入口还是出口？这是个问题。

您是否正在考虑配置出口流量NetFlow导出功能？您是否知道导出或不导出出口流量的原因？

目前大多数人使用NetFlow v5，而NetFlow v5仅支持入口流量。这也就是说，进入端口的流量由NetFlow数据报监测和导出。那端口输出的流量又由什么来监测和导出呢？答案肯定不会是NetFlow v5。大多数NetFlow供应商通过观察目的端口来判断入口流量的前进方向。通过这一信息，我们可以判断任一给定端口的输出使用情况，但这有一个很重要的前提即NetFlow v5能够在交换机或路由器的所有端口上被启用。

假如在一个有三个端口的路由器上，NetFlow只能在第一和第二个端口上被启用，则当NetFlow分析仪计算该路由器端口的输出使用情况时，从第三个端口进入并流向第一和第二个端口的流量将会超出NetFlow分析仪的计算范围。也就是说，要根据NetFlow v5或v9（仅限入口流量）在所有端口启用NetFlow并将其用于计算给定端口的输出使用情况时，还必须首先根据其他端口的入口流量才能计算。而几乎所有的NetFlow报告工具均采用这一方法运行。

为什么要激活出口流量？

NetFlow v9支持统计入口和出口NetFlow。在大多数软件安装过程中，在交换机或路由器的所有端口激活入口流量即可传送所需的信息。以下是利用出扣流量的几点好处：

• 在WAN压缩环境中（如Cisco WAAS，Riverbed等）我们要查看压缩后的流量。使用入口流量计算此压缩后的流量会导致夸大WAN端口的输出使用率，因此应在压缩后再计算出口流量。
• 在组播环境中，入口组播流并无目的端口，因为在路由器处理数据报前，路由器并不知道入口流量会从哪一个端口流出。而导出出口流量则可立即找到目的端口，因此若组播流流向多个端口，组播流即可被导出。
• 若仅从路由器或交换机的一个端口导出NetFlow时，则当单个端口上有两个流时，该端口的入口和出口流量均将被导出至NetFlow数据报中。

合格的NetFlow分析仪应在计算输出使用情况前先寻找出口流量。若分析仪找到端口的出口流量，则应使用该出口流量来计算输出使用情况。若未找到，则分析仪应根据其他端口的入口流量来计算输出使用情况。

激活入口和出口流量

以下是配置思科路由器统计入口流量和出口流量的命令：

Router > enable
Router#: configure terminal
!sendNetFlow off to the collector – Scrutinizer
Router(config)# ip flow-export destination 10.1.1.1
! lets send NetFlow off to a 2nd collector
Router(config)# ip flow-export destination 10.1.1.2
! You have to setup Flexible NetFlow to export to more than two destinations
! Lets export NetFlow v9 as NetFlow v5 doesn’t support egress NetFlows
Router(config)# ip flow-export version 9
! summarize and export long lived flows every minute
Router(config)# ip flow-cache timeout active 1
! export flows that are idle 15 seconds or more
Router(config)# ip flow-cache timeout inactive 15
! export the NetFlow data from the configured loopback interface.
Router(config)# ip flow-export source loopback 0
! lets go enable NetFlow on each interface we want NetFlow from
! lets configure the first interface
Router(config)# interface Ethernet 0/0
Router(config-if)# ip flow ingress
Router(config-if)# ip flow egress
Router(config-if)# exit
! change to a different interface
Router(config)# interface Ethernet 0/1
Router(config-if)# ip flow ingress
Router(config-if)# ip flow egress
Router(config-if)# exit
! commit the above to memory if you want to keep the configuration

激活入口流量或出口流量？还是两者均已激活？

在思科命令行界面键入以下命令即可查看出口流量和入口流量统计是否已经被激活。

NetFlow报告工具应该能够显示是否已激活入口流量统计或出口流量统计还是两者均已激活：

上述步骤可帮助确认配置设置是否已成功。

注意流的方向

由于NetFlow v9默认导出方向字段，因此可轻松判断端口的流为入口流量或出口流量。Flexible NetFlow是NetFlowv9的升级版本，其默认不导出方向字段。这一点已经在NBAR的出口NetFlow 的博客中指出。

若NetFlow分析工具无法正确处理入口与出口流量，则有可能导致夸大输出使用情况和处理量。

双向流

尽管我只在Cisco ASA上见过有双向流，但双向流很有意思。在传统的NetFlow中，一个方向为A→B的流一般会生成第二个方向为B→A的流。而在双向流NetFlow中，方向为A→B的流开始创建会话，而一个单独的流将进入路由器缓存区中。当方向为B→A时，方向为A→B的流将会增加字节而不会再进入路由器缓存区中。

总结

导出入口和出口NetFlow具有不同的用途。在大多数情况下，我们只需要统计入口NetFlow。