netflow字段解释

1、Natflow原理：2、输出流信息的格式3、natflow用途a)网络监控b)应用监控c)用户监控d)网络规划e)安全分析f)记账3、netflow网络设备的配置和相关参数Cisco Netflow配置命令a)ip route-cache flow 在接口上配置Netflow采样。

b)ip flow-export destination ip_address port 将Netflow的采样信息输出到Netflow的流量分析系统上，这里2055是NI系统的Netflow默认端口号，如果是其他的Netflow系统可以在下面的命令行里更改端口号，NI系统也可以在全局配置下更改端口号。

c)ip flow-export source interface_name 配置发送Netflow采样信息的源接口，建议使用Loopback接口。

ip flow-export version 5 配置Netflow的版本号为5。

d)ip flow-cache timeout active x 生成告警和显示故障排除数据为x分钟。

snmp-server ifindex persist 全局启用ifIndex持续化(接口名)。

配置举例：router#configure terminalrouter(config)#interface FastEthernet 0/0router(config-if)#ip route-cache flowrouter(config-if)#exitrouter(config)#ip flow-export destination 10.10.10.25 2055router(config)#ip flow-export source loopback 0router(config)#ip flow-export version 5router(config)#ip flow-cache timeout active 1router(config)#snmp-server if验证命令show ip flow export 显示当前Netflow的配置。

网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。

而NetFlow协议作为其中一种流量分析的关键工具，在网络管理领域中被广泛应用。

本文将对NetFlow协议进行详细解析，介绍其原理、功能和应用。

一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。

它能够提供流量统计、流量分析和流量监控等功能。

NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据，为网络管理员提供实时的流量信息和网络性能的评估。

二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段：数据收集、数据处理和数据导出。

1. 数据收集在网络中的路由器和交换机上，通过配置使其能够将经过设备的流量数据进行收集。

NetFlow支持两种收集方式：Full Flow和Sampled Flow。

Full Flow是指完整地收集每一个流量数据进行处理；Sampled Flow是指以一定的频率采样流量数据进行处理，减少处理开销。

2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。

处理引擎会提取关键信息，如源IP地址、目的IP地址、源端口、目的端口、协议类型等，并基于这些信息生成流记录。

3. 数据导出处理后的流记录会根据配置的规则进行导出。

导出方式有两种：NetFlow v5和NetFlow v9。

NetFlow v5是早期版本，具有广泛的兼容性；NetFlow v9则是最新版本，支持更多的字段，并且具有灵活的配置能力。

三、NetFlow协议的功能NetFlow协议具有以下几个主要功能：1. 流量统计NetFlow可以对流量进行实时统计，包括流量量、带宽利用率、流量峰值等。

这些统计数据可以帮助网络管理员了解网络的负载情况，有助于进行容量规划和性能优化。

2. 流量分析通过对收集到的流量数据进行分析，NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。

netflow版本9netflow版本9本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。

msn: yfydz_no1@来源：参考资料:/warp/public/cc/pd/iosw/prodlit/tflow_wp.htm/univercd/cc/td/doc/cisintwk/intsolns/netflsol/nfwhite.htm1. 前言netflow是Cisco公司提出的用于描述通过路由器的连接信息的协议。

路由器也象防火墙一样不仅仅是按包处理，而是跟踪到连接一层，对属于同一个连接的数据包进行统计，某种程度上也成了状态检测，路由器将这些连接信息使用netflow协议发送到netflow搜集器，根据连接的统计信息可得到网络运行的各种信息，还可用来判断是否受到攻击。

netflow已经出过很多版本，目前应用较多的netflow版本有5，7，8.*，版本9是最新版本。

之所以会有那么多版本，是由于想统计的连接的信息越来越多，数据结构也越来越大，越来越复杂，到了版本8达到登峰造极，版本8里出了N多个子版本，让人头大不已，如此下去只能导致netflow协议彻底不可用。

netflow v9的出现，总算基本解决了这个问题。

netflow v9和以前版本最大区别就是v9的数据格式可以自定义，有很强的扩展性，描述一个连接的参数的数量可以自己定义，可多可少，而以前的版本的数据格式是固定的，如果用了某版本，即使其中很多字段不需要，在一个数据记录中同样要保留这些参数，使灵活性很差，导致想看的数据看不到，不想看的又必须看。

2. netflow v9netflow v9数据部分分为三部分：数据头(header)、模板部分(Template)、数据部分(data)。

除了数据头部分外，在一个包中的模板部分和数据部分都可能有多个记录。

2.1 数据头数据头部分描述数据包的版本等基本信息：0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Version | count |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| System Uptime |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| UNIX Seconds |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Package Sequence |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Source ID |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+version版本，取值为9count模板和数据部分的记录的总数量system_uptime设备自启动以来的毫秒数unix_seconds数据发出时当前UNIX时间秒数，从1970年1月1日开始计数的秒数packet_seqnetflow包的序列号source_id设备源ID,等价于v5,8中的引擎类型和引擎ID字段, 在目前Cisco的实现中,前两个字节为0作为保留值,第3字节描述引擎ID,第4字节描述设备线路板卡标志,该字段和设备源IP地址共同定位netflow数据源2.2 模板部分模板是netflow v9的创新之处，模板的功能是用来描述netflow数据部分有哪些字段以及Z字段的长度，这样就可以灵活定义这个netflow信息包中包括了哪些数据，而且有很好的扩展性，v9中已经定义了80多种类型的数据，以后如果有需要可以很方便地扩展。

NetFlow是一种数据交换方式。

Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。

也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。

Netflow由Cisco创造。

工作原理：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

NetFlow有两个核心的组件：NetFlow缓存，存储IP流信息；NetFlow的数据导出或传输机制，NetFlow利用此机制将数据发送到网络管理采集器。

概念：一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

确定Flow的标识：SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface数据采集格式NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式，下例为NFC2.0采集的一种流量数据实例，本文的分析都基于这种格式。

61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1数据中各字段的含义如下：源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量cache缓存空间可配置的Cache维护机制一般情况下Cache空间的占用是与所监控的Flow数量呈正比的，但是当链路中充斥着大量的短连接Session时，Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。

为此，NetFlow 提供了一种非常复杂、高效的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项，并且通过管理员给定的阀值进行各类表项的超时导出，从而及时释放老的表项以容纳新建Flow信息。

netflow 解析
NetFlow是一种网络监测功能，可以收集进入及离开网络界面的IP封包的数量及资讯。

最早由思科公司研发，应用在路由器及交换器等产品上。

经由分析NetFlow收集到的资讯，网络管理人员可以知道封包的来源及目的地，网络服务的种类，以及造成网络拥塞的原因。

NetFlow的版本有：
NetFlow V1：为NetFlow技术的第一个实用版本，在如今的实际网络环境中已经不建议使用。

NetFlow V5：增加了对数据流BGP AS信息的支持，是当前主要的实际应用版本。

NetFlow V7：思科Catalyst交换机设备支持的一个版本，需要利用交换机的MLS或CEF 处理引擎。

NetFlow V8：增加了网络设备对NetFlow统计数据进行自动汇聚的功能，大大降低对数据输出的带宽需求。

NetFlow的IP Flow和NetFlow Cache是两个重要的概念。

IP Flow可以用于网络设备之间的流量信息交换，帮助网络管理人员更好地了解网络流量情况。

而NetFlow Cache则可以用于存储NetFlow收集到的流量信息，以便后续分析和处理。

以上信息仅供参考，如有需要，建议您咨询专业技术人员。

流量分析新贵NetFlow介绍2006年8月9日电脑商网东软姚伟栋IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。

在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务中。

以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。

什么是Flow在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。

在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。

每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。

作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。

相对于会话(“Session”)而言，“Flow”具备更细致的标识特征，在传统的TCP/IP五元组的基础上增加了一些新的域值，至少包括以下几个字段：Ø源IP地址Ø目的IP地址Ø源端口Ø目的端口Ø IP层协议类型Ø ToS服务类型Ø输入物理端口以上七个字段可以唯一地确定任意一个数据包属于哪个特定的Flow，换而言之任何一个字段出现了差异都意味着一个新Flow的发生。

你熟悉思科公司的NetFlow技术吗？NetFlow是采用新标准来进行网络流量分析。

如果你想收集企业网络通信量的历史记录，如果你想制作关于网络利用率的图表，如果你想拒付流量最大的网络通信部门的账单，如果你只想监控网络链接的使用，那你就来一探思科NetFlow 技术的究竟吧。

什么是NetFlow?NetFlow是思科专有协议，目前所有的思科路由器和交换机都支持这项协议。

这些设备记录所有流经网络的信息量，并且用UDP数据包发送详细信息量的收集器。

NetFlow是新标准的网络流量分析；SNMP已经无法满足管理的要求。

使用NetFlow你可以看到一台路由器工作及其产生流量的原因。

如何去定义“flow“？根据思科解释，一个flow是个单向序列包，包括以下共享信息：.源地址.目的地地址.源端口.目的地端口.协议号因为必须使用这5个组成部分来定义一个信息流，思科称这为”5元次通信量定义“。

使用NetFlow包括网络监控、应用软件监控、用户监控、网络规划、安全分析、帐户和帐单、以及网络流量数据进库和挖掘等。

什么是NetFlow收集器？它的伟大之处在于它可以收集所有数据。

你如果希望更加充分地利用它，你需要充分利用信息进行实际的分析统计。

第一步是进行检索。

你如果查找到收集的所有重要数据？进入NetFlow收集器。

这是一个电脑/服务器系统，在网络中，能收集所有由路由器和交换机发送的数据。

第二步是收集和分析数据。

当然你还需要软件。

在一个价范围内，有很多的NetFlow应用软件可以选择。

这一切取决与你想要做什么，有多少台设备。

一个NetFlow应用软件使用的例子是思科安全监控、分析和响应系统。

用NetFlow从网络设备获得的数据去监视网络并响应安全事件。

思科在其网站上提供了一个第三方NetFlow应用软件名单。

此外，它还例出NetFlow的免费软件。

一个较昂贵的NetFlow应用软件是PRTG，企业购买许可证需要花费400-250美元，每台NetFlow的装配费用是150美元。

网络流量分析NetFlow协议详解网络流量分析一直是网络管理和安全领域的重要任务之一。

通过分析网络流量，我们可以获取有关网络设备、流量模式和潜在威胁的宝贵信息。

而NetFlow协议正是一种流量分析机制，可以帮助我们实现这一目标。

一、NetFlow概述NetFlow是一种网络协议，由思科公司于1996年提出并推广。

它能够实时地收集和分析网络流量数据，帮助网络管理员监测和管理网络的性能、安全和流量负载。

二、NetFlow的工作原理NetFlow的工作原理非常简单，它通过捕获网络设备转发的流量数据，并将其转化为可分析的格式。

具体而言，NetFlow将捕获到的流量数据分为数据包头部和统计信息两部分进行存储和分析。

1. 数据包头部NetFlow会捕获网络数据包的源IP地址、目的IP地址、源端口、目的端口以及协议类型等关键信息。

这些信息对于识别网络中的流量来源、目的地以及协议类型非常重要。

2. 统计信息除了数据包的关键信息外，NetFlow还会统计每个会话的其他关键指标。

比如，数据包数量、传输速率、流量持续时间以及平均数据包大小等。

这些统计信息对于网络管理员来说非常有价值，可以帮助他们识别网络中的异常活动、确定流量瓶颈以及进行容量规划。

三、NetFlow的应用场景NetFlow协议在网络管理和安全领域有着广泛的应用场景。

下面，我们将重点介绍其中的几个方面。

1. 网络容量规划通过分析流量数据，NetFlow可以提供有关网络容量规划的信息。

它可以帮助管理员识别网络中的高峰和低谷时段，进而合理规划网络的带宽和硬件资源。

2. 安全威胁检测网络安全是当今互联网世界中不可忽视的重要问题。

NetFlow可以帮助管理员及时发现和识别网络中的潜在安全威胁，比如DDoS攻击、端口扫描和恶意软件传播等。

通过分析流量数据，管理员可以实时监测网络并采取相应的安全措施。

3. 业务分析和优化除了容量规划和安全威胁检测外，NetFlow还可以用于业务分析和优化。

利用Cisco Netflow技术进行IP网流量和流向分析IP网流量管理面临的挑战随着宽带互联网在中国的迅速发展，中国各大电信运营商的网络规模都在不断扩张且网络结构日渐复杂。

为了更好地服务企业客户，及时了解自身网络的负载状况和重要业务的带宽占用率；准确计量国际国内运营商间、骨干网/城域网间通信流量和业务类型；正确规划和评估网络扩容、升级等目的，电信运营商需要能对网络和其承载的各类业务进行及时、准确的流量和流向分析。

国内电信运营商当前的网络流量管理现状是，绝大多数企业的运维部门还都没有建设一套能够完全满足上述管理需求的网络及业务流量和流向分析系统。

大部分网管系统还只是采用一些通用型的网络链路使用率监视软件，如MRTG，利用SNMP协议对网络的重点链路和互联点进行简单的端口级流量监视和统计；或采用在网络中部分重点POP点加装RMON探针的方式，利用RMON I/II协议对网络中部分端口进行网络流量和上层业务流量的监视和采集。

但是上述两种被普遍采用的网络流量分析系统都有其显著的技术局限性。

∙利用SNMP协议能够对被监视的各个网络端口进出的数据包数和字节数进行采集，但采集到的流量信息较为粗糙，不但包括网络层的客户业务流量信息，还包括链路层的数据帧包头，Hello数据包，出错后重新传送的数据包等流量信息。

而且SNMP协议还无法区分网络层数据流量中各种不同类型客户业务在总流量中的分布状况，也无法对进出的流量进行流向分析。

∙利用RMON协议对运营商网络进行流量和流向管理可以部分弥补SNMP协议的技术局限性，如可以对业务流量进行统计，但同时也暴露出新的技术局限性。

首先，由于RMON协议需要对网络上传送的每个数据帧进行采集和分析，会耗用大量的CPU资源因而不可能由网络设备本身实现，需要额外购买和安装内置式或外置式的RMON探针。

市场上现有的RMON探针处理能力也有限制，还不能支持监控端口速率超过1Gbps的网络端口。

构建高性能网络的Netflow流量统计环境Netflow 建置與應用什么是NetFlow Cisco出品的！貌似众多网友一直在寻找NetFlow是CISCO发布的一款用于分析网络数据包信息的工具包。

根据不同的需要定制不同的计划集合(Aggregation Scheme)，这些计划集合包含了NetFlow发送数据中的一个或多个Key Fields和Value Fields，根据不同的需要进行选择，以满足一定的需求。

比较典型的是对网络数据的源地址、目的地址的分析，对流量中各种应用的分析（基于协议或者端口）或者路由器上各个端口的负载等的分析。

addr、dstaddr、port、dstport、protocol、protocol byte (prot)、ToS、input interface、output interface、nexthop、_as、dst_as、masked addr、masked dstaddr、_mask、dst_maskpacket count、byte count、flow count、firstTimeStamp、lastTimeStamp、totalActiveTime fdrecorder 接收数据并存入文件nfc_gunzip 解压缩fdgenerate 向NetFlow Server服务器发送Flow数据fdplayback 读取特定的数据文件内容向目的服务器发送Flow数据nfc_bin_to_ascii 将二进制变成文本格式rawdecode=============================================================================== ==========Netflow流量统计技术是Cisco公司提出的一项网络数据流统计标准，得到了主流厂商如Juniper、Extreme等的支持。

利用netflow技术可以监测网络上的IP流（IP flow）信息。

NetFlow在Cisco设备上查看数据的流量传输情况的时候，可以用NetFlow进行流量统计。

下面7个参数相同即被认为是同一流，作相同记录，否则另作记录（1）Source IP address（2）Destination IP address（3）Source port number（4）Destination port number（5）Layer 3 protocol type（6）Type of service (ToS)（7）Input logical interface说明：Netflow是基于接口开启的，在某个接口开启后，就在相应接口的相应方向抓取数据包。

启用Netflow的功能需先打CEF.R4(config)ip cefR4(config)# int fa 0/1R4(config-if)# ip flow ingressNetflow可以检测每个数据流的包数和字节数，储存在流缓存（flow cache）中，当数据流被终结、或容量满时，就会从流缓存中删除。

R4# show ip cache flowProtocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)---------- Flows /Sec /Flow /Pkt /Sec /Flow /FlowTCP-Telnet 12 0.0 50 40 0.1 15.7 14.2TCP-WWW 12 0.0 40 785 0.1 7.1 6.2TCP-otherUDP-TICMPIP-otherTotal:SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP PktsFa0/1 10.8.8.6 Fa0/0 192.168.0.228 06 C2DB 07D0 2Fa0/1 10.8.8.6 Fa0/0 192.168.1.50 11 6BD2 6002 9166也可以将采集到的流量信息传送到远程Netflow采集器，由采集器上的分析程序生成有关流量的详细流量统计报告。

netflow字段解释netflow各个字段解释中英文对照dpkts和doctets 分别是是流的包和字节数first和last 分别是流中第一个包和最后一个包的时间戳srcaddr和dstaddr 分别是是源IP和目的IP地址srcport和dstport 分别是源IP和目的IP的端口号prot 是传输协议比如TCP或者UDPsrc_mask和dst_mask 分别是源的最长匹配IP前缀的长度和目的IP地址src_as和dst_as 分别是匹配源地址和目的地址的IP前缀的AS举例来说#:unix_secs,unix_nsecs,sysuptime,exaddr,dpkts,doctets,first,l ast,engine_type,engine_id,srcaddr,dstaddr,nexthop,input,output, srcport,dstport,prot,tos,tcp_flags,src_mask,dst_mask,src_as,dst_a s1285804501,0,2442636503,127.0.0.1,1,40,2442590868,2442 590868,0,0,128.103.176.0,24.8.80.0,64.57.28.75,213,225,80,51979 ,6,0,17,16,0,1742,0这就表示，你有一个流，里面有40 byte的包，在2442590868时刻到达，这个包由128.103.176.0源地址发往24.8.80.0目的地址，其中最后11位置0，是为了数据的匿名。

源端口是80，目的端口是51979；假定这是一个web服务器到web客户端的流。

协议号是6，tcp_flag是17表示ACK和FINbit位被设置为1，考虑这是一个FIN-ACK包。

Web传输的其他传输的其他包可能没有包括在这个流记录中，这是由于报文抽样导致的。

源和目的mask是16和0,表示源前缀128.103.0.0/16和目的前缀都是未知的或者是0.0.0.0/0，源AS是1742，由于各种原因原因目的AS未知。

1. 流量流向监测技术1.1概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能，而且SNMP采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。

利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性，其业务分析和协议分析功能较强。

但是，采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。

提出新的流量监测技术为克服现有网管系统对网络流量和流向分析功能的技术局限性，运营商迫切需要寻找一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造和升级。

新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征，既可以对网络中各个链路的带宽使用率进行统计，又可以对每条链路上不同类型业务的流量和流向进行分析和统计。

本文主要介绍应用广泛的Cisco NetFlow技术、华为 Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况。

1.2相关厂家及设备2Netflow2.1流原理netflow 的信息单元是flow。

flow是一个单向的带有唯一标识字节组的传输流。

基本的标识为：source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。

当路由器接收到一个没有flow入口的数据包时，一个flow的结构将被初始化以保存其状态信息如：交换的字节数、IP地址、端口、自治区域等。

随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数，直至这个flow中止并输出。

Netflow功能是在一个路由器内独立完成，它不涉及路由器之间的任何连接设置协议，也不要求对数据包本身或其它任何网络设备进行任何外部修改。

NetFlow以UDP数据报（datagram）的形式，其中的所有字段都是按照网络字节的次序排列的。

Cisco建议接收程序检查数据报，用以保证数据是从有效的NetFlow源头来的。

Cisco 建议你首先检查数据报的大小，确信它最起码有足够长，可以容下版本字段和计数字段。

接下来，你应该证实版本是有效的（为1或5），而且接收到的字节数足以容纳头标信息和对信息流记录进行计数（当然要使用合适的版本）。

因为NetFlow输出采用“用户数据报协议”（UDP——User DatagramProtocol）来发送输出的数据报，所以可能会丢失数据。

为了确定信息流输出信息是否丢失了，版本5的头标信息格式中包含了一个信息流序列号。

这个序列号等于前一个序列号加上刚刚过去的数据报中信息流的个数。

当接收到一个新的数据报后，接收程序可以从头标信息中的序列号中提取出的预期的序列号，这样即可以获取丢失信息流的数目。

版本5头标信息格式
版本5信息流记录格式。