Cisco Netflow V9-Flow专题

Netflow概要 V9的原理 V9的格式 总结
RFC3954总共定义了65个数据流信息的属性类型，而Cisco在此之上将 属性类型扩展到了82个，后续还能进行扩展。这表明Netflow v9能够根据 技术的发展对未来数据流实现更加细致的统计和分析。 无论是针对Netflow本身的配置还是针对流量统计的配置，均以模板的 方式来实现，可以通过对模板的各个records进行调整来适应具体的网络 环境和监控需求，具有高度的灵活性。
----Flow流量监控技术学习专题
本文档由goldeyes编写并提供，仅限互联网范围内学习和传播，如需转载请注明出处。谢谢！
Netflow概要 V9的原理 V9的格式 总结
Netflow 1996年由 Cisco 公司开发，获得美国专利。当今互 联网领域公认的最主要的IP/MPLS流量分析，统计和计费行 业标准，能对IP/MPLS网络的通信流量进行详细的行为模式 分析和计量，并提供网络运行的详细统计数据
Observation
Exporter
Collector
ANetflow技术的第一个实用版本。支持IOS 11.1，11.2， 11.3和12.0，现在已经不再使用；
Netflow V5，增加了对数据流BGP AS信息的支持，支持IOS 11.1CA和 12.0及其后续IOS版本，前几年是最主要的应用版本，现在仍有使用； Netflow V7，思科Catalyst交换机设备支持的一个Netflow版本，需要利 用交换机的MLS或CEF处理引擎；
这些属性中有很多只能在指定的网络环境中使用，例如：MPLS相关属 性、IPv6相关属性、ICMP属性、组播属性等。
触发1
TCP FIN TCP RTS
触发2
触发3
触发4
Inactiv Flow
Long Flow
资源缺乏 内存不足
Collecter
Template FlowSet
Options Template FlowSet
Data FlowSet
Exporter
更新1
模板老化 时间到了
更新2
现有模板 配置修改
更新3
现有模板 意外损坏
Exporter
Collecter
Netflow概要 V9的原理 V9的格式 总结
Template FlowSet
Data FlowSet
Template FlowSet
Data FlowSet
Netflow概要 V9的原理 V9的格式 总结
根据RFC3954的规定，Netflow总共可以提供包括了时间属性、数量属 性、转发属性、报文字段属性共四个类型的65个属性来对flow进行描述。
源/目的IP地址、源/目的端口号、协议号、TOS和入端口号作为定义一 条flow的关键字段存在，其它属性属于非关键字段，可以根据需要进行选 择来配合关键字段进行更加精确的flow定义。
Netflow V8，增加了网络设备对Netflow统计数据进行自动汇聚的功能 （共支持11种数据汇聚模式），可以大大降低对数据输出的带宽需求。 支持IOS12.0(3)T，12.0(3)S，12.1及其后续IOS版本；
Netflow V9，全新的灵活和可扩展的Netflow数据输出格式，采用了基于 模板（Template）的统计数据输出，支持IOS12.0(24)S和12.3T及其后续 IOS版本。
数据流的统计通过模板和Data记录来实现，这使得每一次扩展升级对 Exporter和Collector的影响非常小，只需要更新相应的模板就可以了，不 需要每次都对设备硬件进行升级。
开放性不够 Cisco的Netflow V9虽然提交了相关的RFC，但是在 RFC主要介绍了V9的数据包格式和一些关键概念的定 义和说明。对数据流的监测、输出、分类等并未进行较 细致的规定（甚至根本没有提及），虽然这些内容 Csico内部有这些机制，但并未公开。 安全性不够 Netflow v9的设计初衷是将输出器和收集器定义在一个 独立的私有的网络中，然而现在很多时候Netflow v9被 用来在公共网络中传输数据流记录，这就导致了一定程 度的安全风险。在RFC和Cisco提供的白皮书中也确实 未找到任何相关的机制和说明，虽然Cisco可能可以通 过其它上层手段来保障安全性，但单从Netflow v9本身 的安全完整性来看还是有不足的。