流量分析新贵---NetFlow

互联网 | 编辑: 2006-08-09 13:00:00转载 一键看全文

主流Flow格式
相对于会话(“Session”)而言,“Flow”具备更细致的标识特征,在传统的TCP/IP五元组的基础上增加了一些新的域值,至少包括以下几个字段:

以上七个字段可以唯一地确定任意一个数据包属于哪个特定的Flow,换而言之任何一个字段出现了差异都意味着一个新Flow的发生。

在实际软件实现中,Flow所包含的字段定义及数量将会随着厂商甚至协议版本的不同而出现变化(如包含AS信息、Next_Hop等),业界因此也相应地出现了各种不同的实现版本。而在这些不同的Flow版本中,NetFlow得益于Cisco公司在网络设备行业内无与伦比的领袖地位而获得最大范围的认同。
Flow的版本差异通常直观的表现在其输出报文格式上。目前业内常见的主流Flow格式大致有以下几种:

随着IETF对IPFIX的标准化,网络流量分析的数据采集协议也将也将逐步转移到NetFlow V9/IPFIX标准上来。因此,下文将以NetFlow V9为例介绍Flow的详细内容。

随着IETF对IPFIX的标准化,网络流量分析的数据采集协议也将也将逐步转移到NetFlow V9/IPFIX标准上来。因此,下文将以NetFlow V9为例介绍Flow的详细内容。

NetFlow Cache是所有活跃Flow统计信息的存储位置,所有具备相同关键字段的数据包都将在该Cache相应表项中进行数据累计,如数据包数量、字节数等。除了被称之为Main Cache的上述缓存之外,部分支持Aggregation机制的网元设备还需提供相应的聚合缓存(Aggregation Cache),最终的输出报文将包含该聚合缓存的汇总结果,从而能够有效降低NetFlow流量对网络带宽的占用;一般情况下Cache空间的占用是与所监控的Flow数量呈正比的,但是当链路中充斥着大量的短连接Session时,Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。为此,NetFlow提供了一种非常复杂、高效的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项,并且通过管理员给定的阀值进行各类表项的超时导出,从而及时释放老的表项以容纳新建Flow信息。

提示:试试键盘 “← →” 可以实现快速翻页 

总共 7 页< 上一页123456
一键看全文

本文导航

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑