我正在尝试了解 netflow v9,我对 netflow v9 几乎没有疑问
1) netflow 路由器上的模板如何以及为什么会发生变化?我知道 netflow v9 的创建是为了可以指定许多不同的模板。但是为什么一个人会配置多个不同的模板,即为什么不只是一个包含所有必填字段的模板。
2) 如果有 2 个具有共同文件的模板,当用户会话到期时,是否会为两个模板生成数据?这不是数据重复吗,收集引擎是否需要确保它结合
问问题
1359 次
1 回答
2
NetFlow v9 和 IPFIX (v10) 都使用基于模板的方法来导出流数据。较旧的流版本以固定的数据包格式传输数据,这意味着每个数据报包含完全相同的字段。这意味着无法携带额外的有用信息,或者更糟糕的是:每次添加新数据字段时,NetFlow 版本都需要更改。
v9 的引入带来了模板,它允许导出设备(如您的路由器或交换机)决定将哪些字段发送到收集器/分析器软件。这允许转发更丰富的字段集(例如,请参阅 RFC5102:https ://www.rfc-editor.org/rfc/rfc5102关于可用的不同字段的疯狂数量)。它还使流数据更加紧凑,因为您实际上并没有将线路上的任何位用于导出器无法填写的字段。
所以出口商通常会为 IPv4 流量发布模板,为 IPv6 流量发布不同的模板,有时还会为不同的接口卡发布不同的模板。这一切都取决于对流程的了解。通常,每个导出器只报告一次流,然后选择最佳模板。
此外,流通常会在其生命周期中多次报告,具体取决于它们运行的时间。这意味着随着时间的流逝,您的收集器可能会接收到流的更新(例如与网络服务器的用户会话),并且会看到更多的数据包。
以下是有关不同流格式的一些附加背景:http: //www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
于 2016-01-14T14:55:53.080 回答