NETFLOW技术介绍

1 . 流量流向监测技术1.1 概述传统的网络流量监测技术的局限性SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能，而且SNMP采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性，其业务分析和协议分析功能较强。但是，采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。提出新的流量监测技术为克服现有网管系统对网络流量和流向分析功能的技术局限性，运营商迫切需要寻找一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造和升级。新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征，既可以对网络中各个链路的带宽使用率进行统计，又可以对每条链路上不同类型业务的流量和流向进行分析和统计。本文主要介绍应用广泛的Cisco NetFlow技术、华为 Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况 。1.2 相关厂家及设备供应商 支持的流 设备列表CiscoNetFlowCisco - 800、1700、2600、1800、2800、3800、4500、6500、7200、7300、7500、7600、10000、12000、CRS-1 3ComNetFlow8800系列交换机AdtranNetFlowNetVanta 3200、3305、4305、5305、1524、1624、3430、3448、3130、340和344RiverbedNetFlow请参考Riverbed白皮书EnterasysNetFlow请参考Enterasys白皮书 Extreme NetworksNetFlowAlpine 3800系列、BlackDiamond 6800系列、BlackDiamond 8800系列、BlackDiamond 10808、BlackDiamond 12804C、BlackDiamond 12804R、Summit X450系列、Summit i系列（不支持输入/输出接口、octets和最初及最后次数）Foundry NetworksNetFlow、sFlow BigIron系列、FastIron系列、IronPoint系列、NetIron系列、 SecureIron系列、ServerIron系列 Juniper NetworksNetFlow、J-Flow 请参考Juniper Networks白皮书（针对Netflow不支持取样间隔参数、最初和最后次数以秒单位存储）Huawei NetStream请参考Huawei白皮书H3CNetStream请参考H3C白皮书Nortel IPFIX5500和8600系列 AlaxalA NetworkssFlowAX7800R、AX7800S、AX7700R、AX5400S AlcatelsFlowOmniSwitch 6850、OmniSwitch 9000 Allied TelesissFlowSwitchBlade 7800R系列、SwitchBlade 7800S系列、SwitchBlade 5400S系列 Comtec SystemssFlow!-Rex 16Gi、24Gi和24Gi-ComboForce10 NetworkssFlowE系列Hewlett-PackardsFlowProCurve 2800系列、ProCurve 3400cl系列、ProCurve 3500yl系列、ProCurve 4200vl系列、ProCurve 5300xl系列、ProCurve 5400zl系列、ProCurve 6200yl系列、ProCurve 6400cl系列、ProCurve 9300m系列、ProCurve Routing Switch 9408sl HitachisFlowGR4000、GS4000、GS3000NECsFlowIP8800/R400系列、IP8800/S400系列、IP8800/S300系列2 Netflow2.1 流原理netflow 的信息单元是flow。flow是一个单向的带有唯一标识字节组的传输流。基本的标识为：source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。当路由器接收到一个没有flow入口的数据包时，一个flow的结构将被初始化以保存其状态信息如：交换的字节数、IP地址、端口、自治区域等。随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数，直至这个flow中止并输出。Netflow功能是在一个路由器内独立完成，它不涉及路由器之间的任何连接设置协议，也不要求对数据包本身或其它任何网络设备进行任何外部修改。Netflow交换中要创建一个信息高速缓存，第一个数据包到来时，路由器利用标准的快速交换处理信息包，同时生成一个Netflow高速缓存，随后到来的数据包即可以依据高速缓存信息被交换，对于所有活动信息流，在Netflow高速缓存中保留相应的信息流信息。当一定时间内没有相应的数据包通过，则结束这个数据流的交换和统计，并释放高速缓存，数据输出的条件在后续部分描述。在netflow中到期的flow被绑在UDP数据报中发出。在V5的版本中最多30个flow记录，V1中25个记录，V8中28个记录。至少每秒钟发一次flow。虽然netflow只提供单向的流量统计。如果希望得到表现双向的统计数据，netflow提供了“canned”的SQL程序来获得一个IP地址对的流量统计数据。典型的路由器netflow的资源占用率为830。一般情况下一个netflow收集器接收35个路由器的netflow输出。2.2 输出缓存条件NetFlow是通过建立高速缓存来实现的，该缓存存放所有活动的流信息。当有一个报文符合流定义时，NetFlow缓存将被建立。缓存终止并输出数据的条件如下：*传输完成（当看到TCP FIN或RST标志）*缓存满*非活动时间超时。空闲流超过n秒，默认15秒，可通过Router(config)# ip flow-cache timeout inactive 130改变默认值*活动时间超时。流超过n分钟，默认30分钟，可通过Router(config)# ip flow-cache timeout active 20改变默认值NetFlow缓存如图1所示。图1 NetFlow Cache示例2.3 Netflow 报文格式说明2.3.1 V1 头格式字段值Version0x0001Count该报文含有的流记录数System Uptime该设备启动的时间（毫秒）UNIX Seconds自0000 UTC 1970计的时间（秒）UNIX NanoSenconds自0000 UTC 1970计剩余时间（十亿分之一秒）输出报文格式0123 bytesrcaddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1prottosTcp_flagsPad2Pad3reservedBytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts该流的Packets数20-23dOctets该流的Bytes数24-27first流开始系统时间28-31Last流结束系统时间32-33srcport四层源端口34-35dstport四层目的端口36Pad1未用（0）37prot四层协议（如TCP=6，UDP=17）38tos服务类型39Tcp_flagsCumulative OR of TCP flags40Pad2未用（0）41-42Pad3未用（0）43reserved保留2.3.2 V5头格式备注：红色部分是Version 5较Version 1新添字段。字段值Version0x0005Count该报文含有的流记录数System Uptime该设备启动的时间（毫秒）UNIX Seconds自0000 UTC 1970计的时间（秒）UNIX NanoSenconds自0000 UTC 1970计剩余时间（十亿分之一秒）Sequence Number流序号Engine Type流转发引擎，0代表RP，1代表VIP/LCEngine IDVIP或LC插槽号码输出报文格式备注：红色部分是Version 5不同于Version 1的字段。Version 5新增了4个字段用以标示自治域和掩码位。0123 bytesrcaddrdstaddrnexthopinputoutputdPktsdOctetsfirstLastsrcportdstportPad1Tcp_flagsprottossrc_asdst_assrc_maskdst_maskpad2Bytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts该流的Packets数20-23dOctets该流的Bytes数24-27first流开始系统时间28-31Last流结束系统时间32-33srcport四层源端口34-35dstport四层目的端口36Pad1未用（0）37Tcp_flagsCumulative OR of TCP flags38prot四层协议（如TCP=6，UDP=17）39tos服务类型40-41src_as源AS号42-43dst_as目的AS号44Src_mask源地址掩码位数45Dst_mask目的地址掩码位数46-47Pad2未用（0）2.3.3 V7头格式备注：红色部分是Version 7较Version 1新添字段。字段值Version0x0007Count该报文含有的流记录数System Uptime该设备启动的时间（毫秒）UNIX Seconds自0000 UTC 1970计的时间（秒）UNIX NanoSenconds自0000 UTC 1970计剩余时间（十亿分之一秒）Sequence Number流序号输出报文格式备注：红色部分是Version 7不同于Version 5的字段0123 byteSrcaddrDstaddrNexthopinputOutputdPktsdOctetsFirstLastsrcportDstportflagsTcp_flagsprotTossrc_asdst_assrc_maskdst_maskpad2MLS RPBytes字段值0-3srcaddr源ip地址4-7dstaddr目的ip地址8-11nexthop下一跳路由器地址12-13inputSNMP入口接口ifIndex14-15outputSNMP出口接口ifIndex16-19dPkts该流的Packets数20-23dOctets该流的Bytes数24-27first流开始系统时间28-31Last流结束系统时间32-33srcport四层源端口34-35dstport四层目的端口36flagsflow mask in use37Tcp_flagsCumulative OR of TCP flags38prot四层协议（如TCP=6，UDP=17）39tos服务类型40-41src_as源AS号42-43dst_as目的AS号44-45Src_mask源地址掩码位数46-47Dst_mask目的地址掩码位数48Pad2未用（0）49-50MLS RPIP address of MLS router2.3.4 V8 注意：支持IOS12.0(3)T，12.0(3)S12.1及其后续IOS版本头格式备注：红色部分是Version 8较Version 5新增字段，该字段体现汇聚功能。字段值Version0x0008Count该报文含有的流记录数System Uptime该设备启动的时间（毫秒）UNIX Seconds自0000 UTC 1970计的时间（秒）UNIX NanoSenconds自0000 UTC 1970计剩余时间（十亿分之一秒）Sequence Number流序号Engine Type0代表RP，1代表VIP/LCEngine IDVIP或LC插槽号码Aggregation标识汇聚模式 需添加具体值Agg_version汇聚版本 = 2汇聚模式Version 8支持汇聚功能，不同的汇聚模式有其相应的报文格式，下文分别叙述11种汇聚模式的、报文格式。汇聚功能是Version 8提出的新功能，在Version 9中也支持，它将输出的原始流信息报文按照不同的汇聚模式再一次分类，减少报文量，减轻对网络的负担，同时也能从某种角度来总结网络状况。为了实现汇聚，设备建立名为汇聚缓存的高速缓存，该缓存用不同字段的组合来实现传统的流的再组合。当流从流缓存中输出时，送入汇聚缓存，进行进一步的组合。汇聚的好处是可以使得最终输出给采集者的报文量减少，减轻对网络的影响。图3表示流输出的过程：图3 建立NetFlow汇聚缓存汇聚缓存的超时时间可由以下命令改变：Router(config)# ip flow-aggregation cache prefix Router(config)# cache timeout active 25 Router(config)# cache timeout inactive 400 汇聚模式分两类non-TOS based aggregation schemes、TOS based aggregation schemes.non-TOS based aggregation schemes有5类，分别是：AS Aggregation Scheme Destination-Prefix Aggregation Scheme Prefix Aggregation Scheme Protocol-Port Aggregation Scheme Source Prefix Aggregation Scheme TOS based aggregation schemes有6类，分别是：AS-ToS Aggregation Scheme Destination-Prefix-ToS Aggregation Scheme Prefix-ToS Aggregation Scheme Protocol-Port-ToS Aggregation Scheme Source Prefix-ToS Aggregation Scheme Prefix-Port Aggregation Scheme 每一种汇聚模式都对应相应的报文，下文分别叙述各种汇聚模式所对应的报文格式。non-TOS based aggregation scheme下表总结了基于non-TOS 5种汇聚模式所使用的字段字段ASProtocol PortSource PrefixDestination PrefixPrefix源网络前缀YY源网络前缀掩码YY目的网络前缀YY目的网络前缀掩码YY源端口号Y目的端口号Y输入接口号YYY输出接口号YYYIP协议类型Y源ASYYY目的ASYYY第一个报文时间戳YYYYY最后一个报文时间戳YYYYY流个数YYYYY报文个数YYYYY字节数YYYYYAS 汇聚该汇聚模式基于BGP AS进行汇聚，产生AS-AS的流记录，记录以下信息：源和目的BGP AS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-21Src_as源ip的AS号22-23Dst_as目的ip的AS号24-25Input输入接口的SNMP索引号26-27Output输出接口的SNMP索引号2.3.4.1 目的网络前缀汇聚 该汇聚模式基于目的网络地址，掩码以及目的AS进行汇聚，记录以下信息：目的网络前缀，即IP地址的网络部分目的网络前缀掩码，即网络地址掩码目的BGP AS号汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输出接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Dst_prefix目的地址的网络前缀，即网络号24Dst_mask目的地址的掩码位的个数（bits）25Pad026-27Dst_as目的ip的AS号28-29Output输出接口的SNMP索引号30-31Reserved02.3.4.2 网络前缀汇聚 该汇聚模式基于网络前缀、掩码和AS号进行汇聚，记录以下信息：源和目的地址网络前缀源和目的地址掩码源和目的BGP AS号汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输入和输出接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Src_prefix源地址的网络前缀，即网络号24-27Dst_prefix目的地址的网络前缀，即网络号28Dst_mask目的地址的掩码位的个数（bits）29Src_mask源地址的掩码位的个数（bits）30Pad031-32Src_as源ip的AS号33-34Dst_as目的ip的AS号35-36Input输入接口的SNMP索引号37-28Output输出接口的SNMP索引号2.3.4.3 协议_端口汇聚 该模式基于协议类型进行汇聚，产生同属一类协议的流记录，记录以下信息：源和目的端口号IP协议类型汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20protIP协议类型21Pad022-23reserved024-25Srcport源端口号26-27dstport目标端口号2.3.4.4 源网络前缀汇聚 该汇聚模式基于源网络地址、掩码及AS号进行汇聚，记录以下信息：源网络前缀，即IP地址的网络部分源网络前缀掩码，即网络地址掩码源BGP AS号汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输入接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Src_prefix源地址的网络前缀，即网络号24Src_mask源地址的掩码位的个数（bits）25Pad026-27Src_as源ip的AS号28-29input输入接口的SNMP索引号30-31Reserved0TOS based aggregation scheme下表总结了基于TOS 6种汇聚模式所使用的字段字段AS-TOSProtocol Port-TOSSource Prefix-TOSDestination Prefix-TOSPrefix-TOSPrefix-Port源网络前缀YYY源网络前缀掩码YYY目的网络前缀YYY目的网络前缀掩码YYY源端口号YY目的端口号YY输入接口号YYYYY输出接口号YYYYYIP协议类型YY源ASYYY目的ASYYY服务类型YYYYYY第一个报文时间戳YYYYY最后一个报文时间戳YYYYY流个数YYYYY报文个数YYYYY字节数YYYYY2.3.4.5 AS-ToS 汇聚 该汇聚模式基于源和目的AS，源和目的接口以及ToS进行汇聚，记录以下信息：源和目的BGP ASToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数源和目的接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-21Src_as源ip的AS号22-23Dst_as目的ip的AS号24-25Input输入接口的SNMP索引号26-27Output输出接口的SNMP索引号28Tos服务类型29pad030-31reserved02.3.4.6 目的网络前缀-ToS 汇聚该汇聚模式基于目的网络地址，掩码，目的AS以及ToS进行汇聚，记录以下信息：目的网络前缀，即IP地址的网络部分目的网络前缀掩码，即网络地址掩码目的BGP AS号ToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输出接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Dst_prefix目的地址的网络前缀，即网络号24Dst_mask目的地址的掩码位的个数（bits）25Tos服务类型26-27Dst_as目的ip的AS号28-29Output输出接口的SNMP索引号30-31Reserved02.3.4.7 网络前缀-ToS 汇聚 该汇聚模式基于网络前缀、掩码、AS号以及ToS进行汇聚，记录以下信息：源和目的地址网络前缀源和目的地址掩码源和目的BGP AS号ToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输入和输出接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Src_prefix源地址的网络前缀，即网络号24-27Dst_prefix目的地址的网络前缀，即网络号28Dst_mask目的地址的掩码位的个数（bits）29Src_mask源地址的掩码位的个数（bits）30Tos服务类型31pad032-33Src_as源ip的AS号34-35Dst_as目的ip的AS号36-37Input输入接口的SNMP索引号38-39Output输出接口的SNMP索引号2.3.4.8 协议-端口-ToS 汇聚 该模式基于协议类型、ToS以及入口出口接口进行汇聚，记录以下信息：源和目的端口号源和目的接口IP协议类型ToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20protIP协议类型21Tos服务类型22-23reserved024-25Srcport源端口号26-27dstport目标端口号28-29Input输入接口的SNMP接口索引30-31output输出接口的SNMP接口索引2.3.4.9 源网络前缀-ToS 汇聚该汇聚模式基于源网络地址、掩码、AS号及ToS进行汇聚，记录以下信息：源网络前缀，即IP地址的网络部分源网络前缀掩码，即网络地址掩码源BGP AS号ToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输入接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Src_prefix源地址的网络前缀，即网络号24Src_mask源地址的掩码位的个数（bits）25Tos服务类型26-27Src_as源ip的AS号28-29input输入接口的SNMP索引号30-31Reserved02.3.4.10 网络前缀-端口 汇聚该汇聚模式基于网络前缀、掩码、端口号、接口号、协议类型以及ToS进行汇聚，记录以下信息：源和目的地址网络前缀源和目的地址掩码源和目的端口号源和目的接口协议类型ToS汇聚记录的流个数汇聚记录的报文个数汇聚记录的字节数输入和输出接口第一个报文转发时间戳及最后一个报文转发时间戳Bytes字段值0-3Flows汇聚的原始流个数4-7dPkts汇聚的流报文个数8-11dOctets汇聚的流字节数12-15First第一个报文转发的系统时间16-19Last最后一个报文转发的系统时间20-23Src_prefix源地址的网络前缀，即网络号24-27Dst_prefix目的地址的网络前缀，即网络号28Dst_mask目的地址的掩码位的个数（bits）29Src_mask源地址的掩码位的个数（bits）30Tos服务类型31protIP协议类型32-33Srcport源端口号34-35Dstport目的端口号36-37Input输入接口的SNMP索引号38-39Output输出接口的SNMP索引号2.3.5 V92.3.5.1 Template简介在Version 9之前的NetFlow流记录版本都是固定格式的，报文中的字段都是固定的，不可更改。版本9提出了模版的概念，使得管理者可以根据自己的需求定义流记录中的字段。模版提供了一种可扩展的方式，使得在不改变现有的基础流记录的条件下，增加更多的信息。使用模版有以下好处：提供采集器或NetFlow显示服务的三方无需在新的NetFlow特性加入后修改自己的产品新的特性可以很快地加入NetFlow，而不用停掉当前使用随着协议的发展，NetFlow可随之发展，这是因为Version 9的灵活性和适应性2.3.5.2 相关术语Observation Point：观察点，通常就是一个接口。定义为在网络中可以观察到IP报文的点。Observation Domain：观察域，通常就是一个线卡，由很多接口组成。定义为一组观察点，这些观察点都运行了NetFlow服务，可提供一组流的汇聚记录。FlowSet：报文头之后的内容。FlowSet是输出数据中流记录的通称，包括两类：模版和数据。一个输出报文中包含一个或多个FlowSets，模版和数据FlowSets可以混入同一个输出报文。模版FlowSet：一个输出报文中含有一个或多个模版FlowSets。模版记录：定义模版，之后的输出数据记录报文必须符合模版记录。在同一个报文中，如果既有模版记录又有数据记录，那么数据记录不需要一定符合该模版记录，采集器必须缓存模版记录，数据记录只要符合采集器中的模版就可以了。模版ID：用以区分不同的模版。数据FlowSet：一个数据报文可含有多个数据FlowSets。数据记录：数据记录提供ip流信息，数据记录必须含有模版ID，采集器根据模版ID分析数据内容。可选模版：可选模版是一种特殊的模版记录，用以与NetFlow处理器沟通数据格式。可选数据记录：可选数据记录是一种特殊的数据记录，使用保留的模版ID，提供NetFlow处理器本身的信息。2.3.5.3 V9模版管理输出端负责输出模版和数据，理论上讲，应该在数据输出之前输出模版，这样接收端采集器才可以知道怎样来解析接收到的数据。输出端的模版记录是随着NetFlow进程而产生和消亡的。如果输出端或NetFlow进程死掉或重起，那么所有的模版信息都会丢失，而会创建新的模版ID。如果模版配置改变，丢弃现有的模版id，而这个id将不能再重用，直到重起NetFlow进程或整个输出端。当接收端采集器接收到一个现存模版id的定义，丢弃原有的定义，使用新的定义。当输出端的模版记录删除并有一条参数完全一样的记录，可以使用同样的模版ID。在以下三种情况，输出端将输出模版FlowSet：NetFlow进程重起，输出端在输出数据之前必须将相应的模版发送给采集者，模版信息要么包含在数据之前的报文里，要么包含在该数据所在报文里。这一点保证接收者可以正确解析收到的数据。当配置改变时，输出端必须尽快的发送新的模版定义。定时更新。根据两种模式，输出端必须发送所有的模版和options模版记录给采集者：基于报文，即每发送N个报文就必须嵌入模版信息发送给采集者；基于时间，即每过N分钟就要发送一次模版信息。这两个参数都必须在输出端进行配置，当一个超时，输出端必须发送模版FlowSet和Options模版。输出端时钟配置发生改变，输出端应尽快发送模版定义。（In the event of a clock configuration change on the Exporter, the Exporter SHOULD send the template definitions at an accelerated rate.）一般来讲，采集器收到数据前，都应先收到相应的模版，但如果收到的数据中的模版ID在本地没有记录，应将该报文保存下来，等到收到模版定义之后再解析，而不是简单的丢弃该报文。采集器存储的模版定时死亡，需要定时更新，如果模版没有得到输出端的定义更新，超时之后将宣告死亡，采集器不能再使用该模版解析数据。采集器维护以下参数：Exporter、Observation Domain、模版ID、模版定义、最近一次接收时间。模版ID在每个输出端的每个Observation域里是唯一的。2.3.5.4 V9 报文一个报文里至少含有1个或多个模版或数据FlowSets。如下图：Packet HeaderTemplate FlowSetData FlowSetData FlowSet-Template FlowSetData FlowSet一个报文中模版和数据可能的组合包括以下三种：模版FlowSets和数据FlowSets交叉组合这种方式中的模版和数据并没有必然联系。纯数据FlowSets大部分的输出数据都是这种模式。纯模版FlowSets这种情况比较少。一般来讲，模版都是插入数据中发送的。当路由器刚刚启动或重起时，为了跟采集器同步，路由器发送只含有模版的报文。模版记录是有寿命的，它们必须周期性的更新。在更新期间，有可能没有合适的数据发送，那么将发送只含模版的报文。Template FlowSet Format0123456789101112131415FlowSet ID = 0LengthTemplate IDField CountField 1 TypeField 1 LengthField 2 TypeField 2 Length-Field N TypeField N LengthTemplate IDField CountField 1 TypeField 1 LengthField 2 TypeField 2 Length-Field N TypeField N LengthField NameValueFlowSet IDFlowSet ID用以区分模版记录和数据记录。模版记录的FlowSet ID在0-255之间。目前，定义流字段的模版FlowSet ID为0，定义可选字段的模版FlowSet ID为1。数据FlowSet ID大于255。Length该FlowSet的总长度。由于一个FlowSet里可能还有多个模版ID，所以需要用长度来定界，与下一个FlowSet区分出来。长度使用type/length/value (TLV)格式，意思是在此FlowSet ID中所有的字节数。Template ID用以区分模版，模版ID是路由器本地唯一的，该值从256开始。Field Count该模版记录中含有的字段数，用以界定不同模版的边界。Field Type字段类型，这是设备商指定的。思科所有支持NetFlow Version 9的硬件平台都支持这些类型。具体类型参见下表。Field Length定义上述字段的长度（字节）。思科支持的字段类型：Field TypeValueLength (bytes)DescriptionIN_BYTES1N (default is 4)IP流的输入计数器，字节数IN_PKTS2N (default is 4)IP流的输入计数器，报文数FLOWS3N (default is 4)汇聚的流个数PROTOCOL41IP协议类型SRC_TOS51输入流的服务类型位，即ToS位TCP_FLAGS61一个流里所有的TCP标志总数L4_SRC_PORT72TCP/UDP源端口IPV4_SRC_ADDR84IPv4源地址SRC_MASK91源地址子网掩码位数，如255.0.0.0则为8INPUT_SNMP10N(default is 2)输入接口索引L4_DST_PORT112TCP/UDP目的端口号IPV4_DST_ADDR124IPv4目的地址DST_MASK131目的地址子网掩码位数，如255.0.0.0则为8OUTPUT_SNMP14N(default is 2)输出接口索引IPV4_NEXT_HOP154下一条路由器IPv4地址SRC_AS16N (default is 2)源BGP自治域号，N可为2或4DST_AS17N (default is 2)目的源BGP自治域号，N可为2或4BGP_IPV4_NEXT_HOP184在BGP域里下一跳路由器地址MUL_DST_PKTS19N (default is 4)输出组播报文个数MUL_DST_BYTES20N (default is 4)输出组播报文字节数LAST_SWITCHED214最后一个报文转发时系统时间FIRST_SWITCHED224第一个报文转发时系统时间OUT_BYTES23N (default is 4)输出报文字节数OUT_PKTS24N (default is 4)输出报文个数MIN_PKT_LNGTH252输入报文最小报文长度MAX_PKT_LNGTH262输入报文最大报文长度IPV6_SRC_ADDR2716IPv6源地址IPV6_DST_ADDR2816IPv6目的地址IPV6_SRC_MASK291IPv6源地址掩码位数IPV6_DST_MASK301IPv6源地址掩码位数IPV6_FLOW_LABEL313IPv6流标签as per RFC 2460definitionICMP_TYPE322ICMP报文类型，值为(ICMP Type * 256) + ICMP code)MUL_IGMP_TYPE331IGMP报文类型SAMPLING_INTERVAL344如果使用采样NetFlow，该字段记录采样率SAMPLING_ALGORITHM351该字段标识采样NetFlow方式：0x01表示确定采样，0x02表示随机采样FLOW_ACTIVE_TI