我想了解netflow v9&我对netflow v9几乎没有疑问
1)netflow路由器上模板的更改方式和原因是什么?我创建了undertsnad netflow v9,因此可以指定许多不同的模板。但是为什么一个人会配置多个不同的模板,即为什么不只是一个包含所有必需字段的模板。
2)如果有两个具有共同文件的模板,当用户会话到期时,是否会为两个模板生成数据?不是这个数据重复,它需要收集引擎,以确保它结合
答案 0 :(得分:1)
NetFlow v9和IPFIX(v10)都使用基于模板的方法来导出流数据。较旧的流版本以固定的数据包格式传输数据,这意味着每个数据报包含完全相同的字段。这意味着无法携带额外的有用信息,或者更糟糕的是:每次添加新数据字段时,NetFlow版本都需要更改。
v9的引入带来了模板,允许导出设备(如路由器或交换机)决定将哪些字段发送到收集器/分析器软件。这允许转发更丰富的字段集(例如,参见RFC5102:https://tools.ietf.org/html/rfc5102关于可用的疯狂数量的不同字段)。它还使流量数据更加紧凑,因为您实际上不会使用导线上的任何位用于导出器无法填写的字段。
因此,出口商通常会发布IPv4流量的模板,以及IPv6流量的不同模板,有时也会针对不同的接口卡发布不同的模板。一切都取决于对流程的了解。通常,每个导出器仅报告一次流,并选择最佳模板。
此外,流量通常在其生命周期中多次报告,具体取决于它们运行的时间。这意味着您的收集器可能会随着时间的推移接收流的更新(例如,与Web服务器的用户会话),并且会看到更多数据包。
以下是有关不同流式格式的其他背景知识:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/