netflow理解文档-liangzh.doc

Netflow理解文档
NetFlow工作原理
NetFlow先记录下初始化IP包的数据,如IP协议类型、服务种类(ToS)、接口标识等,Flow让随后的数据在同一个数据流中进行传输,同时,对它们使用各自相应的服务,如安全性过滤、QoS策略、流量策划等。Flow的缓存中,通过读取的操作指令就可以重新找回。
NetFlow支持同时向两个管理服务器地址输出采集到的网络流量和流向统计信息,输出数据的方式有三种:
·简单高效UDP传输协议方式(传统方式)。但由于采用了UDP协议,数据传输的可靠性是不保证的。
·SNMP MIB方式。Flow MIB库中存储的数据流Top N统计结果。
·可靠的SCTP传输协议方式。利用SCTP传输协议,支持拥塞识别,重传和排队机制,Flow统计结果数据正确发送给上层管理服务器。
NetFlow功能
根据不同的需要定制不同的计划集合(Aggregation Scheme),Flow发送数据中的一个或多个Key Fields和Value Fields,根据不同的需要进行选择,以满足一定的需求。
较典型的是对网络数据的源地址、目的地址的分析,对流量中各种应用的分析(基于协议或者端口)或者路由器上各个端口的负载等的分析。
NetFlow数据用途
完成网络管理与规划、企业的记帐、部门的收费、ISP的计费、建立数据仓库,市场目的
业务流程
Flow的处理流程
Flow可以首先根据网络管理的需要对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样,这样可以在确保需要的管理信息被采集和统计的同时,减少网络设备的处理负荷,增加全系统的可扩展性。
Flow可以选择把采集到的数据流原始统计信息全部输出,由上层管理服务器统一接收后再进行数据的分类处理和
汇总;也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚,只把汇总后的统计结果发送给上层管理服务器。
flow v5数据结构
stream Data
IP
IP
stream Data
UDP
Header
Flow Records
通过头部结构的Version字段,可以区分数据区采用何种结构的数据。目前支持三种Version:5/8/9。
也可以用TCP/SCTP进行传输,但目前不支持
NetFlow V5报文头(24 Bytes)内容
Version: NetFlow版本:
Count: Flow记录数
SysUpTime: 系统运行时间
UnixSecs: UTC标准时间(自1970-01-01零点经过的秒数)
UnixNsecs: UTC标准时间(不足一秒的纳秒数)
StreamSeq: Flow报文丢失判断)
ype: 类型
EngineID: 编号
NetFlow V5 流记录格式
Table2 流记录格式
Name
Description
Offset
Field Length in Bytes
Source IPaddr
IP address of the device that sent the flow
0
4
Destination IPaddr
IP address of the destination device
4
4
Next hop router