netflow模板有什么用
What is the use of netflow templates
我正在尝试了解 netflow v9 并且我对 netflow v9 几乎没有疑问
1) netflow 路由器上的模板将如何更改以及为什么更改?我了解 netflow v9 的创建,以便可以指定许多不同的模板。但是为什么一个人会配置多个不同的模板,即为什么不只配置一个包含所有必填字段的模板。
2) 如果有 2 个具有共同字段的模板,当用户会话到期时是否会为这两个模板生成数据?这不是数据重复吗,是否需要收集引擎来确保它结合了
NetFlow v9 和 IPFIX (v10) 都使用 template-based 方法导出流量数据。较旧的流版本以固定的数据包格式传输数据,这意味着每个数据报都包含完全相同的字段。这意味着无法携带额外的有用信息,或者更糟:每次添加新数据字段时,NetFlow 版本都需要更改。
v9 的引入带来了模板,它允许导出设备(如您的路由器或交换机)决定将哪些字段发送到 collector/analyzer 软件。这允许转发更丰富的字段集(例如,请参阅 RFC5102:https://www.rfc-editor.org/rfc/rfc5102 关于可用的不同字段的疯狂数量)。它还使流数据更加紧凑,因为您实际上并没有在线路上使用导出器无法填写的字段的任何位。
所以出口商通常会为 IPv4 流量发布模板,为 IPv6 流量发布不同的模板,有时还会为不同的接口卡发布不同的模板。一切都取决于对流程的了解。通常每个出口商只报告一次流程,然后选择最佳模板。
此外,流通常会在其生命周期中多次报告,具体取决于它们 运行。这意味着随着时间的推移,您的收集器可能会收到流的更新(例如与网络服务器的用户会话),并且会看到更多数据包。
这里有一些关于不同流格式的额外背景:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/
我正在尝试了解 netflow v9 并且我对 netflow v9 几乎没有疑问
1) netflow 路由器上的模板将如何更改以及为什么更改?我了解 netflow v9 的创建,以便可以指定许多不同的模板。但是为什么一个人会配置多个不同的模板,即为什么不只配置一个包含所有必填字段的模板。
2) 如果有 2 个具有共同字段的模板,当用户会话到期时是否会为这两个模板生成数据?这不是数据重复吗,是否需要收集引擎来确保它结合了
NetFlow v9 和 IPFIX (v10) 都使用 template-based 方法导出流量数据。较旧的流版本以固定的数据包格式传输数据,这意味着每个数据报都包含完全相同的字段。这意味着无法携带额外的有用信息,或者更糟:每次添加新数据字段时,NetFlow 版本都需要更改。
v9 的引入带来了模板,它允许导出设备(如您的路由器或交换机)决定将哪些字段发送到 collector/analyzer 软件。这允许转发更丰富的字段集(例如,请参阅 RFC5102:https://www.rfc-editor.org/rfc/rfc5102 关于可用的不同字段的疯狂数量)。它还使流数据更加紧凑,因为您实际上并没有在线路上使用导出器无法填写的字段的任何位。
所以出口商通常会为 IPv4 流量发布模板,为 IPv6 流量发布不同的模板,有时还会为不同的接口卡发布不同的模板。一切都取决于对流程的了解。通常每个出口商只报告一次流程,然后选择最佳模板。
此外,流通常会在其生命周期中多次报告,具体取决于它们 运行。这意味着随着时间的推移,您的收集器可能会收到流的更新(例如与网络服务器的用户会话),并且会看到更多数据包。
这里有一些关于不同流格式的额外背景:http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/