1 、Netflow版本分類
思科的netflow主要版本有V1、V5、V7、V8、V9,思科的應用範圍最廣。華為的netstream支持V5、v8和V9兩個版本,目前對於國內用戶來說netstream V5、V9應用比較多。對於Ipv4的流量既可以使用v5版本進行採集,也可以使用v9版本聚合採集,但是ipv6的流量只能使用V9版本進行採集。以下重點說明思科netflow v5、v9版本和netstream v5、v9版本。
Netflow v5版本的數據包,是由多個pdu組成。每個PDU包中包含源目的ip,下一跳,數據流輸入輸出接口的索引號、pdu包數、pdu字節數、PDU流中看見第一個數據包的時間和看見最後一個數據包的時間、源目的端口號,填充、tcp的標誌位、協議類型、服務類型、源目的匿名系統ID、源目的ip子網掩碼等。
Netflow v9數據包由模版數據包和數據包兩種組成,交換機和路由器每隔一段時間會發送template模版報文,思科是根據netflow數據包的輸出數量來發送netflow 模版報文,默認是20個netflow包發送一次模版報文,此項在思科路由器上可配置。
若沒有收到模版報文,netflow v9的數據報文將無法解析。
2、 netflow v5數據包字段詳解
2.1 netflow與netstream v5版本字段詳解
netstream v5數據包, 目的端口默認為9995,目的地址為9.9.9.10,為netstream數據解析器的ip地址和端口信息。9.9.9.9為netstream採集器的地址。
注意:
對於netstream報文wireshark使用默認編碼無法解析如圖:
需要重新設置編碼,選中數據包右鍵,選擇編碼。
找到cflow協議。
點擊應用,數據部分立即變成netflow報文,可以看到字段內部的內容了。
華為交換機除了會發送0005編碼的Netstream還會發送8005編碼的netstream報文。
Netflow v5數據包,目的端口默認為9996,其餘與netstream相同。數據包如下:
Netflow與netflow v5數據包的字段一致以下統一說明。
Version : netflow版本
Count: flow記錄數
Sysuptime: 系統運行時間
EngineType: 設備類型
EngineID:設備ID號
SamplingMode:採樣模式配置
SampleRate:統計採樣率
Timestamp:時間戳
FlowSquence:流序列號
PDU字段:
Srcaddr 源ip地址
Dstaddr 目的ip地址
Nexthop 數據包的下一跳
Inputint 數據流輸入接口的索引號
Outputint 數據流輸出接口的索引號
Packets PDU中包含的包的數量
Octets PDU中的字節總數
Starttime PDU流中看見第一個數據包的時間(單位:毫秒)
Endtime PDU流中看見最後一個數據包的時間(單位:毫秒)
Srcport 數據流的源端口號
Dstport 數據流的目的端口號
Padding 填充
Tcp flag tcp標誌位,協議狀態(URG=32,ACK=16,psh=8,RST=4,SYN=2,FIN=1)例如:若tcp flag=27表明這個流有SYN,ACK,PUSH,FIN(2+16+8+1=27)
Protocol 4層的協議類型 ICMP=1 ,TCP=6,telnet=14,UDP=17
Ip TOS 服務類型,傳輸過程中的特殊處理,分為最小時延,最大吞吐量,最高可靠性,最小費用
SrcAS 源匿名系統ID
DstAS 目的匿名系統ID
SrcMask 源ip子網掩碼
DstMask 目的ip子網掩碼
Padding 兩個填充字節
2.2 netflow與netstream v5版本字段不同點
在netstream版本5中Nexthop ,Padding(1字節填充),SrcAS,DstAS,SrcMask,DstMask,Padding(2字節填充)的值均為0。
由於對入接口和出接口分別獨立進行統計Netstream (netflow)流統計時按照出入接口獨立統計。華為與思科路由器出入接口不一致inputInt和outputInt字段值不一致。
Netflow報文
Netstream報文
netflow的padding字段包含兩部分,前一個字節是填充位,無意義,後一個字節為流的方向,0x00為入方向統計,0x08為出方向統計。Netflow的padding字段包含兩部分,後一個字節是填充位,無意義,前一個字節為流的方向,0x00為入方向統計,0x01為出方向統計。
NetStream Version 5 和 Cisco NetFlow Version 5僅有細微區別。其實如果經過探究會發現,不論哪個版本,兩種協議的報文格式沒有根本性的變化。
3、 netflow v9報文字段詳解
3.1 netflow v9優勢
使用此版本,NetFlow可以導出NetFlow v9 (version 9)導出格式的數據。這種格式是靈活和可擴展的,它提供了支持新字段和記錄類型所需的多功能性。這種格式適應了新的netflow支持的技術,比如多播、MPLS、NAT和BGP。
提供NetFlow收集引擎(以前稱為NetFlow FlowCollector)或NetFlow顯示服務的第三方業務合作伙伴不需要每次添加新的NetFlow技術時重新編譯他們的應用程序。相反,使用NetFlow v9導出格式特性,他們可以使用一個外部數據文件來記錄已知的模板格式和字段類型。
NetFlow version 9數據導出支持CEF切換、dCEF切換和快速切換。
3.2 netflow v9字段詳解
NetFlow採用了主動式數據推送機制,一般用UDP傳送。
NetFlow的封裝格式分為1個Header和若干個Record:
Header:主要包括版本號、序列號、後續Record數量、系統啟動時間等;
Record:提供對每個Flow的詳細數據記錄。
下文以NetFlow V9為例,輸出報文Header與Record整體結構如下所示:
FlowSet: 是FlowRecord的集合。包括Template FlowSet和Data FlowSet
在上述格式中,各字段的具體含義描述如下:
Template功能:NetFlow V9是首先對Template進行支持的版本,
通過Template功能NetFlow V9獲得了前所未有的擴展靈活性。
Template描述了NetFlow輸出記錄的各字段定義,無需改變現有規範即可支持將來可能出現的增強功能,從而無需重新編譯、修改流量採集分析系統即可快速支持新增功能特徵。
netflow具備詳盡的會話描述能力。在NetFlow V9中,缺省提供了多達89種字段類型,並允許通過Template和Aggregation機制進行任意組合、匯聚,能夠詳細描述流量分佈的各類特徵.
Netflow v9版本由模版報文和數據報文兩種報文組成
Netflow v9的模版報文
、
Netflow v9模版報文字段解釋
3.3 netflow v9模板報文與數據報文直接的關係
思科路由器或華為交換機會默認1分鐘發送一次模板報文,若採集器或者解析器的配置有變化時思科路由器或華為交換機會立即發送模板報文。若未收到模板報文解析器不會解析數據報文。
設備或wireshark會根據最新收到的模板報文將Netflow v9數據報文解析出來,解析結果如下:
閱讀更多 楊冰幻 的文章
