本文共 976 字，大约阅读时间需要 3 分钟。

1、简介

     NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

      Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。

2、结构

     一个Netflow系统包括三个主要部分：探测器，采集器，报告系统。探测器是用来监听网络数据的。采集器是用来收集探测器传来的数据的。报告系统是用来从采集器收集到的数据产生易读的报告的。

     NetFlow是Cisco甛nIOS软件中内嵌的一种功能，用来将网络流量记录到设备的高速缓存中，从而提供非常精准的流量测量。 由于网络通信具有流动性，所以缓存中记录的NetFlow统计数据通常包含转发的IP信息。 输出的NetFlow统计数据可用于多种目的，如网络流量核算、网络付费、网络监控以及商业目的的数据存储。      路由器和交换机输出的NetFlow数据记录由过期的数据流及详细的流量统计数据组成。这些数据流中包含来源和目的相关的信息，以及端到端会话使用的协议和端口。这些信息能帮助IT人员监控和调整网络流量，以及面向网络有效地分配带宽。 NetFlow流量统计数据包括数据流时戳 源IP地址和目的IP地址 源端口号和目的端口号 输入接口号和输出接口号 下一跳IP地址 信息流中的总字节数 信息流中的数据包数量 信息流中的第一个和最后一个数据包时戳 源AS和目的AS，及前置掩码 序号(只有版本5中支持)。

3、格式说明

     NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式，下例为NFC2.0采集的一种流量数据实例，本文的分析都基于这种格式。

             61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 　数据中各字段的含义如下：     　　 源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量

参考文献：百度百科

转载地址：http://ugdoi.baihongyu.com/