NetFlow konfigurieren: Traffic-Analyse mit Cisco Routern

Wer Netzwerkprobleme nicht nur „gefühlt“, sondern datenbasiert lösen möchte, kommt an Flow-Analyse kaum vorbei. Genau hier setzt das Thema NetFlow konfigurieren an: Statt einzelne Pakete mitzuschneiden, liefert NetFlow zusammengefasste Informationen über Verkehrsflüsse (Flows) – also wer mit wem kommuniziert, über welche Ports/Protokolle, wie viele Bytes/Pakete übertragen wurden und in welchem Zeitraum. Das ist besonders wertvoll für Kapazitätsplanung, Security-Analysen, WAN-Optimierung und QoS-Fehlerdiagnosen. In Cisco-Umgebungen ist NetFlow seit Jahren ein Standard, der auf Routern (und teilweise auch Switches) genutzt wird. Moderne Plattformen setzen dabei häufig auf Flexible NetFlow (FNF), weil es deutlich anpassbarer ist als klassisches NetFlow und auch IPFIX-ähnliche Konzepte unterstützt. In diesem Leitfaden lernen Sie Schritt für Schritt, wie Sie NetFlow auf Cisco Routern praxisnah einrichten: von der Auswahl der richtigen NetFlow-Variante über Exporter/Record/Monitor bis zur Einbindung in einen Collector. Sie erfahren außerdem, welche Interfaces sich für NetFlow eignen, wie Sie die Last im Blick behalten (Sampling, Active/Inactive Timeout), wie Sie Datenqualität und Datenschutz berücksichtigen und mit welchen Befehlen Sie verifizieren, ob wirklich Flows exportiert werden.

Was ist NetFlow und wofür eignet es sich im Alltag?

NetFlow sammelt Metadaten über Verkehrsflüsse und exportiert diese an einen Collector. Ein Flow ist vereinfacht eine Kommunikation, die durch typische Merkmale beschrieben wird – häufig als „5-Tuple“ (Quell-IP, Ziel-IP, Quellport, Zielport, Protokoll). Zusätzlich können je nach NetFlow-Version weitere Felder enthalten sein, z. B. ToS/DSCP, Interface, Next-Hop oder TCP-Flags. Im Gegensatz zu einem Packet Capture ist NetFlow deutlich ressourcenschonender und liefert langfristige Trends.

• Top-Talker und Top-Apps: Wer erzeugt die meiste Last, welche Ports/Protokolle dominieren?
• Kapazitätsplanung: Wie entwickeln sich Traffic-Volumen und Peak-Zeiten über Wochen/Monate?
• Security: Erkennen ungewöhnlicher Kommunikationsmuster (z. B. Port-Scanning, Datenabfluss).
• Troubleshooting: Warum ist der WAN-Link voll? Welche Gespräche verursachen Drops oder QoS-Probleme?
• Chargeback/Reporting: Zuordnung von Traffic zu Standorten, VLANs, VRFs oder Kunden.

Wenn Sie NetFlow konzeptionell vertiefen möchten, bietet der Anchor-Text Cisco NetFlow (Überblick) eine gute Ausgangsbasis. Für die NetFlow-v9-Struktur ist der Anchor-Text RFC 3954 (NetFlow v9) hilfreich.

Klassisches NetFlow vs. Flexible NetFlow

In Cisco-Umgebungen begegnen Ihnen zwei grundlegende Ansätze. Welche Variante Sie nutzen sollten, hängt von Plattform und IOS/IOS XE-Version ab, aber als Praxisregel gilt: Wenn Flexible NetFlow verfügbar ist, ist es meist die bessere Wahl.

• Klassisches NetFlow: Einfaches Setup, oft auf älteren Plattformen verbreitet (z. B. „ip flow ingress“).
• Flexible NetFlow (FNF): Modularer Aufbau aus Record, Exporter und Monitor; besser steuerbar, erweiterbar und genauer an Anforderungen anpassbar.

Viele moderne Router (insbesondere IOS XE) setzen auf FNF. Zusätzlich ist im Umfeld von IPFIX (standardisierte Flow-Exports) relevant, dass NetFlow v9 strukturell ähnlich zu IPFIX ist. Für IPFIX-Standards ist der Anchor-Text RFC 7011 (IPFIX) nützlich.

Vorbereitung: Wo macht NetFlow wirklich Sinn?

NetFlow sollten Sie dort aktivieren, wo Sie aussagekräftige Sicht auf den Verkehr erhalten – typischerweise an Engpässen oder Übergängen:

• WAN-Uplink: Beste Sicht auf Internet-/MPLS-Traffic und echte Flaschenhälse.
• Inter-VRF/Inter-VLAN Routing: Sicht auf Ost-West-Verkehr, Segmentierung und Datenflüsse zwischen Zonen.
• VPN-/Tunnel-Interfaces: Sicht auf verschlüsselte Datenvolumen (ohne Payload), oft wichtig für Standorte.
• Edge Richtung Data Center/Cloud: Identifikation von großen Transfers, Replikation und Backup-Fenstern.

Wichtig: NetFlow erzeugt Last (CPU/Memory) – insbesondere bei sehr hohen Durchsatzraten oder vielen kleinen Flows. Planen Sie daher bewusst, auf welchen Interfaces Sie sammeln, und testen Sie zunächst in einem Pilot.

Schritt-für-Schritt: Flexible NetFlow auf Cisco Routern konfigurieren

Flexible NetFlow besteht aus drei Bausteinen:

• Flow Record: Definiert, welche Felder gesammelt werden (Match) und welche Zusatzfelder exportiert werden (Collect).
• Flow Exporter: Definiert Ziel-IP, Port, Protokoll (UDP), Source Interface und Template-Timeout.
• Flow Monitor: Verknüpft Record und Exporter und definiert Timeouts/Sampling; wird dann auf Interfaces angewendet.

Flow Exporter definieren

Im Beispiel senden wir Flows an einen Collector im Managementnetz. Häufig genutzte Ports sind 2055, 9995 oder 4739 (IPFIX), wichtig ist: Collector und Firewall-Regeln müssen passen.

configure terminal
flow exporter EXP-NETFLOW
destination 10.10.99.60
source Loopback0
transport udp 2055
template data timeout 60
end

Best Practice:

• Source Interface stabil wählen (Loopback oder Management-Interface), damit ACLs/Firewall-Regeln nicht „wandern“.
• Template Timeout nicht zu hoch setzen, damit Collector nach Neustarts schnell wieder interpretieren kann.

Flow Record erstellen

Ein praxistauglicher Start ist ein Record, der das klassische 5-Tuple plus Interface und DSCP enthält. Damit bekommen Sie Traffic-Volumen, Richtungen und QoS-Kontext.

configure terminal
flow record REC-IPv4-BASIC
match ipv4 source address
match ipv4 destination address
match ip protocol
match transport source-port
match transport destination-port
match interface input
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect ip dscp
end

Hinweis: Je Plattform können weitere Felder sinnvoll sein (Next-Hop, BGP-AS, TCP-Flags). Starten Sie jedoch lieber schlank und erweitern Sie nur, wenn Ihr Use Case es erfordert.

Flow Monitor erstellen

Der Monitor verbindet Record und Exporter. Hier können Sie zudem aktive/inaktive Timeouts definieren, damit Flows regelmäßig exportiert werden.

configure terminal
flow monitor MON-IPv4
record REC-IPv4-BASIC
exporter EXP-NETFLOW
cache timeout active 60
cache timeout inactive 15
end

Faustregel:

• Inactive Timeout bestimmt, wie schnell ein Flow nach „Stille“ exportiert wird (gut für schnelle Sichtbarkeit).
• Active Timeout bestimmt, wie oft lange Flows (z. B. große Downloads) zwischengesendet werden.

Flow Monitor am Interface aktivieren

Im WAN-Kontext ist es üblich, NetFlow inbound zu aktivieren, weil Sie damit den Verkehr sehen, der ins Interface hineinläuft. Oft ist zusätzlich outbound interessant, um die Gegenrichtung zu verstehen.

configure terminal
interface GigabitEthernet0/0
description WAN-Uplink
ip flow monitor MON-IPv4 input
ip flow monitor MON-IPv4 output
end

Praxis-Hinweis: Nicht jede Plattform unterstützt input und output identisch. Wenn Sie Performance-Probleme erwarten, starten Sie mit einer Richtung (typisch input) und erweitern Sie später.

Klassisches NetFlow: Minimal-Setup auf älteren Plattformen

Auf älteren IOS-Plattformen finden Sie häufig das klassische NetFlow-Modell. Ein verbreitetes Minimal-Setup nutzt „ip flow ingress“ und definiert den Exporter über „ip flow-export …“.

configure terminal
ip flow-export destination 10.10.99.60 2055
ip flow-export source Loopback0
ip flow-export version 9
interface GigabitEthernet0/0
ip flow ingress
end

Wenn Sie klassisches NetFlow nutzen, ist NetFlow v9 häufig die sinnvollste Exportversion, weil sie Templates und zusätzliche Felder ermöglicht. Für Details hilft RFC 3954.

Sampling: Last reduzieren, Trends behalten

Auf sehr stark ausgelasteten Links oder bei begrenzter Hardware kann Sampling sinnvoll sein: Sie erfassen nur jeden n-ten Flow oder jedes n-te Paket (je nach Methode). Das reduziert CPU/Memory, verändert aber die Genauigkeit, insbesondere bei kleinen Flows.

• Ohne Sampling: Beste Genauigkeit, höhere Last.
• Mit Sampling: Weniger Last, gute Trendanalyse, aber weniger präzise bei kleinen/kurzen Flows.

Best Practice: Wenn Ihr Ziel Kapazitätsplanung und Top-Talker ist, kann Sampling ausreichend sein. Wenn Sie Security-Analysen mit kleinen Scans oder Short-Lived-Flows machen möchten, ist Sampling eher kritisch.

NetFlow und Verschlüsselung: Was Sie sehen und was nicht

NetFlow analysiert Metadaten, nicht Payload. Bei verschlüsseltem Traffic (TLS, VPN) sehen Sie weiterhin Quell-/Ziel-IP, Ports, Volumen und Timing – das ist oft schon sehr wertvoll. Was Sie nicht sehen, sind Inhalte oder URLs innerhalb eines TLS-Tunnels (ohne zusätzliche Mechanismen). Für Security- und Kapazitätsanalysen reicht Flow-Telemetrie dennoch häufig aus.

Collector und Auswertung: Wohin mit den Flow-Daten?

NetFlow wird erst durch eine Auswertungsplattform wirklich nützlich. Typische Collector-Optionen:

• nfdump/nfsen: Klassische Open-Source-Tools für NetFlow-Analyse. Einstieg über den Anchor-Text nfdump Projekt.
• ElastiFlow: Flow-Analyse im Elastic-Umfeld, gut für Dashboards und Korrelation. Einstieg über ElastiFlow.
• Monitoring-Suiten: Viele kommerzielle Lösungen bieten Top-Talker, App-Views und Alarme.

Wichtig ist, dass Ihr Collector NetFlow-Version (v9/IPFIX) und die verwendeten Templates sauber verarbeitet. Achten Sie auf Storage, Retention und Index-Strategien, denn Flow-Daten können schnell groß werden.

Security und Datenschutz: NetFlow sicher betreiben

Flow-Daten können sensible Informationen enthalten (Kommunikationsbeziehungen, interne IPs, Serverrollen). Deshalb sollte NetFlow wie ein Management-Dienst behandelt werden:

• Management-Netz: Export nur über Managementpfade, nicht aus User-VLANs.
• ACL/Firewall: UDP-Port (z. B. 2055) nur Router → Collector erlauben.
• Collector absichern: Zugriff restriktiv, regelmäßige Updates, Rollen, Backups.
• Retention: Aufbewahrungszeit definieren, ggf. getrennt nach Betriebs- und Security-Use-Cases.

Wenn Sie Compliance-Anforderungen haben, ist es sinnvoll, die Datenklassifizierung (was ist personenbezogen, was ist betrieblich) früh zu klären.

Verifikation: So prüfen Sie, ob NetFlow wirklich exportiert

Nach der Konfiguration sollten Sie nicht raten, sondern prüfen. Typische Cisco-Befehle für Flexible NetFlow sind:

show flow exporter EXP-NETFLOW
show flow monitor MON-IPv4
show flow monitor MON-IPv4 cache
show flow record REC-IPv4-BASIC

Worauf Sie achten sollten:

• Steigen die Counter im Monitor/Exporter (Packets sent)?
• Sieht der Cache aktive Flows (Top-Talker, Bytes/Packets)?
• Kommt am Collector Traffic an (Firewall, Port, Listener)?

Bei klassischem NetFlow sind häufig diese Befehle relevant:

show ip flow export
show ip cache flow

Typische Fehler beim NetFlow-Setup und schnelle Fixes

• Falscher Collector-Port: Collector lauscht auf 9995, Router sendet auf 2055. Lösung: Port abgleichen.
• Firewall blockt UDP: UDP/2055 nicht freigegeben. Lösung: Management-ACL/Firewall-Regeln prüfen.
• Source-IP unerwartet: Ohne Source Interface sendet der Router aus einer anderen IP. Lösung: source Loopback0 bzw. logging source-interface-Äquivalent im Exporter setzen.
• Templates fehlen: Collector kann Flows nicht interpretieren. Lösung: Template Timeout sinnvoll setzen, Collector prüfen.
• Zu hohe Last: CPU steigt nach Aktivierung. Lösung: Sampling prüfen, nur input aktivieren, Record verschlanken.
• Falsches Interface: NetFlow auf einem Interface ohne relevanten Traffic. Lösung: Engpass-/Transit-Interfaces identifizieren.

Best Practices: NetFlow in produktiven Netzen sauber einführen

• Pilotieren: Erst ein Gerät oder ein WAN-Link, dann stufenweise ausrollen.
• Record schlank starten: Nur nötige Felder, später erweitern.
• Stabile Source-IP: Loopback/Management als Source Interface.
• Retention planen: Wie lange werden Flows gespeichert, wie groß wird der Storage?
• Time Sync: NTP sicherstellen, damit Zeitachsen stimmen.
• Security-Handling: Exportpfad und Collector absichern, Zugriff restriktiv.
• Dokumentation: Welche Interfaces überwacht werden, welche Ports/Collector, welche Timeouts.

Für Cisco-spezifische Befehlsvarianten und Plattformdetails ist die Dokumentation je IOS/IOS XE-Version entscheidend. Als Einstieg dient der Anchor-Text Cisco NetFlow (Überblick) und für die Syntax je Plattform die Cisco IOS Command Reference.

Praxis-Checkliste: NetFlow konfigurieren auf Cisco Routern

• Ist klar definiert, welche Interfaces NetFlow bekommen sollen (WAN, Inter-VRF, Edge)?
• Ist ein Collector vorhanden, der NetFlow v9/FNF versteht und auf dem richtigen UDP-Port lauscht?
• Ist der Exporter mit stabiler Source-IP (Loopback/Management) konfiguriert?
• Ist der Record schlank, aber aussagekräftig (5-Tuple, Bytes/Packets, Input/Output, DSCP)?
• Sind Active/Inactive Timeouts sinnvoll gesetzt, damit Daten zeitnah ankommen?
• Ist der Transportpfad abgesichert (Firewall/ACL nur Router → Collector)?
• Wurde verifiziert, dass Flows im Cache erscheinen und Pakete exportiert werden (show flow monitor/exporter)?
• Ist die Systemlast im grünen Bereich (CPU/Memory), ggf. Sampling geprüft?
• Ist NTP aktiv, damit Zeitstempel und Korrelation mit Syslog/SIEM stimmen?

copy running-config startup-config

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.