【流量】netflow 基础知识

摘要

记录下关于netflow的基础知识以及应用，现状

是什么

一种数据交换方式，NetFlow流量统计数据包括数据流时戳 源IP地址和目的IP地址 源端口号和目的端口号 输入接口号和输出接口号 下一跳IP地址 信息流中的总字节数 信息流中的数据包数量 信息流中的第一个和最后一个数据包时戳 源AS和目的AS，及前置掩码 序号(只有版本5中支持)

工作原理

NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

适用场景

提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。输出的NetFlow统计数据可用于多种目的，如网络流量核算、网络付费、网络监控以及商业目的的数据存储，可用于

• 拒绝服务攻击（DoS）
• 分布式拒绝服务攻击（DDoS）
• 网络蠕虫病毒流量
• 其他

从流向来说

• 网外对本网内的攻击
• 本网内对网外的攻击
• 本网内对本网内的攻击

结构

探测器

监听网络数据的。

数据采集

收集探测器传来的数据的。路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。

报告系统

用来从采集器收集到的数据产生易读的报告的。

版本

Netflow由Cisco创造，有好几个版本。

• Netflow V1，为Netflow技术的第一个实用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的实际网络环境中已经不建议使用。
• Netflow V5，增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。支持IOS 11.1CA和12.0及其后续IOS版本。
• Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利用交换机的MLS或CEF处理引擎。
• Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能（共支持11种数据汇聚模式），可以大大降低对数据输出的带宽需求。支持IOS12.0(3)T，12.0(3)S，12.1及其后续IOS版本。
• Netflow V9，一种全新的灵活和可扩展的Netflow数据输出格式，采用了基于模板（Template）的统计数据输出。方便添加需要输出的数据域和支持多种Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后续IOS版本。在2003年思科公司的Netflow V9还被IETF组织从5个候选方案中确定为IPFIX（IP Flow Information Export）标准。

备注

NetFlow主要由Cisco路由器支持，对于其它厂家的网络产品也有类似的功能，例如Juniper路由器支持sFlow功能。
NetFlow支持情况与路由器类型、板卡类型、IOS版本、IOS授权都有关系，不是在所有情况下都能使用，使用时需考虑自己的软硬件配置情况。

待看

http://network.chinabyte.com/458/8650958.shtml

http://www.zohocorp.com.cn/manageengine/products/netflow/

http://www.zohocorp.com.cn/manageengine/index.html