NetFlow技术与高校网络管理

　　虽然大部分的网络硬件供货商都支持NetFlow，但NetFlow版本有很多，其中NetFlow Version 5 是常见的Netflow 数据格式，包含以下几个字段：Source IP Address （源主机IP 地址）、Destination IP Address （目的主机IP 位址）、Source TCP/UDP Port （源主机所使用的端口号）、Destination TCP/UDP Port （目的主机所使用的端口号）、Next Hop Address （下一个端点的地址）、Source AS Number （来源主机所属的AS 编号）、Destination AS number （目的主机所属的AS 编号）、Source Prefix Mask （来源主机所属网域的子网掩码）、Destination Prefix Mask （目的主机所属网络的子网掩码）、Protocol （使用的通讯协议）、TCP Flag （数据包控制标记）、Type of Service （QoS需求参数）、Start sysUpTime （起始时间）、End sysUpTime （终止时间）、Input ifIndex （信息流流入接口编号）、Output ifindex （信息流流出接口编号）、Packet Count （数据包数量）、Byte Count （Byte数量）。

　　支持NetFlow 功能的网络设备将其所收集到的Flow 信息以UDP 数据包送往预先设置好的流量接收主机，配合NetFlow 相关收集软件，将这些原始流量资料作适当的处理、储存以提供后续的相关应用。 NetFlow在网络安全上的相关应用

　　NetFlow 的纪录能够提供足够的信息来协助网络管理者掌握所管辖网络中的网络异常事件，而且由于NetFlow 不需要对数据包内容进行分析，大大减轻了网络设备运算处理的负担，所以很适合用来分析高速、忙碌的网络环境。

　　由于NetFlow 数据来源是网络中的三层数据转发设备，所以通过从三层设备所搜集到的NetFlow 信息可以协助掌握整体网络的情况，而且通过适当地分析NetFlow 信息，可以协助管理者在蠕虫爆发或不正常网络行为的初期快速分析出网络中存在的问题。接下来我们进一步介绍如何利用NetFlow中所包含的信息来侦测异常的行为。 从网络层的角度进行分析