NETFLOW教程

NetFlow教程

1NetFlow介绍

1.1 NetFlow的产生原因

●由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出

的数据量，降低对上层管理服务器的配置要求，提高上层管理系统的扩展性和工作效率。

●虽然SNMP有助于容量规划，但无法提取流量特征，而只有了解

了特征，才能保证业务连续性，确定是否需要增加容量才能提高利用率保证，以及评估QoS参数是否符合目标服务水平要求等

●流量特征提取遇到的另一个困难是，许多新应用每次使用的端口

都不相同，它们每次都动态选择新端口使用。

1.2 NetFlow技术的起源

NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667。NetFlow技术首先被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术演进，NetFlow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现，而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟，成为了当今互联网领域公认的最主要的

IP/MPLS流量分析和计量行业标准，同时也被广泛用于网络安全管理。利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。

1.3 什么是NetFlow

●通过分析网络中不同Flow间的差别，可以发现判断任何两个IP

数据包是否属于同一个Flow。实际上可以通过分析IP数据包的以下7个属性来实现：

源IP地址（Source IP address）

目的IP地址（Destination IP address）

源端口号（Source port number）

目的端口号（Destination port number）

协议类型（Protocol type）

服务类型（Type of service）

输入/输出接口（Input/Output interface）

将路由器的所有数据包分成很多有以上信息的7字段值的单向IP 数据流，称为网流（NetFlow）。流量信息是基于每个流做统计的。

●网流设备是通过IP数据包中的七元组信息来识别网流的。网流设备上有专门的缓存，用于暂存网流初步的统计数据。当网流设备配置了网流统计功能并启动了网流转发功能后，网流设备会周期性的把网