关于只有单向流量问题:
一般情况下,NFA需要启用所有口的单向流量。例如打开某端口的流出后,路由器把流出此接口的流量进行分析,生成netflow, netflow数据包中包含”源接口,目的接口,源IP,目的IP,传送数据大小“等内容,NFA进行分析后,能同时知道源接口的流出数据,和目的接口的流入数据。源接口的流入数据,由其它接口的流出数据分析而来,所以一般情况下需要打开所有接口的单向流量(我们推荐是流出)。如果打开双向,就有可能流量被重复统计了。
当然根据拓扑关系,如果确切知道某接口的流入和其它接口无关,不会重复统计。打开这个接口的双向可以了,这样就不用对所有接口进行配置,减少配置工作量。
如果NFA只显示有单向流量,有可能是有些相关联的接口没有打开netflow。当然为了减少license的使用数据,可以在接口管理里面,把不需要的接口设置为非管理状态,在不增加license接口数量的情况下,又可以统计其它相关接口的流量数据。
关于Cisco
1) Netflow的前提条件是以下功能之一需要在路由器上启用,Cisco Express Forwarding (CEF), distributed CEF, or fast switching,如果未启用将没有流量,具体的命令示例如下:
config t
int FastEthernet4
ip route-cache cef
2) 如果Cisco IOS的版本是小于12.2(14)S, 12.0(22)S, or 12.2(15)T, 应该使用 ip route-cache flow命令, 大于等于上述版本应该使用ip flow ingress, 所以不应该同时使用两种命令