본문 바로가기
일/Network

Netflow 명령어로 트래픽 사용량 많은 IP 검색 방법

방랑자 집시 2024. 10. 18.

1. Netflow 개요

    1) Netflow 란?

       - Cisco에서 개발한 Network Traffic Monitoring System 

       - SNMP는 네트워크 장비의 트래픽 양을 확인 할 수 있으나, 트래픽의 정보, 출발지/목적지 IP, 프로토콜 등을 확인할 수 없음

    2) Netflow 기능

      - 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port 등의 정보 제공
      - 라우터(스위치)는 이를 Netflow Cache라 불리는 NetFlow Database에 저장하며, 사용자는 이를 토대로 트래픽에 대한 정보를 확인 가능함

 

2. Netflow 설정

   - 설정은 플로우 레코드, 플로우 내보내기, 플로우 모니터로 구성되지만, 내보내기는 플로우 모니터 캐시의 데이터를 분석 및 저장을 위해 서버로 

     보내는데 사용되기에 여기에서는 생략함

 

  1) 플로우 레코드

    - 레코드는 키 필드와 키 필드가 아닌 필드의 조합. Flexible NetFlow Flow Records는 Flexible NetFlow Flow Monitor에 할당되어 플로우 데이터 

      저장에 사용되는 캐시를 정의한다.

    - Flexible NetFlow에는 트래픽을 모니터링하는 데 사용할 수 있는 몇 가지 미리 정의된 레코드가 포함되어 있다.

    - 또한 Flexible NetFlow를 사용하면 키 필드와 키 필드가 아닌 필드를 지정하여 특정 요구 사항에 맞게 데이터 수집을 사용자 지정하여 Flexible 

      NetFlow 흐름 모니터 캐시에 대해 사용자 지정 레코드를 정의할 수 있다.

 

    - 스위치 장비에서 configure terminal 입력 상태에서 아래 명령어를 입력하며, 여기에서 플로우 레코드명은 FLOW-record 이다. 

 

      



  2) 플로우 모니터

    - 플로우 모니터는 네트워크 트래픽 모니터링을 수행하기 위해 인터페이스에 적용되는 Flexible NetFlow 구성 요소이다.
    - 플로우 데이터는 네트워크 트래픽에서 수집되며 프로세스가 실행되는 동안 플로우 모니터 캐시에 추가된다. 이 프로세스는 흐름 레코드의 키 필드와 

      키 필드가 아닌 필드를 기반으로 한다.

 

    - 스위치 장비에서 configure terminal 입력 상태에서 아래 명령어를 입력하며, 여기에서 플로우 모니터명은 FLOW-MONITOR-1 이다. cache timeout 

      active 30은 흐름을 30분간 유지한다는 설정이며, 제일 하단 record FLOW-record 는 플로우 레코드명을 작성해 준다.


    

 

    - Netflow로 확인 할 인터페이스에서 아래 명령어를 입력한다. 스위치 장비에서 configure terminal 입력 상태 후 해당 인터페이스 설정으로 들어간 후 

      입력한다. 플로우 모니터명은 상단과 동일하다.

 

   

   

 

3. Netflow 확인

  1) NetFlow 캐시 출력 확인

     - "show flow monitor <flow monitor name> cache”를 실행하여 NetFlow 캐시의 출력을 확인한다. 

 

   

 

  2) 출발지/목적지 IP 및 사용량 확인

    - "show flow monitor <flow monitor name> cache aggregate ipv4 destination address ipv4 source address”를 실행하여 출발지/목적지 IP 및 사용량을 

      확인한다. 해당 명령어로 트래픽이 높을 때, 많이 사용하는 IP를 검색할 수 있다.

 

  

 

  3) 테이블 형식 출력

    - "show flow monitor FLOW-MONITOR-1 cache format table" 를 실행하면, 테이블 형식으로 데이터를 확인 할 수 있다.

 

    

   

4. Netflow 테이블 초기화

  - 아래 명령어로 Netflow 테이블을 초기화 할 수 있다.

  

' > Network' 카테고리의 다른 글

네트워크 장비 운영체제 확인 방법  (1) 2024.10.23
네트워크 모니터링, SNMP 개념 및 NMS 연동  (0) 2024.10.22
스위치 SPAN(Switch Port Analyzer) 설정 및 예제  (0) 2024.10.16
IP 역추적 네트워크 단말기로 역추적 하기  (0) 2024.10.15
데이터가 전달되는 과정 TCP/IP 통신 과정  (2) 2024.07.25

'일/Network' 관련글

티스토리툴바