"Flow"流的定义:具有以下相同“属性”的数据包被分组为流,流可以从路由器、交换机、防火墙收集到

  1. 源/目的IP地址
  2. 源/目端口
  3. 协议类型
  4. COS标记

NetFlow可以提供会话视图,获取主体、时间、地方、动作可以作出流量分析、异常诊断、安全分析、记账审计、带宽管理、容量规划

NetFlow流记录的主要信息和功能:
who:源IP地址
when:开始时间、结束时间
where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径)
what:协议类型、目标IP地址、目标端口(什么应用)
why:基线、阈值、特征(是否正常)
how:流量大小、数据包数量(访问情况)

NetFlow简单学习_ip地址

1、多条相同的记录,来自不同设备,仅会保留一条(重复数据删除)
2、将单向同流合并为一条双向记录(普通数据缝合,减少应答响应多条记录并整合为1条)
3、收集和汇聚NAT地址转换信息,提供完整的端到端通讯信息(地址转换数据缝合)

Netflow架构

NetFlow简单学习_ip地址_02

思科V9的包格式

NetFlow简单学习_ip地址_03