NetFlow

1.概述

NetFlow是一种数据交换方式。利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，后续数据基于缓存信息在同一个数据流中进行传输。被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流（Flow）进行测量和统计。Netflow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC 芯片实现，而对流经网络设备的IP数据流进行测量和统计的功能也已更加成熟，并成为了当今互联网领域公认的最主要的IP/MPLS流量分析，统计和计费行业标准。

说明：

（1）同一流

      只有以下7个参数相同才认为是同一数据流。否则另作记录

（1）Source IP address
（2）Destination IP address
（3）Source port number
（4）Destination port number
（5）Layer 3 protocol type
（6）Type of service (ToS)
（7）Input logical interface

Netflow抓到的包可以向远程主机发送，发送时使用协议UDP，端口号默认为9991，这些远程主机的IP和端口号可以随意更改。

2.版本

Cisco开发的NetFlow共4个版本，分别是ver 1 ，ver 5，ver 8，ver 9，特点是：

V9不向后兼容v8和v5，需要独立开启。
V8只支持聚合缓存，不支持新feature。
V5只支持主缓存，不支持新feature。
V1，不要使用，建议用5和9。

3.可以记录的类型

IP-to-IP
IP-to- MPLS
Frame Relay
ATM
egress (outgoing)

4.配置Netflow的条件：

（1）必须先开启路由功能，
（2）CEF必开
（3）并且会消耗额外CPU和内存资源。