1、.1 . 流量流向監(jiān)測技術1.1 概述傳統(tǒng)的網絡流量監(jiān)測技術的局限性SNMP采集端口的數據主要是在網元層用來監(jiān)控網絡流量和設備的性能，而且SNMP采集的數據是基于端口的，無法提供端到端的準確的流量信息，因此對流向的統(tǒng)計手段不明確。利用RMON探針對運營商網絡進行流量和流向管理可以部分彌補SNMP的技術局限性，其業(yè)務分析和協(xié)議分析功能較強。但是，采用RMON探針建設的流量監(jiān)測系統(tǒng)也有處理性能不足和難以在大型網絡普遍部署的局限性。提出新的流量監(jiān)測技術為克服現有網管系統(tǒng)對網絡流量和流向分析功能的技術局限性，運營商迫切需要尋找一種功能豐富、成熟穩(wěn)定的新技術，對現有管理系統(tǒng)中流量信息的采集和分析方式進行

2、改造和升級。新的流量信息采集和分析技術應具備對運營商的運行網絡影響小、無需對網絡拓撲進行改變就能平滑升級的技術特征，既可以對網絡中各個鏈路的帶寬使用率進行統(tǒng)計，又可以對每條鏈路上不同類型業(yè)務的流量和流向進行分析和統(tǒng)計。本文主要介紹應用廣泛的Cisco NetFlow技術、華為 Netstream技術、Sflow 、Cflowd 和IPFIX 以及支持上述流監(jiān)測技術的廠家和設備情況 。1.2 相關廠家及設備供應商 支持的流 設備列表CiscoNetFlowCisco - 800、1700、2600、1800、2800、3800、4500、6500、7200、7300、7500、7600、1000

3、0、12000、CRS-1 3ComNetFlow8800系列交換機AdtranNetFlowNetVanta 3200、3305、4305、5305、1524、1624、3430、3448、3130、340和344RiverbedNetFlow請參考Riverbed白皮書EnterasysNetFlow請參考Enterasys白皮書 Extreme NetworksNetFlowAlpine 3800系列、BlackDiamond 6800系列、BlackDiamond 8800系列、BlackDiamond 10808、BlackDiamond 12804C、BlackDiamond 12

4、804R、Summit X450系列、Summit i系列（不支持輸入/輸出接口、octets和最初及最后次數）Foundry NetworksNetFlow、sFlow BigIron系列、FastIron系列、IronPoint系列、NetIron系列、 SecureIron系列、ServerIron系列 Juniper NetworksNetFlow、J-Flow 請參考Juniper Networks白皮書（針對Netflow不支持取樣間隔參數、最初和最后次數以秒單位存儲）Huawei NetStream請參考Huawei白皮書H3CNetStream請參考H3C白皮書Nortel I

5、PFIX5500和8600系列 AlaxalA NetworkssFlowAX7800R、AX7800S、AX7700R、AX5400S AlcatelsFlowOmniSwitch 6850、OmniSwitch 9000 Allied TelesissFlowSwitchBlade 7800R系列、SwitchBlade 7800S系列、SwitchBlade 5400S系列 Comtec SystemssFlow!-Rex 16Gi、24Gi和24Gi-ComboForce10 NetworkssFlowE系列Hewlett-PackardsFlowProCurve 2800系列、Pro

6、Curve 3400cl系列、ProCurve 3500yl系列、ProCurve 4200vl系列、ProCurve 5300xl系列、ProCurve 5400zl系列、ProCurve 6200yl系列、ProCurve 6400cl系列、ProCurve 9300m系列、ProCurve Routing Switch 9408sl HitachisFlowGR4000、GS4000、GS3000NECsFlowIP8800/R400系列、IP8800/S400系列、IP8800/S300系列2 Netflow2.1 流原理netflow 的信息單元是flow。flow是一個單向的帶有唯

7、一標識字節(jié)組的傳輸流?；镜臉俗R為：source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。當路由器接收到一個沒有flow入口的數據包時，一個flow的結構將被初始化以保存其狀態(tài)信息如：交換的字節(jié)數、IP地址、端口、自治區(qū)域等。隨后所有滿足這個flow結構的數據包都將增加flow結構的字節(jié)計數和包計數，直至這個flow中止并輸出。Netflow功能是在一個路由器內獨立完成，它不涉及路由器之間的任何連接設置協(xié)議，也不要求對數據包本身

8、或其它任何網絡設備進行任何外部修改。Netflow交換中要創(chuàng)建一個信息高速緩存，第一個數據包到來時，路由器利用標準的快速交換處理信息包，同時生成一個Netflow高速緩存，隨后到來的數據包即可以依據高速緩存信息被交換，對于所有活動信息流，在Netflow高速緩存中保留相應的信息流信息。當一定時間內沒有相應的數據包通過，則結束這個數據流的交換和統(tǒng)計，并釋放高速緩存，數據輸出的條件在后續(xù)部分描述。在netflow中到期的flow被綁在UDP數據報中發(fā)出。在V5的版本中最多30個flow記錄，V1中25個記錄，V8中28個記錄。至少每秒鐘發(fā)一次flow。雖然netflow只提供單向的流量統(tǒng)計。如果希

9、望得到表現雙向的統(tǒng)計數據，netflow提供了“canned”的SQL程序來獲得一個IP地址對的流量統(tǒng)計數據。典型的路由器netflow的資源占用率為830。一般情況下一個netflow收集器接收35個路由器的netflow輸出。2.2 輸出緩存條件NetFlow是通過建立高速緩存來實現的，該緩存存放所有活動的流信息。當有一個報文符合流定義時，NetFlow緩存將被建立。緩存終止并輸出數據的條件如下：*傳輸完成（當看到TCP FIN或RST標志）*緩存滿*非活動時間超時?？臻e流超過n秒，默認15秒，可通過Router(config)# ip flow-cache timeout inactiv

10、e 130改變默認值*活動時間超時。流超過n分鐘，默認30分鐘，可通過Router(config)# ip flow-cache timeout active 20改變默認值NetFlow緩存如圖1所示。圖1 NetFlow Cache示例2.3 Netflow 報文格式說明2.3.1 V1 頭格式字段值Version0x0001Count該報文含有的流記錄數System Uptime該設備啟動的時間（毫秒）UNIX Seconds自0000 UTC 1970計的時間（秒）UNIX NanoSenconds自0000 UTC 1970計剩余時間（十億分之一秒）輸出報文格式0123 bytesr

11、caddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1prottosTcp_flagsPad2Pad3reservedBytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts該流的Packets數20-23dOctets該流的Bytes數24-27first流開始系統(tǒng)時間28-31Last流結束系統(tǒng)時間32-33srcport四層源

12、端口34-35dstport四層目的端口36Pad1未用（0）37prot四層協(xié)議（如TCP=6，UDP=17）38tos服務類型39Tcp_flagsCumulative OR of TCP flags40Pad2未用（0）41-42Pad3未用（0）43reserved保留2.3.2 V5頭格式備注：紅色部分是Version 5較Version 1新添字段。字段值Version0x0005Count該報文含有的流記錄數System Uptime該設備啟動的時間（毫秒）UNIX Seconds自0000 UTC 1970計的時間（秒）UNIX NanoSenconds自0000 UTC 19

13、70計剩余時間（十億分之一秒）Sequence Number流序號Engine Type流轉發(fā)引擎，0代表RP，1代表VIP/LCEngine IDVIP或LC插槽號碼輸出報文格式備注：紅色部分是Version 5不同于Version 1的字段。Version 5新增了4個字段用以標示自治域和掩碼位。0123 bytesrcaddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1Tcp_flagsprottossrc_asdst_assrc_maskdst_maskpad2Bytes字段值0-3srcaddr源ip

14、地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts該流的Packets數20-23dOctets該流的Bytes數24-27first流開始系統(tǒng)時間28-31Last流結束系統(tǒng)時間32-33srcport四層源端口34-35dstport四層目的端口36Pad1未用（0）37Tcp_flagsCumulative OR of TCP flags38prot四層協(xié)議（如TCP=6，UDP=17）39tos服務類型40-41src_as源AS號42-43

15、dst_as目的AS號44Src_mask源地址掩碼位數45Dst_mask目的地址掩碼位數46-47Pad2未用（0）2.3.3 V7頭格式備注：紅色部分是Version 7較Version 1新添字段。字段值Version0x0007Count該報文含有的流記錄數System Uptime該設備啟動的時間（毫秒）UNIX Seconds自0000 UTC 1970計的時間（秒）UNIX NanoSenconds自0000 UTC 1970計剩余時間（十億分之一秒）Sequence Number流序號輸出報文格式備注：紅色部分是Version 7不同于Version 5的字段0123 byt

16、eSrcaddrDstaddrNexthopinputOutputdPktsdOctetsFirstLastsrcportDstportflagsTcp_flagsprotTossrc_asdst_assrc_maskdst_maskpad2MLS RPBytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts該流的Packets數20-23dOctets該流的Bytes數24-27first流開始系統(tǒng)時間28-31

17、Last流結束系統(tǒng)時間32-33srcport四層源端口34-35dstport四層目的端口36flagsflow mask in use37Tcp_flagsCumulative OR of TCP flags38prot四層協(xié)議（如TCP=6，UDP=17）39tos服務類型40-41src_as源AS號42-43dst_as目的AS號44-45Src_mask源地址掩碼位數46-47Dst_mask目的地址掩碼位數48Pad2未用（0）49-50MLS RPIP address of MLS router2.3.4 V8 注意：支持IOS12.0(3)T，12.0(3)S12.1及其后續(xù)

18、IOS版本頭格式備注：紅色部分是Version 8較Version 5新增字段，該字段體現匯聚功能。字段值Version0x0008Count該報文含有的流記錄數System Uptime該設備啟動的時間（毫秒）UNIX Seconds自0000 UTC 1970計的時間（秒）UNIX NanoSenconds自0000 UTC 1970計剩余時間（十億分之一秒）Sequence Number流序號Engine Type0代表RP，1代表VIP/LCEngine IDVIP或LC插槽號碼Aggregation標識匯聚模式 需添加具體值Agg_version匯聚版本 = 2匯聚模式Version

19、 8支持匯聚功能，不同的匯聚模式有其相應的報文格式，下文分別敘述11種匯聚模式的、報文格式。匯聚功能是Version 8提出的新功能，在Version 9中也支持，它將輸出的原始流信息報文按照不同的匯聚模式再一次分類，減少報文量，減輕對網絡的負擔，同時也能從某種角度來總結網絡狀況。為了實現匯聚，設備建立名為匯聚緩存的高速緩存，該緩存用不同字段的組合來實現傳統(tǒng)的流的再組合。當流從流緩存中輸出時，送入匯聚緩存，進行進一步的組合。匯聚的好處是可以使得最終輸出給采集者的報文量減少，減輕對網絡的影響。圖3表示流輸出的過程：圖3 建立NetFlow匯聚緩存匯聚緩存的超時時間可由以下命令改變：Router(

20、config)# ip flow-aggregation cache prefix Router(config)# cache timeout active 25 Router(config)# cache timeout inactive 400 匯聚模式分兩類non-TOS based aggregation schemes、TOS based aggregation schemes.non-TOS based aggregation schemes有5類，分別是：AS Aggregation Scheme Destination-Prefix Aggregation Scheme Pre

21、fix Aggregation Scheme Protocol-Port Aggregation Scheme Source Prefix Aggregation Scheme TOS based aggregation schemes有6類，分別是：AS-ToS Aggregation Scheme Destination-Prefix-ToS Aggregation Scheme Prefix-ToS Aggregation Scheme Protocol-Port-ToS Aggregation Scheme Source Prefix-ToS Aggregation Scheme Pr

22、efix-Port Aggregation Scheme 每一種匯聚模式都對應相應的報文，下文分別敘述各種匯聚模式所對應的報文格式。non-TOS based aggregation scheme下表總結了基于non-TOS 5種匯聚模式所使用的字段字段ASProtocol PortSource PrefixDestination PrefixPrefix源網絡前綴YY源網絡前綴掩碼YY目的網絡前綴YY目的網絡前綴掩碼YY源端口號Y目的端口號Y輸入接口號YYY輸出接口號YYYIP協(xié)議類型Y源ASYYY目的ASYYY第一個報文時間戳YYYYY最后一個報文時間戳YYYYY流個數YYYYY報文個數Y

23、YYYY字節(jié)數YYYYYAS 匯聚該匯聚模式基于BGP AS進行匯聚，產生AS-AS的流記錄，記錄以下信息：源和目的BGP AS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-21Src_as源ip的AS號22-23Dst_as目的ip的AS號24-25Input輸入接口的SNMP索引號26-27Output輸出接口的SNMP索引號2.3.4

24、.1 目的網絡前綴匯聚 該匯聚模式基于目的網絡地址，掩碼以及目的AS進行匯聚，記錄以下信息：目的網絡前綴，即IP地址的網絡部分目的網絡前綴掩碼，即網絡地址掩碼目的BGP AS號匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸出接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Dst_prefix目的地址的網絡前綴，即網絡號24Dst_mask目的地址的掩碼位的個數（bits）25P

25、ad026-27Dst_as目的ip的AS號28-29Output輸出接口的SNMP索引號30-31Reserved02.3.4.2 網絡前綴匯聚 該匯聚模式基于網絡前綴、掩碼和AS號進行匯聚，記錄以下信息：源和目的地址網絡前綴源和目的地址掩碼源和目的BGP AS號匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸入和輸出接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Src_pr

26、efix源地址的網絡前綴，即網絡號24-27Dst_prefix目的地址的網絡前綴，即網絡號28Dst_mask目的地址的掩碼位的個數（bits）29Src_mask源地址的掩碼位的個數（bits）30Pad031-32Src_as源ip的AS號33-34Dst_as目的ip的AS號35-36Input輸入接口的SNMP索引號37-28Output輸出接口的SNMP索引號2.3.4.3 協(xié)議_端口匯聚 該模式基于協(xié)議類型進行匯聚，產生同屬一類協(xié)議的流記錄，記錄以下信息：源和目的端口號IP協(xié)議類型匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Byt

27、es字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20protIP協(xié)議類型21Pad022-23reserved024-25Srcport源端口號26-27dstport目標端口號2.3.4.4 源網絡前綴匯聚 該匯聚模式基于源網絡地址、掩碼及AS號進行匯聚，記錄以下信息：源網絡前綴，即IP地址的網絡部分源網絡前綴掩碼，即網絡地址掩碼源BGP AS號匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸入接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間

28、戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Src_prefix源地址的網絡前綴，即網絡號24Src_mask源地址的掩碼位的個數（bits）25Pad026-27Src_as源ip的AS號28-29input輸入接口的SNMP索引號30-31Reserved0TOS based aggregation scheme下表總結了基于TOS 6種匯聚模式所使用的字段字段AS-TOSProtocol Port-TOSSource

29、Prefix-TOSDestination Prefix-TOSPrefix-TOSPrefix-Port源網絡前綴YYY源網絡前綴掩碼YYY目的網絡前綴YYY目的網絡前綴掩碼YYY源端口號YY目的端口號YY輸入接口號YYYYY輸出接口號YYYYYIP協(xié)議類型YY源ASYYY目的ASYYY服務類型YYYYYY第一個報文時間戳YYYYY最后一個報文時間戳YYYYY流個數YYYYY報文個數YYYYY字節(jié)數YYYYY2.3.4.5 AS-ToS 匯聚 該匯聚模式基于源和目的AS，源和目的接口以及ToS進行匯聚，記錄以下信息：源和目的BGP ASToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數

30、源和目的接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-21Src_as源ip的AS號22-23Dst_as目的ip的AS號24-25Input輸入接口的SNMP索引號26-27Output輸出接口的SNMP索引號28Tos服務類型29pad030-31reserved02.3.4.6 目的網絡前綴-ToS 匯聚該匯聚模式基于目的網絡地址，掩碼，目的AS以及ToS進行匯聚，記錄以下信息：

31、目的網絡前綴，即IP地址的網絡部分目的網絡前綴掩碼，即網絡地址掩碼目的BGP AS號ToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸出接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Dst_prefix目的地址的網絡前綴，即網絡號24Dst_mask目的地址的掩碼位的個數（bits）25Tos服務類型26-27Dst_as目的ip的AS號28-29Output輸出接口的SN

32、MP索引號30-31Reserved02.3.4.7 網絡前綴-ToS 匯聚 該匯聚模式基于網絡前綴、掩碼、AS號以及ToS進行匯聚，記錄以下信息：源和目的地址網絡前綴源和目的地址掩碼源和目的BGP AS號ToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸入和輸出接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Src_prefix源地址的網絡前綴，即網絡號24-27Dst_p

33、refix目的地址的網絡前綴，即網絡號28Dst_mask目的地址的掩碼位的個數（bits）29Src_mask源地址的掩碼位的個數（bits）30Tos服務類型31pad032-33Src_as源ip的AS號34-35Dst_as目的ip的AS號36-37Input輸入接口的SNMP索引號38-39Output輸出接口的SNMP索引號2.3.4.8 協(xié)議-端口-ToS 匯聚 該模式基于協(xié)議類型、ToS以及入口出口接口進行匯聚，記錄以下信息：源和目的端口號源和目的接口IP協(xié)議類型ToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值

34、0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20protIP協(xié)議類型21Tos服務類型22-23reserved024-25Srcport源端口號26-27dstport目標端口號28-29Input輸入接口的SNMP接口索引30-31output輸出接口的SNMP接口索引2.3.4.9 源網絡前綴-ToS 匯聚該匯聚模式基于源網絡地址、掩碼、AS號及ToS進行匯聚，記錄以下信息：源網絡前綴，即IP地址的網絡部分源網絡前綴掩碼，即網絡地址掩碼源BGP

35、AS號ToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸入接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Src_prefix源地址的網絡前綴，即網絡號24Src_mask源地址的掩碼位的個數（bits）25Tos服務類型26-27Src_as源ip的AS號28-29input輸入接口的SNMP索引號30-31Reserved02.3.4.10 網絡前綴-端口 匯聚該匯聚模式

36、基于網絡前綴、掩碼、端口號、接口號、協(xié)議類型以及ToS進行匯聚，記錄以下信息：源和目的地址網絡前綴源和目的地址掩碼源和目的端口號源和目的接口協(xié)議類型ToS匯聚記錄的流個數匯聚記錄的報文個數匯聚記錄的字節(jié)數輸入和輸出接口第一個報文轉發(fā)時間戳及最后一個報文轉發(fā)時間戳Bytes字段值0-3Flows匯聚的原始流個數4-7dPkts匯聚的流報文個數8-11dOctets匯聚的流字節(jié)數12-15First第一個報文轉發(fā)的系統(tǒng)時間16-19Last最后一個報文轉發(fā)的系統(tǒng)時間20-23Src_prefix源地址的網絡前綴，即網絡號24-27Dst_prefix目的地址的網絡前綴，即網絡號28Dst_mask

37、目的地址的掩碼位的個數（bits）29Src_mask源地址的掩碼位的個數（bits）30Tos服務類型31protIP協(xié)議類型32-33Srcport源端口號34-35Dstport目的端口號36-37Input輸入接口的SNMP索引號38-39Output輸出接口的SNMP索引號2.3.5 V92.3.5.1 Template簡介在Version 9之前的NetFlow流記錄版本都是固定格式的，報文中的字段都是固定的，不可更改。版本9提出了模版的概念，使得管理者可以根據自己的需求定義流記錄中的字段。模版提供了一種可擴展的方式，使得在不改變現有的基礎流記錄的條件下，增加更多的信息。使用模版有

38、以下好處：提供采集器或NetFlow顯示服務的三方無需在新的NetFlow特性加入后修改自己的產品新的特性可以很快地加入NetFlow，而不用停掉當前使用隨著協(xié)議的發(fā)展，NetFlow可隨之發(fā)展，這是因為Version 9的靈活性和適應性2.3.5.2 相關術語Observation Point：觀察點，通常就是一個接口。定義為在網絡中可以觀察到IP報文的點。Observation Domain：觀察域，通常就是一個線卡，由很多接口組成。定義為一組觀察點，這些觀察點都運行了NetFlow服務，可提供一組流的匯聚記錄。FlowSet：報文頭之后的內容。FlowSet是輸出數據中流記錄的通稱，包括

39、兩類：模版和數據。一個輸出報文中包含一個或多個FlowSets，模版和數據FlowSets可以混入同一個輸出報文。模版FlowSet：一個輸出報文中含有一個或多個模版FlowSets。模版記錄：定義模版，之后的輸出數據記錄報文必須符合模版記錄。在同一個報文中，如果既有模版記錄又有數據記錄，那么數據記錄不需要一定符合該模版記錄，采集器必須緩存模版記錄，數據記錄只要符合采集器中的模版就可以了。模版ID：用以區(qū)分不同的模版。數據FlowSet：一個數據報文可含有多個數據FlowSets。數據記錄：數據記錄提供ip流信息，數據記錄必須含有模版ID，采集器根據模版ID分析數據內容?？蛇x模版：可選模版是一

40、種特殊的模版記錄，用以與NetFlow處理器溝通數據格式?？蛇x數據記錄：可選數據記錄是一種特殊的數據記錄，使用保留的模版ID，提供NetFlow處理器本身的信息。2.3.5.3 V9模版管理輸出端負責輸出模版和數據，理論上講，應該在數據輸出之前輸出模版，這樣接收端采集器才可以知道怎樣來解析接收到的數據。輸出端的模版記錄是隨著NetFlow進程而產生和消亡的。如果輸出端或NetFlow進程死掉或重起，那么所有的模版信息都會丟失，而會創(chuàng)建新的模版ID。如果模版配置改變，丟棄現有的模版id，而這個id將不能再重用，直到重起NetFlow進程或整個輸出端。當接收端采集器接收到一個現存模版id的定義，丟

41、棄原有的定義，使用新的定義。當輸出端的模版記錄刪除并有一條參數完全一樣的記錄，可以使用同樣的模版ID。在以下三種情況，輸出端將輸出模版FlowSet：NetFlow進程重起，輸出端在輸出數據之前必須將相應的模版發(fā)送給采集者，模版信息要么包含在數據之前的報文里，要么包含在該數據所在報文里。這一點保證接收者可以正確解析收到的數據。當配置改變時，輸出端必須盡快的發(fā)送新的模版定義。定時更新。根據兩種模式，輸出端必須發(fā)送所有的模版和options模版記錄給采集者：基于報文，即每發(fā)送N個報文就必須嵌入模版信息發(fā)送給采集者；基于時間，即每過N分鐘就要發(fā)送一次模版信息。這兩個參數都必須在輸出端進行配置，當一個

42、超時，輸出端必須發(fā)送模版FlowSet和Options模版。輸出端時鐘配置發(fā)生改變，輸出端應盡快發(fā)送模版定義。（In the event of a clock configuration change on the Exporter, the Exporter SHOULD send the template definitions at an accelerated rate.）一般來講，采集器收到數據前，都應先收到相應的模版，但如果收到的數據中的模版ID在本地沒有記錄，應將該報文保存下來，等到收到模版定義之后再解析，而不是簡單的丟棄該報文。采集器存儲的模版定時死亡，需要定時更新，如果模版沒

43、有得到輸出端的定義更新，超時之后將宣告死亡，采集器不能再使用該模版解析數據。采集器維護以下參數：Exporter、Observation Domain、模版ID、模版定義、最近一次接收時間。模版ID在每個輸出端的每個Observation域里是唯一的。2.3.5.4 V9 報文一個報文里至少含有1個或多個模版或數據FlowSets。如下圖：Packet HeaderTemplate FlowSetData FlowSetData FlowSet-Template FlowSetData FlowSet一個報文中模版和數據可能的組合包括以下三種：模版FlowSets和數據FlowSets交叉組合

44、這種方式中的模版和數據并沒有必然聯系。純數據FlowSets大部分的輸出數據都是這種模式。純模版FlowSets這種情況比較少。一般來講，模版都是插入數據中發(fā)送的。當路由器剛剛啟動或重起時，為了跟采集器同步，路由器發(fā)送只含有模版的報文。模版記錄是有壽命的，它們必須周期性的更新。在更新期間，有可能沒有合適的數據發(fā)送，那么將發(fā)送只含模版的報文。Template FlowSet Format0123456789101112131415FlowSet ID = 0LengthTemplate IDField CountField 1 TypeField 1 LengthField 2 TypeFiel

45、d 2 Length-Field N TypeField N LengthTemplate IDField CountField 1 TypeField 1 LengthField 2 TypeField 2 Length-Field N TypeField N LengthField NameValueFlowSet IDFlowSet ID用以區(qū)分模版記錄和數據記錄。模版記錄的FlowSet ID在0-255之間。目前，定義流字段的模版FlowSet ID為0，定義可選字段的模版FlowSet ID為1。數據FlowSet ID大于255。Length該FlowSet的總長度。由于一個Fl

46、owSet里可能還有多個模版ID，所以需要用長度來定界，與下一個FlowSet區(qū)分出來。長度使用type/length/value (TLV)格式，意思是在此FlowSet ID中所有的字節(jié)數。Template ID用以區(qū)分模版，模版ID是路由器本地唯一的，該值從256開始。Field Count該模版記錄中含有的字段數，用以界定不同模版的邊界。Field Type字段類型，這是設備商指定的。思科所有支持NetFlow Version 9的硬件平臺都支持這些類型。具體類型參見下表。Field Length定義上述字段的長度（字節(jié)）。思科支持的字段類型：Field TypeValueLength

47、 (bytes)DescriptionIN_BYTES1N (default is 4)IP流的輸入計數器，字節(jié)數IN_PKTS2N (default is 4)IP流的輸入計數器，報文數FLOWS3N (default is 4)匯聚的流個數PROTOCOL41IP協(xié)議類型SRC_TOS51輸入流的服務類型位，即ToS位TCP_FLAGS61一個流里所有的TCP標志總數L4_SRC_PORT72TCP/UDP源端口IPV4_SRC_ADDR84IPv4源地址SRC_MASK91源地址子網掩碼位數，如255.0.0.0則為8INPUT_SNMP10N(default is 2)輸入接口索引L4

48、_DST_PORT112TCP/UDP目的端口號IPV4_DST_ADDR124IPv4目的地址DST_MASK131目的地址子網掩碼位數，如255.0.0.0則為8OUTPUT_SNMP14N(default is 2)輸出接口索引IPV4_NEXT_HOP154下一條路由器IPv4地址SRC_AS16N (default is 2)源BGP自治域號，N可為2或4DST_AS17N (default is 2)目的源BGP自治域號，N可為2或4BGP_IPV4_NEXT_HOP184在BGP域里下一跳路由器地址MUL_DST_PKTS19N (default is 4)輸出組播報文個數MUL

49、_DST_BYTES20N (default is 4)輸出組播報文字節(jié)數LAST_SWITCHED214最后一個報文轉發(fā)時系統(tǒng)時間FIRST_SWITCHED224第一個報文轉發(fā)時系統(tǒng)時間OUT_BYTES23N (default is 4)輸出報文字節(jié)數OUT_PKTS24N (default is 4)輸出報文個數MIN_PKT_LNGTH252輸入報文最小報文長度MAX_PKT_LNGTH262輸入報文最大報文長度IPV6_SRC_ADDR2716IPv6源地址IPV6_DST_ADDR2816IPv6目的地址IPV6_SRC_MASK291IPv6源地址掩碼位數IPV6_DST_MASK301IPv6源地址掩碼位數IPV6_FLOW_LABEL313IPv6流標簽as per RFC 2460definitionICMP_TYPE322ICMP報文類型，值為(ICMP Type * 256) + ICMP code)MUL_IGMP_TYPE331IGMP報文類型SAMPLING_INTERVAL344如果使用采樣NetFlow，該字段記錄采樣率SAMPLING_ALGORITHM351該字段標識采樣NetFlow方式：0x01表示確定采樣，0x02表示隨機采樣FLOW_ACTIVE