NETFLOW技术介绍.doc

1、1 、 流量流向监测技术 1.1 概述 传统得网络流量监测技术得局限性 SNMP采集端口得数据主要就是在网元层用来监控网络流量与设备得性能,而且SNMP采集得数据就是基于端口得,无法提供端到端得准确得流量信息,因此对流向得统计手段不明确。 利用RMON探针对运营商网络进行流量与流向管理可以部分弥补SNMP得技术局限性,其业务分析与协议分析功能较强。但就是,采用RMON探针建设得流量监测系统也有处理性能不足与难以在大型网络普遍部署得局限性。 提出新得流量监测技术 为克服现有网管系统对网络流量与流向分析功能得技术局限性,运营商迫切需要寻找一种功能丰富、成熟稳定得新技术,对现有管理系统中

2、流量信息得采集与分析方式进行改造与升级。新得流量信息采集与分析技术应具备对运营商得运行网络影响小、无需对网络拓扑进行改变就能平滑升级得技术特征,既可以对网络中各个链路得带宽使用率进行统计,又可以对每条链路上不同类型业务得流量与流向进行分析与统计。 本文主要介绍应用广泛得Cisco NetFlow技术、华为 Netstream技术、Sflow 、Cflowd 与IPFIX 以及支持上述流监测技术得厂家与设备情况 。 1.2 相关厂家及设备 供应商 支持得流 设备列表 Cisco NetFlow Cisco - 800、1700、2600、1800、2800、3800、4500

3、6500、7200、7300、7500、7600、10000、12000、CRS-1 3 NetFlow 8800系列交换机 Adtran NetFlow NetVanta 3200、3305、4305、5305、1524、1624、3430、3448、3130、340与344 Riverbed NetFlow 请参考Riverbed白皮书 Enterasys NetFlow 请参考Enterasys白皮书 Extreme Networks NetFlow Alpine 3800系列、BlackDiamond 6800系列、BlackDiamond 8800

4、系列、BlackDiamond 10808、BlackDiamond 12804C、BlackDiamond 12804R、Summit X450系列、Summit i系列(不支持输入/输出接口、octets与最初及最后次数) Foundry Networks NetFlow、sFlow BigIron系列、FastIron系列、IronPoint系列、NetIron系列、 SecureIron系列、ServerIron系列 Juniper Networks NetFlow、J-Flow 请参考Juniper Networks白皮书(针对Netflow不支持取样间隔参数、最初

5、与最后次数以秒单位存储) Huawei NetStream 请参考Huawei白皮书 H3C NetStream 请参考H3C白皮书 Nortel IPFIX 5500与8600系列 AlaxalA Networks sFlow AX7800R、AX7800S、AX7700R、AX5400S   Alcatel sFlow OmniSwitch 6850、OmniSwitch 9000   Allied Telesis sFlow SwitchBlade 7800R系列、SwitchBlade 7800S系列、SwitchBlade 5400S

6、系列   tec Systems sFlow !-Rex 16Gi、24Gi与24Gi-bo Force10 Networks sFlow E系列 Hewlett-Packard sFlow ProCurve 2800系列、ProCurve 3400cl系列、ProCurve 3500yl系列、ProCurve 4200vl系列、ProCurve 5300xl系列、ProCurve 5400zl系列、ProCurve 6200yl系列、ProCurve 6400cl系列、ProCurve 9300m系列、ProCurve Routing Switch 9408sl H

7、itachi sFlow GR4000、GS4000、GS3000 NEC sFlow IP8800/R400系列、IP8800/S400系列、IP8800/S300系列 2 Netflow 2.1 流原理 netflow 得信息单元就是flow。flow就是一个单向得带有唯一标识字节组得传输流。基本得标识为:source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。当路由器接收到一个没有flow入口得数

8、据包时,一个flow得结构将被初始化以保存其状态信息如:交换得字节数、IP地址、端口、自治区域等。随后所有满足这个flow结构得数据包都将增加flow结构得字节计数与包计数,直至这个flow中止并输出。 Netflow功能就是在一个路由器内独立完成,它不涉及路由器之间得任何连接设置协议,也不要求对数据包本身或其它任何网络设备进行任何外部修改。Netflow交换中要创建一个信息高速缓存,第一个数据包到来时,路由器利用标准得快速交换处理信息包,同时生成一个Netflow高速缓存,随后到来得数据包即可以依据高速缓存信息被交换,对于所有活动信息流,在Netflow高速缓存中保留相应得信息流信息。当一

9、定时间内没有相应得数据包通过,则结束这个数据流得交换与统计,并释放高速缓存,数据输出得条件在后续部分描述。 在netflow中到期得flow被绑在UDP数据报中发出。在V5得版本中最多30个flow记录,V1中25个记录,V8中28个记录。至少每秒钟发一次flow。 虽然netflow只提供单向得流量统计。如果希望得到表现双向得统计数据,netflow提供了“canned”得SQL程序来获得一个IP地址对得流量统计数据。 典型得路由器netflow得资源占用率为8％～30％。一般情况下一个netflow收集器接收3－5个路由器得netflow输出。 2.2 输出缓存条件 NetFlo

10、w就是通过建立高速缓存来实现得,该缓存存放所有活动得流信息。当有一个报文符合流定义时,NetFlow缓存将被建立。缓存终止并输出数据得条件如下: **传输完成(当瞧到TCP FIN或RST标志) **缓存满 **非活动时间超时。空闲流超过n秒,默认15秒,可通过Router(config)# ip flow-cache timeout inactive 130改变默认值 **活动时间超时。流超过n分钟,默认30分钟,可通过Router(config)# ip flow-cache timeout active 20改变默认值 NetFlow缓存如图1所示。 图1 NetFlo

11、w Cache示例 2.3 Netflow 报文格式说明 2.3.1 V1 头格式 字段 值 Version 0x0001 Count 该报文含有得流记录数 System Uptime 该设备启动得时间(毫秒) UNIX Seconds 自0000 UTC 1970计得时间(秒) UNIX NanoSenconds 自0000 UTC 1970计剩余时间(十亿分之一秒) 输出报文格式 0 1 2 3 byte srcaddr dstaddr nexthop input output dPkts dOctets

12、 first Last srcport dstport Pad1 prot tos Tcp_flags Pad2 Pad3 reserved Bytes 字段 值 0-3 srcaddr 源ip地址 4-7 dstaddr 目得ip地址 8-11 nexthop 下一跳路由器地址 12-13 input SNMP入口接口ifIndex 14-15 output SNMP出口接口ifIndex 16-19 dPkts 该流得Packets数 20-23 dOctets 该流得Bytes数 24-27 first 流开始系统

13、时间 28-31 Last 流结束系统时间 32-33 srcport 四层源端口 34-35 dstport 四层目得端口 36 Pad1 未用(0) 37 prot 四层协议(如TCP=6,UDP=17) 38 tos 服务类型 39 Tcp_flags Cumulative OR of TCP flags 40 Pad2 未用(0) 41-42 Pad3 未用(0) 43 reserved 保留 2.3.2 V5 头格式 备注:红色部分就是Version 5较Version 1新添字段。 字段 值 Version

14、 0x0005 Count 该报文含有得流记录数 System Uptime 该设备启动得时间(毫秒) UNIX Seconds 自0000 UTC 1970计得时间(秒) UNIX NanoSenconds 自0000 UTC 1970计剩余时间(十亿分之一秒) Sequence Number 流序号 Engine Type 流转发引擎,0代表RP,1代表VIP/LC Engine ID VIP或LC插槽号码 输出报文格式 备注:红色部分就是Version 5不同于Version 1得字段。Version 5新增了4个字段用以标示自治域与掩码位。 0 1

15、 2 3 byte srcaddr dstaddr nexthop input output dPkts dOctets first Last srcport dstport Pad1 Tcp_flags prot tos src_as dst_as src_mask dst_mask pad2 Bytes 字段 值 0-3 srcaddr 源ip地址 4-7 dstaddr 目得ip地址 8-11 nexthop 下一跳路由器地址 12-13 input SNMP入口接口ifIndex 14-

16、15 output SNMP出口接口ifIndex 16-19 dPkts 该流得Packets数 20-23 dOctets 该流得Bytes数 24-27 first 流开始系统时间 28-31 Last 流结束系统时间 32-33 srcport 四层源端口 34-35 dstport 四层目得端口 36 Pad1 未用(0) 37 Tcp_flags Cumulative OR of TCP flags 38 prot 四层协议(如TCP=6,UDP=17) 39 tos 服务类型 40-41 src_as 源AS号

17、 42-43 dst_as 目得AS号 44 Src_mask 源地址掩码位数 45 Dst_mask 目得地址掩码位数 46-47 Pad2 未用(0) 2.3.3 V7 头格式 备注:红色部分就是Version 7较Version 1新添字段。 字段 值 Version 0x0007 Count 该报文含有得流记录数 System Uptime 该设备启动得时间(毫秒) UNIX Seconds 自0000 UTC 1970计得时间(秒) UNIX NanoSenconds 自0000 UTC 1970计剩余时间(十亿分之一秒)

18、Sequence Number 流序号 输出报文格式 备注:红色部分就是Version 7不同于Version 5得字段 0 1 2 3 byte Srcaddr Dstaddr Nexthop input Output dPkts dOctets First Last srcport Dstport flags Tcp_flags prot Tos src_as dst_as src_mask dst_mask pad2 MLS RP Bytes 字段 值 0-3 srcaddr 源ip地址 4

19、7 dstaddr 目得ip地址 8-11 nexthop 下一跳路由器地址 12-13 input SNMP入口接口ifIndex 14-15 output SNMP出口接口ifIndex 16-19 dPkts 该流得Packets数 20-23 dOctets 该流得Bytes数 24-27 first 流开始系统时间 28-31 Last 流结束系统时间 32-33 srcport 四层源端口 34-35 dstport 四层目得端口 36 flags flow mask in use 37 Tcp_flags C

20、umulative OR of TCP flags 38 prot 四层协议(如TCP=6,UDP=17) 39 tos 服务类型 40-41 src_as 源AS号 42-43 dst_as 目得AS号 44-45 Src_mask 源地址掩码位数 46-47 Dst_mask 目得地址掩码位数 48 Pad2 未用(0) 49-50 MLS RP IP address of MLS router     2.3.4 V8 注意:支持IOS12、0(3)T,12、0(3)S12、1及其后续IOS版本 头格式 备注:红色部分就是

21、Version 8较Version 5新增字段,该字段体现汇聚功能。 字段 值 Version 0x0008 Count 该报文含有得流记录数 System Uptime 该设备启动得时间(毫秒) UNIX Seconds 自0000 UTC 1970计得时间(秒) UNIX NanoSenconds 自0000 UTC 1970计剩余时间(十亿分之一秒) Sequence Number 流序号 Engine Type 0代表RP,1代表VIP/LC Engine ID VIP或LC插槽号码 Aggregation 标识汇聚模式 需添加具体值 Agg_

22、version 汇聚版本 = 2 汇聚模式 Version 8支持汇聚功能,不同得汇聚模式有其相应得报文格式,下文分别叙述11种汇聚模式得、报文格式。 汇聚功能就是Version 8提出得新功能,在Version 9中也支持,它将输出得原始流信息报文按照不同得汇聚模式再一次分类,减少报文量,减轻对网络得负担,同时也能从某种角度来总结网络状况。 为了实现汇聚,设备建立名为汇聚缓存得高速缓存,该缓存用不同字段得组合来实现传统得流得再组合。当流从流缓存中输出时,送入汇聚缓存,进行进一步得组合。汇聚得好处就是可以使得最终输出给采集者得报文量减少,减轻对网络得影响。图3表示流输出得过程:

23、 图3 建立NetFlow汇聚缓存 汇聚缓存得超时时间可由以下命令改变: Router(config)# ip flow-aggregation cache prefix Router(config)# cache timeout active 25 Router(config)# cache timeout inactive 400 汇聚模式分两类——non-TOS based aggregation schemes、 TOS based aggregation schemes、 non-TOS based aggregation schemes有5类,分别就是: •

24、AS Aggregation Scheme •Destination-Prefix Aggregation Scheme •Prefix Aggregation Scheme •Protocol-Port Aggregation Scheme •Source Prefix Aggregation Scheme TOS based aggregation schemes有6类,分别就是: •AS-ToS Aggregation Scheme •Destination-Prefix-ToS Aggregation Scheme •Prefix-ToS Aggregat

25、ion Scheme •Protocol-Port-ToS Aggregation Scheme •Source Prefix-ToS Aggregation Scheme •Prefix-Port Aggregation Scheme 每一种汇聚模式都对应相应得报文,下文分别叙述各种汇聚模式所对应得报文格式。 non-TOS based aggregation scheme 下表总结了基于non-TOS 5种汇聚模式所使用得字段 字段 AS Protocol Port Source Prefix Destination Prefix Prefix 源网络前缀

26、 Y Y 源网络前缀掩码 Y Y 目得网络前缀 Y Y 目得网络前缀掩码 Y Y 源端口号 Y 目得端口号 Y 输入接口号 Y Y Y 输出接口号 Y Y Y IP协议类型 Y 源AS Y Y Y 目得AS Y Y Y 第一个报文时间戳 Y Y Y Y Y 最后一个报文时间戳 Y Y Y Y Y 流个数 Y Y Y Y Y 报文个数 Y Y Y Y Y

27、字节数 Y Y Y Y Y AS 汇聚 该汇聚模式基于BGP AS进行汇聚,产生AS-AS得流记录,记录以下信息: 源与目得BGP AS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-21 Src_as 源ip得AS号 22-

28、23 Dst_as 目得ip得AS号 24-25 Input 输入接口得SNMP索引号 26-27 Output 输出接口得SNMP索引号 2、3、4、1 目得网络前缀汇聚 该汇聚模式基于目得网络地址,掩码以及目得AS进行汇聚,记录以下信息: 目得网络前缀,即IP地址得网络部分 目得网络前缀掩码,即网络地址掩码 目得BGP AS号 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输出接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个

29、数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Dst_prefix 目得地址得网络前缀,即网络号 24 Dst_mask 目得地址得掩码位得个数(bits) 25 Pad 0 26-27 Dst_as 目得ip得AS号 28-29 Output 输出接口得SNMP索引号 30-31 Reserved 0 2、3、4、2 网络前缀汇聚 该汇聚模式基于网络前缀、掩码与AS号进行汇聚,记录以下信息: 源与目得地址网络前缀 源与

30、目得地址掩码 源与目得BGP AS号 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输入与输出接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Src_prefix 源地址得网络前缀,即网络号 24-27 Dst_prefix 目得地址得网络前缀,即网络号 28 Ds

31、t_mask 目得地址得掩码位得个数(bits) 29 Src_mask 源地址得掩码位得个数(bits) 30 Pad 0 31-32 Src_as 源ip得AS号 33-34 Dst_as 目得ip得AS号 35-36 Input 输入接口得SNMP索引号 37-28 Output 输出接口得SNMP索引号 2、3、4、3 协议_端口汇聚 该模式基于协议类型进行汇聚,产生同属一类协议得流记录,记录以下信息: 源与目得端口号 IP协议类型 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 第一个报文转发时间戳及最后一个报文转发时间

32、戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20 prot IP协议类型 21 Pad 0 22-23 reserved 0 24-25 Srcport 源端口号 26-27 dstport 目标端口号 2、3、4、4 源网络前缀汇聚 该汇聚模式基于源网络地址、掩码及AS号进行汇聚,记录以下信息: 源网络前缀,即IP地址

33、得网络部分 源网络前缀掩码,即网络地址掩码 源BGP AS号 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输入接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Src_prefix 源地址得网络前缀,即网络号 24 Src_mask 源地址得掩码位得个数(bits)

34、 25 Pad 0 26-27 Src_as 源ip得AS号 28-29 input 输入接口得SNMP索引号 30-31 Reserved 0 TOS based aggregation scheme 下表总结了基于TOS 6种汇聚模式所使用得字段 字段 AS-TOS Protocol Port-TOS Source Prefix-TOS Destination Prefix-TOS Prefix-TOS Prefix-Port 源网络前缀 Y Y Y 源网络前缀掩码 Y Y Y 目得网络前缀 Y

35、 Y Y 目得网络前缀掩码 Y Y Y 源端口号 Y Y 目得端口号 Y Y 输入接口号 Y Y Y Y Y 输出接口号 Y Y Y Y Y IP协议类型 Y Y 源AS Y Y Y 目得AS Y Y Y 服务类型 Y Y Y Y Y Y 第一个报文时间戳 Y Y Y Y Y 最后一个报文时间戳 Y Y Y Y Y 流个数 Y Y Y Y Y 报文个数 Y Y Y

36、 Y Y 字节数 Y Y Y Y Y 2、3、4、5 AS-ToS 汇聚 该汇聚模式基于源与目得AS,源与目得接口以及ToS进行汇聚,记录以下信息: 源与目得BGP AS ToS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 源与目得接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个

37、报文转发得系统时间 20-21 Src_as 源ip得AS号 22-23 Dst_as 目得ip得AS号 24-25 Input 输入接口得SNMP索引号 26-27 Output 输出接口得SNMP索引号 28 Tos 服务类型 29 pad 0 30-31 reserved 0 2、3、4、6 目得网络前缀-ToS 汇聚 该汇聚模式基于目得网络地址,掩码,目得AS以及ToS进行汇聚,记录以下信息: 目得网络前缀,即IP地址得网络部分 目得网络前缀掩码,即网络地址掩码 目得BGP AS号 ToS 汇聚记录得流个数 汇聚记录得报文个数

38、 汇聚记录得字节数 输出接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Dst_prefix 目得地址得网络前缀,即网络号 24 Dst_mask 目得地址得掩码位得个数(bits) 25 Tos 服务类型 26-27 Dst_as 目得ip得AS号 28-29 Outp

39、ut 输出接口得SNMP索引号 30-31 Reserved 0 2、3、4、7 网络前缀-ToS 汇聚 该汇聚模式基于网络前缀、掩码、AS号以及ToS进行汇聚,记录以下信息: 源与目得地址网络前缀 源与目得地址掩码 源与目得BGP AS号 ToS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输入与输出接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第

40、一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Src_prefix 源地址得网络前缀,即网络号 24-27 Dst_prefix 目得地址得网络前缀,即网络号 28 Dst_mask 目得地址得掩码位得个数(bits) 29 Src_mask 源地址得掩码位得个数(bits) 30 Tos 服务类型 31 pad 0 32-33 Src_as 源ip得AS号 34-35 Dst_as 目得ip得AS号 36-37 Input 输入接口得SNMP索引号 38-39 Output 输出接口得S

41、NMP索引号 2、3、4、8 协议-端口-ToS 汇聚 该模式基于协议类型、ToS以及入口出口接口进行汇聚,记录以下信息: 源与目得端口号 源与目得接口 IP协议类型 ToS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20 prot

42、 IP协议类型 21 Tos 服务类型 22-23 reserved 0 24-25 Srcport 源端口号 26-27 dstport 目标端口号 28-29 Input 输入接口得SNMP接口索引 30-31 output 输出接口得SNMP接口索引 2、3、4、9 源网络前缀-ToS 汇聚 该汇聚模式基于源网络地址、掩码、AS号及ToS进行汇聚,记录以下信息: 源网络前缀,即IP地址得网络部分 源网络前缀掩码,即网络地址掩码 源BGP AS号 ToS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输入接口 第一个报文转

43、发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统时间 16-19 Last 最后一个报文转发得系统时间 20-23 Src_prefix 源地址得网络前缀,即网络号 24 Src_mask 源地址得掩码位得个数(bits) 25 Tos 服务类型 26-27 Src_as 源ip得AS号 28-29 input 输入接口得SNMP索引号 30-31 Re

44、served 0 2、3、4、10 网络前缀-端口 汇聚 该汇聚模式基于网络前缀、掩码、端口号、接口号、协议类型以及ToS进行汇聚,记录以下信息: 源与目得地址网络前缀 源与目得地址掩码 源与目得端口号 源与目得接口 协议类型 ToS 汇聚记录得流个数 汇聚记录得报文个数 汇聚记录得字节数 输入与输出接口 第一个报文转发时间戳及最后一个报文转发时间戳 Bytes 字段 值 0-3 Flows 汇聚得原始流个数 4-7 dPkts 汇聚得流报文个数 8-11 dOctets 汇聚得流字节数 12-15 First 第一个报文转发得系统

45、时间 16-19 Last 最后一个报文转发得系统时间 20-23 Src_prefix 源地址得网络前缀,即网络号 24-27 Dst_prefix 目得地址得网络前缀,即网络号 28 Dst_mask 目得地址得掩码位得个数(bits) 29 Src_mask 源地址得掩码位得个数(bits) 30 Tos 服务类型 31 prot IP协议类型 32-33 Srcport 源端口号 34-35 Dstport 目得端口号 36-37 Input 输入接口得SNMP索引号 38-39 Output 输出接口得SNMP索引号

46、 2.3.5 V9 2.3.5.1 Template简介 在Version 9之前得NetFlow流记录版本都就是固定格式得,报文中得字段都就是固定得,不可更改。版本9提出了模版得概念,使得管理者可以根据自己得需求定义流记录中得字段。模版提供了一种可扩展得方式,使得在不改变现有得基础流记录得条件下,增加更多得信息。使用模版有以下好处: 提供采集器或NetFlow显示服务得三方无需在新得NetFlow特性加入后修改自己得产品 新得特性可以很快地加入NetFlow,而不用停掉当前使用 随着协议得发展,NetFlow可随之发展,这就是因为Version 9得灵活性与适应性 2.3.5.

47、2 相关术语 Observation Point:观察点,通常就就是一个接口。定义为在网络中可以观察到IP报文得点。 Observation Domain:观察域,通常就就是一个线卡,由很多接口组成。定义为一组观察点,这些观察点都运行了NetFlow服务,可提供一组流得汇聚记录。 FlowSet:报文头之后得内容。FlowSet就是输出数据中流记录得通称,包括两类:模版与数据。一个输出报文中包含一个或多个FlowSets,模版与数据FlowSets可以混入同一个输出报文。 模版FlowSet:一个输出报文中含有一个或多个模版FlowSets。 模版记录:定义模版,之后得输出数据记录

48、报文必须符合模版记录。在同一个报文中,如果既有模版记录又有数据记录,那么数据记录不需要一定符合该模版记录,采集器必须缓存模版记录,数据记录只要符合采集器中得模版就可以了。 模版ID:用以区分不同得模版。 数据FlowSet:一个数据报文可含有多个数据FlowSets。 数据记录:数据记录提供ip流信息,数据记录必须含有模版ID,采集器根据模版ID分析数据内容。 可选模版:可选模版就是一种特殊得模版记录,用以与NetFlow处理器沟通数据格式。 可选数据记录:可选数据记录就是一种特殊得数据记录,使用保留得模版ID,提供NetFlow处理器本身得信息。 2.3.5.3 V9模版管理

49、 输出端负责输出模版与数据,理论上讲,应该在数据输出之前输出模版,这样接收端采集器才可以知道怎样来解析接收到得数据。输出端得模版记录就是随着NetFlow进程而产生与消亡得。如果输出端或NetFlow进程死掉或重起,那么所有得模版信息都会丢失,而会创建新得模版ID。如果模版配置改变,丢弃现有得模版id,而这个id将不能再重用,直到重起NetFlow进程或整个输出端。当接收端采集器接收到一个现存模版id得定义,丢弃原有得定义,使用新得定义。当输出端得模版记录删除并有一条参数完全一样得记录,可以使用同样得模版ID。在以下三种情况,输出端将输出模版FlowSet: NetFlow进程重起,输出端在

50、输出数据之前必须将相应得模版发送给采集者,模版信息要么包含在数据之前得报文里,要么包含在该数据所在报文里。这一点保证接收者可以正确解析收到得数据。 当配置改变时,输出端必须尽快得发送新得模版定义。 定时更新。根据两种模式,输出端必须发送所有得模版与options模版记录给采集者:基于报文,即每发送N个报文就必须嵌入模版信息发送给采集者;基于时间,即每过N分钟就要发送一次模版信息。这两个参数都必须在输出端进行配置,当一个超时,输出端必须发送模版FlowSet与Options模版。 输出端时钟配置发生改变,输出端应尽快发送模版定义。(In the event of a clock confi