NetFlow概念
©open-lab技术交流中心 -- open-lab技术交流中心　
NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。
　
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

直接在接口模式下面打入：ip route-cache flow 那么就启动了netflow。就可以使用show ip cache flow命令查看流量。
我在这里ping了这台路由器，以及telnet所产生下面的流量
r4#show ip cache flow
IP packet size distribution (12570 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .002 .000 .997 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
　
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
1 active, 4095 inactive, 5 added
95 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 17032 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 2 0.0 13 43 0.0 2.1 1.8
ICMP 2 0.0 6267 100 2.7 26.2 15.5
Total: 4 0.0 3140 99 2.7 14.1 8.6
　　
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Et0/0 1.1.14.1 Et0/1 1.1.46.6 06 8611 0017 10


以下命令来输出Netflow数据到Netflow分析仪所运行的服务器上（现在有netflow的免费软件，大家自己可以去搜索，如果不安装这些软件的话，那么就直接在路由器上面看了。

ip flow-export destination {hostname|ip_address} 9996 输出Netflow缓存条目到指定的IP地址，使用Netflow分析仪服务器的IP地址以及在配置Netflow监听端口中所配置的端口。缺省值为 9996。

ip flow-export source {interface} {interface_number} 设定输出到指定IP地址的Netflow输出中的源IP地址。NetFlow分析仪将在此设备上执行SNMP请求。

ip flow-export version 5 [peer-as | origin-as] 设定Netflow输出的版本为版本5。NetFlow分析仪只支持版本5和7。如果你的路由器使用 BGP，则可以指定是否在输出包含源或者对方－不可能包含两者。

ip flow-cache timeout active 1 分割活动期长的流为1分钟的片段。你可以选择1到60之间的任何分钟值。如果使用缺省的30分钟，则流量报告也许会许多尖峰。

为了生成告警和 显示故障排除数据设定该 值为1分钟非常重要。

ip flow-cache timeout inactive 15 保证定期输出完成的流。缺省值为15秒，可以选择10到600之间的任何值。如果选择的值大于250秒。也许 NetFlow分析仪将报告流量值太低的错误。

检证设备配置
在通常(非配置)模式 mode 下执行以下命令来检证Netflow输出的配置是否正确。

命令 目的
show ip flow export 显示当前Netflow的配置。
show ip cache flow 该命令显示当前活动的流的概要，还显示设备输出了多少Netflow数据。
show ip cache verbose flow

设备配置示例
以下是在路由器上执行的命令集示例。它使接口e0 0/1输出Netflow版本5到192.168.9.101的9996端口。

r4(config)#interface e0/1
r4(config-if)#ip route-cache flow
r4(config-if)#exit
r4(config)#ip flow-export destination 192.168.9.101 9996 --------安装netflow软件的机器
r4(config)#ip flow-export source e0/1 -------源地址最好使用loopback比较稳定
r4(config)#ip flow-export version
r4(config)#ip flow-cache timeout active
r4(config)#ip flow-cache timeout inactive
r4(config)#^Z
r4#write
r4#show ip flow export
r4#show ip cache flow

*可以对各接口重复以上命令来启用 Netflow的输出

netflow

windows版netflow程序，该程序收集要素多，包括TOS服务位、TCP标记位、自治区号、物理出入口、下跳路由...等更多信息,且采集效率高。
Windows版Netflow流量采集程序在微软Windows环境下直接运行,中文界面，简洁实用,不用安装，真正的绿色软件。
该软件采集netflow流量信息（思科和凯创等的路由器交换机支持该协议），并在屏幕上实时显示。并能进行日志查询和流量统计。
netflow技术在路由器或三层交换机上采集流量信息，然后发送到采集主机，比sniffer等抓包采集方式效率高很多。又不比RMON等方式只有流量统计信息，而netflow带有详细的访问日志。
该程序可用于网络管理时的网络通信日志记录和实时监视，可进行日志查询、流量统计和安全分析，可按网络协议、源目的端口号、源目的IP地址、IP服务位、TCP标志位等进行查询统计。也可用于网络系统集成和网络应用开发调试时的辅助测试验证工具。