IPFIX / NetFlow v5重复ToS流程

时间:2017-06-13 10:33:46

标签: netflow

我最近遇到了一个问题,我的netflow Analyzer报告的界面利用率超过100%。看了一下pcap中的一些数据包,我可以看到一些"流动"似乎是重复的。您可以看到附加的一个示例(IP信息擦除),其中绿色的所有信息在两个流之间是相同的,唯一的区别是以红色突出显示的两个字段(填充和IP ToS)。附件用于ICA会话,但我也可以看到其他协议的相同行为,因此它没有特定的ICA。

这样的netflow引擎报告两次相同流量是否正常?如果是这样,那将是什么原因?根据下面的URL,填充字段是保留的,应始终为零:

https://www.plixer.com/support/netflow-v5/

这样就会离开IP ToS字段,但为什么会这样报告两次呢?是因为数据包在通过设备上的ToS引擎之前和之后被记录了吗?这可能是设备上的错误配置,还是分析仪应该处理的事情?

道歉,我的netflow知识不是很深;我做了一些研究,但没有发现其他任何人报告这个。

ipfix duplicate flows with different IP ToS values

1 个答案:

答案 0 :(得分:0)

可以在同一界面上启用入口计量(传入流量)和出口计量(传出流量)。

正确,大多数NetFlow v5实现仅支持入口计量,但我看到了异常。如果您的Cisco 800正在导出两者,则您的收集系统绝对需要导出中的流向元素。

我会问我们的一些开发人员,看看他们是否有任何见解。

相关问题
最新问题