NetFlow技术与高校网络管理

　　NetFlow 是由Cisco 公司的Darren Kerr 和Barry Bruins 在1996 年开发的一套网络流量监测技术，目前已内建在大部分Cisco 路由器上，Juniper、Ex-treme、港湾网络等网络设备供货商也支持NetFlow 技术，它已逐渐成为大家都能接受的标准。　　 NetFlow 本身是一套网络流量统计协议，其主要原理是根据网络数据包传输时，连续相邻的数据包通常是往相同目的地IP 地址传送的特性，配合cache 快取机制，当网络管理者开启路由器或交换机接口的NetFlow 功能时，设备会在接收数据包时分析其数据包的标头部分来取得流量资料，并将所接到的数据包流量信息汇整成一笔一笔的Flow，在NetFlow 协议中Flow 是被定义为两端点间单一方向连续的数据流，这意味着每一个网络的连接都会被分别纪录成两笔Flow 数据，其中一笔记录从客户端连到服务器端，另外随着一笔纪录从服务器端连回到客户端的信息。

　　网络设备通过以下字段来区分每一笔Flow：来源IP 地址（source IP address）、来源端口号（source port number）、目的IP 位址（destination IP address）、目的端口号（destination port number）、协议种类（protocol type）、服务种类（type of service）及路由器输入接口（router input interface），任何时间当设备接收到新的数据包时，会检视这七个字段来判断这个数据包是否属于任何已记录的Flow，有的话则将新收集到的数据包的相关流量信息整合到对应的Flow 记录中，如果找不到数据包对应的Flow 记录，便产生一个新的Flow 记录来储存相关的流量信息。由于设备内高速缓存的空间有限，无法无限制地容纳持续增加的Flow 纪录，所以NetFlow 协议也定义了终结Flow记录的机制，来维持网络设备中储存Flow 信息的空间。

　　只要下面三种情况任何一个成立，路由器就会通过UDP 数据包将终止的Flow 纪录汇出到使用者事先指定的NetFlow 数据收集设备上：当数据包内字段flag 显示传输协议中传输完成的讯息如TCP FIN 时；流量停止超过15 秒；流量持续传送，每30 分钟会自动终止。