netflow 資料

Netflow 是 cisco

cflow 是 juniper

Netstream 是 H3C

sflow 是 硬體的晶片産生

不知道為什麼在wireshark 裡隻有 cflow 和 sflow。 卻沒有 netflow，因為cisco私有？

 sFlow是一種基于标準的最新網絡導出協定(RFC 3176)，能夠解決目前網絡管理人員面臨的很多問題。通過将sFlow技術嵌入到網絡路由器和交換機的ASIC晶片中，sFlow已經成為一項線速運作的“永遠線上”技術。與使用鏡像端口、探針和旁路監測技術的傳統網絡監視解決方案相比，sFlow能夠大大降低實施費用，采用它可實作面向每一個端口的全企業網絡監視解決方案。

因為NetFlow輸出采用“使用者資料報協定”（UDP——User DatagramProtocol）來發送輸出的資料報，是以可能會丢失資料。為了确定資訊流輸出資訊是否丢失了，版本5的頭标資訊格式中包含了一個資訊流序列号。這個序列号等于前一個序列号加上剛剛過去的資料報中資訊流的個數。當接收到一個新的資料報後，接收程式可以從頭标資訊中的序列号中提取出的預期的序列号，這樣即可以擷取丢失資訊流的數目。

上圖 UDP 1506 byte , 其中 30個 flow 資料包。

14+20+8+24+30×48=1506

14 以太網幀頭部、20 IP資料標頭部、8 UDP 標頭部、24flow資料標頭部、48 一個flow的位元組數，一共30個。

(config)#mls flow ?

            ip 和 ipv6

(config)#mls flow ip ?

interface-destination interface-destination flow keyowrd  

interface-destination-source interface-destination-source flow keyword

interface-full  interface-full flow keyword

interface-source interface-source only flow keyword 

Netflow 關鍵元件：NETFLOW緩存，該緩存用于存儲IP流資訊；NETFLOW輸出機制，該機制用于經NETFLOW資料發送到收集器。

IPFIX 是由IETF發展的标準跟蹤協定。

NETFLOW能夠辨別IP封包的封包流，而流是由資料封包中的各個字段來辨別的。NETFLOW不會在路由器之間增加任何使用者初始化連接配接的協定、網絡裝置或終端工作站。NETFLOW不會修改IP封包、它的傳輸都是透明地穿越現存網絡架構的。

其輸出資料的總量大約是網絡裝置之間交換流量的1.5%

 “流掩碼”就是netflow資料流的比對政策。掩碼就是篩子，就是過濾條件。

流掩碼和基于路由器的聚合方案。

NETFLOW通過将封包中的關鍵字段結合來定義一個流。也就是“流特征”。

流有 關鍵字段 和非關鍵字段。 關鍵字段來确定一個流。 非關鍵字段可以表示流的很多附帶屬性。例如：開始時間，結束時間，位元組數等。

最初，NETFLOW通過以下7大關鍵字段的組合來定義流：

源IP位址

目的IP位址

源端口号

目的端口号

第三層協定類型

TOS字段

邏輯接口

流被定義為一組擁有共同屬性封包的集合：或者是有一個或多個相同的封包頭部字段（如目的IP位址，傳輸層頭部字段），或者是封包本身有一種或多種相同的特征（如MPLS标簽編号），或者是封包在進行處理的過程中獲得了一個或多個相同字段（如BGP吓一跳位址）。如果一個封包能夠完全比對到某個流預先定義的所有屬性，它就屬于這個流，并且會被相應的記錄下來。

計帳與流量管理——在部署第3層交換時的一個關鍵要求是在流被交換時提供流的可視性，以便進行故障排除、流量管理與計帳。MSFC與PFC允許對硬體中存有的流統計資訊進行詳細的資料收集。過期流的記錄将被集合到一起并被輸出到應用中，如用于網絡與遠端監控的NetysⅡ（RMON Ⅱ）流量臨控與管理以及計帳應用。