我最近遇到了一个问题,我的 netflow Analyzer 报告接口的利用率超过 100%。查看 pcap 中的一些数据包后,我可以看到一些“流”似乎是重复的。您可以看到附加的一个示例(IP 信息已清理),其中绿色的所有信息在两个流之间都是相同的,唯一的区别是以红色突出显示的两个字段(填充和 IP ToS)。附件是针对 ICA 会话的,但我也可以看到其他协议的相同行为,因此它不是特定于 ICA 的。
这样的netflow引擎报告两次相同的流量是否正常?如果是这样,原因是什么?根据下面的 URL,填充字段是保留的,应该始终为零:
https://www.plixer.com/support/netflow-v5/
所以这只会留下 IP ToS 字段,但为什么会像这样报告两次呢?是因为数据包在通过设备上的 ToS 引擎之前和之后都被记录了吗?这可能是设备上的错误配置,还是分析仪应该处理的问题?
抱歉,我的netflow知识不是很深;我做了一些研究,但根本没有发现其他人报告这一点。
