March 3, 2026

NetFlow auf Cisco Router: Traffic-Analyse Schritt für Schritt

NetFlow ist ein bewährtes Verfahren, um Traffic auf Cisco Routern sichtbar zu machen: Welche Quellen sprechen mit welchen Zielen, über welche Ports/Protokolle, und wie viel Bandbreite wird dabei verbraucht. Im Gegensatz zu SNMP (nur „wie viel“ auf einem Interface) liefert NetFlow Kontext (wer/was/wohin). Für Betrieb und Security ist das extrem wertvoll: Top-Talker, ungewöhnliche Verbindungen, DDoS-Indizien oder „welcher Host zieht das Backup“. Diese Schritt-für-Schritt-Anleitung zeigt eine praxistaugliche NetFlow-Konfiguration (Flexible NetFlow) inklusive Verifikation.

NetFlow-Grundlagen: Was ein „Flow“ ist

Ein Flow ist eine Menge von Paketen mit gemeinsamen Merkmalen (z. B. Source/Destination IP, Ports, Protokoll, ToS/DSCP, Interface). Der Router exportiert zusammengefasste Statistiken (Bytes, Pakete, Start/Ende) an einen Collector.

  • Flow-Key: Wer spricht mit wem (5-Tuple + optional DSCP/Interface)
  • Flow-Record: Welche Felder werden gesammelt
  • Flow-Exporter: Wohin werden Flows gesendet (Collector-IP/Port)
  • Flow-Monitor: Verbindet Record + Exporter und wird am Interface aktiviert

NetFlow vs. SNMP: wann du was nutzt

SNMP eignet sich für Interface-Auslastung und Health. NetFlow eignet sich für Ursachenanalyse und Traffic-Komposition. In der Praxis ergänzt sich beides: SNMP sagt „Link ist voll“, NetFlow sagt „wer ist schuld“.

  • SNMP: bits/sec, errors, status (schnell, wenig Overhead)
  • NetFlow: Top-Talker, Apps/Ports, Gesprächspartner (mehr Kontext)
  • Security: NetFlow hilft bei Anomalien und Incident-Triage

Voraussetzungen: Collector, IP-Erreichbarkeit und UDP-Port

Du brauchst einen NetFlow-Collector (z. B. nfdump/nfsen, Scrutinizer, SolarWinds, Elastic, ntopng – je nach Umgebung). Der Router muss die Collector-IP erreichen können. Flexible NetFlow exportiert typischerweise per UDP (häufig Port 2055/9995/4739 je nach Setup).

  • Collector-IP: z. B. 192.168.10.30
  • Export-Port: z. B. 2055 (Beispiel)
  • Source-Interface: idealerweise Loopback0 (stabile Source-IP)

Reachability prüfen

Router# ping 192.168.10.30 source loopback0
Router# traceroute 192.168.10.30 source loopback0

Schritt 1: Exporter konfigurieren (Wohin geht NetFlow?)

Der Exporter definiert Ziel-IP, Port, Source und optional Template-Timeouts. Templates beschreiben dem Collector das Format der exportierten Records.

Router# configure terminal
Router(config)# flow exporter EXP_NETFLOW
Router(config-flow-exporter)# destination 192.168.10.30
Router(config-flow-exporter)# source loopback0
Router(config-flow-exporter)# transport udp 2055
Router(config-flow-exporter)# template data timeout 60
Router(config-flow-exporter)# end

Schritt 2: Flow Record definieren (Welche Felder sammeln?)

Ein Flow Record legt fest, welche Schlüssel und Zähler exportiert werden. Für Standard-Traffic-Analyse sind IPv4 5-Tuple plus Bytes/Pakete und Timestamps typisch. Optional nimmst du DSCP und Interfaces dazu.

IPv4 Record (praxisnah)

Router# configure terminal
Router(config)# flow record REC_IPV4_BASIC
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# match ipv4 destination address
Router(config-flow-record)# match ip protocol
Router(config-flow-record)# match transport source-port
Router(config-flow-record)# match transport destination-port
Router(config-flow-record)# match interface input
Router(config-flow-record)# collect counter bytes
Router(config-flow-record)# collect counter packets
Router(config-flow-record)# collect timestamp sys-uptime first
Router(config-flow-record)# collect timestamp sys-uptime last
Router(config-flow-record)# end

Optional: DSCP sammeln (QoS-Analyse)

Router# configure terminal
Router(config)# flow record REC_IPV4_QOS
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# match ipv4 destination address
Router(config-flow-record)# match ip protocol
Router(config-flow-record)# match transport source-port
Router(config-flow-record)# match transport destination-port
Router(config-flow-record)# match ipv4 dscp
Router(config-flow-record)# collect counter bytes
Router(config-flow-record)# collect counter packets
Router(config-flow-record)# end

Schritt 3: Flow Monitor erstellen (Record + Exporter + Cache)

Der Flow Monitor verbindet Record und Exporter und definiert Cache-Verhalten. Cache bestimmt, wie lange Flows lokal gehalten werden, bevor sie exportiert/abgelaufen sind.

Monitor erstellen

Router# configure terminal
Router(config)# flow monitor MON_IPV4
Router(config-flow-monitor)# record REC_IPV4_BASIC
Router(config-flow-monitor)# exporter EXP_NETFLOW
Router(config-flow-monitor)# cache timeout active 60
Router(config-flow-monitor)# cache timeout inactive 15
Router(config-flow-monitor)# end

Schritt 4: NetFlow am Interface aktivieren (Ingress/Egress)

Jetzt bindest du den Monitor am Interface. In der Praxis startest du oft mit Ingress am WAN oder an relevanten L3-Interfaces. Egress liefert zusätzlich Sicht auf den ausgehenden Traffic, ist aber nicht immer notwendig.

Beispiel: Monitor inbound am WAN-Interface

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip flow monitor MON_IPV4 input
Router(config-if)# end

Optional: Monitor outbound aktivieren

Router# configure terminal
Router(config)# interface gigabitEthernet0/1
Router(config-if)# ip flow monitor MON_IPV4 output
Router(config-if)# end

Sampling: wenn du sehr viel Traffic hast

NetFlow kann CPU/Memory belasten, wenn extrem viele Flows entstehen (z. B. Internet-Edge). Sampling reduziert Last, indem nur jeder n-te Flow oder jedes n-te Paket berücksichtigt wird. Für Einsteiger-Setups startest du meist ohne Sampling und aktivierst es nur bei Bedarf.

  • Ohne Sampling: beste Genauigkeit, mehr Ressourcenverbrauch
  • Mit Sampling: weniger Last, weniger Genauigkeit (aber oft ausreichend)

Verifikation: Siehst du Flows im Cache und Exporte?

Prüfe erst lokal, ob der Router Flows sammelt (Cache). Danach prüfst du, ob Export-Pakete zum Collector gesendet werden. Wenn lokal nichts gesammelt wird, ist die Interface-Bindung falsch oder es gibt keinen Traffic.

Monitor/Cache prüfen

Router# show flow monitor MON_IPV4
Router# show flow monitor MON_IPV4 cache

Exporter prüfen

Router# show flow exporter EXP_NETFLOW
Router# show flow exporter statistics

Interface-Bindung prüfen

Router# show running-config interface gigabitEthernet0/1

Typische Fehler und schnelle Fixes

Wenn am Collector nichts ankommt, liegt es meist an Routing/Firewall/Port oder an falschem Source-Interface. Wenn am Router kein Cache wächst, ist der Monitor nicht am richtigen Interface oder in der falschen Richtung gebunden.

  • Collector nicht erreichbar (Routing/ACL/Firewall blockt UDP-Port)
  • Falscher Export-Port oder falsche Collector-IP
  • Kein logging source-interface-Äquivalent: Source-Interface fehlt → Firewall blockt
  • Monitor am falschen Interface oder nur output, aber Traffic ist inbound
  • Zu viele Flows: CPU hoch → Sampling oder Scope reduzieren

Quick-Checks (Copy & Paste)

show flow exporter EXP_NETFLOW
show flow exporter statistics
show flow monitor MON_IPV4
show flow monitor MON_IPV4 cache
show running-config | section flow
show ip interface brief
ping 192.168.10.30 source loopback0

Best Practices für produktiven Betrieb

NetFlow ist ein starkes Tool – mit ein paar Regeln bleibt es stabil und hilfreich, ohne Router zu belasten.

  • Source-Interface (Loopback) setzen, Collector per ACL schützen
  • Mit einem Interface starten (z. B. WAN ingress), dann erweitern
  • Cache-Timer sinnvoll wählen (active/inactive)
  • Bei hoher Last Sampling prüfen
  • Templates/Ports mit dem Collector abstimmen

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)