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

直接在接口模式下面打入：ip route-cache flow 那么就启动了netflow。就可以使用show ip cache flow命令查看流量。
我在这里ping了这台路由器，以及telnet所产生下面的流量
r4#show ip cache flow
IP packet size distribution (12570 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .002 .000 .997 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
　
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
1 active, 4095 inactive, 5 added
95 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 17032 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 2 0.0 13 43 0.0 2.1 1.8
ICMP 2 0.0 6267 100 2.7 26.2 15.5
Total: 4 0.0 3140 99 2.7 14.1 8.6
　　
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Et0/0 1.1.14.1 Et0/1 1.1.46.6 06 8611 0017 10


以下命令来输出Netflow数据到Netflow分析仪所运行的服务器上（现在有netflow的免费软件，大家自己可以去搜索，如果不安装这些软件的话，那么就直接在路由器上面看了。

ip flow-export destination {hostname|ip_address} 9996 输出Netflow缓存条目到指定的IP地址，使用Netflow分析仪服务器的IP地址以及在配置Netflow监听端口中所配置的端口。缺省值为 9996。

ip flow-export source {interface} {interface_number} 设定输出到指定IP地址的Netflow输出中的源IP地址。NetFlow分析仪将在此设备上执行SNMP请求。

ip flow-export version 5 [peer-as | origin-as] 设定Netflow输出的版本为版本5。NetFlow分析仪只支持版本5和7。如果你的路由器使用 BGP，则可以指定是否在输出包含源或者对方－不可能包含两者。

ip flow-cache timeout active 1...
更多……

CISCO最新出品，专门为640-802考试制作(可查看流量,可用Debug)
http://59099.blog.51cto.com/49099/39000

below is from: http://www.openlab.cn/cgi-bin/topic.cgi?fo...=971&show=0
以前论坛有些人在讨论怎么检测router的流量,下面就介绍使用ip accounting命令检查router的流量.(这中方法只适合小型网络)
r1 e0/0 ------ e0/0 r2 e0/1 ------ e0/1 r3
现在在r2上面做流量检控
在r2的e0/1端口打入"ip accounting output-packets"命令.然后
r2#show ip accounting
Source Destination Packets Bytes

Accounting data age is 1
r2#
因为现在没有流量通过.所以是空的
然后我在r1上面ping r3的ip地址.然后在
r2#show ip accounting
Source Destination Packets Bytes
1.1.14.1 1.1.46.6 5 500

Accounting data age is 3.
r2#
ip地址1.1.14.1是r1的.1.1.46.6是r3的,因为默认ping 的时候是5个数据报,每个数据报是100Bytes.

2、ip accounting使用说明

● 基于地址对的字节数量及数据包数量统计

● 通常只支持outbound的数据包，及被ACL拒绝的数据包（支持IN 和 OUT方向的ACL）
　　
● 只统计穿越路由器的流量，源或目的是该路由器的数据包不做统计
　　
● 支持所有的switching path，除了Autonomous Switching
　　
● 可以通过SNMP来访问统计值，MIB是OLD-CISCO-IP-MIB, lipAccountingTable
　　
● ip accounting还支持其他的监测方式，如基于tos,mac-address等

下面这个是accounting的参数
r4(config-if)#ip accounting ?
access-violations Account for IP packets violating access lists on this interface
mac-address Account for MAC addresses seen on this interface
output-packets Account for IP packets output on this interface
precedence Count packets by IP precedence on this interface

　　
r4(config-if)#ip accounting
大家有兴趣自己也可以做做这个小实验.这样就可以检查内部每台pc机对外发出数据的流量.

路由器流量检测还有其它的命令,上面这条命令很大的缺点就是不能检查流量是哪些协议的流量,它只能统计所有的流量.