概述
Netflow的基本组成元素是flow record。Netflow v9的典型特性就是基于模板,好处是Netflow可以方便灵活地增加新特性,并且不影响第三方监测应用。
术语
FlowSet: 是FlowRecord的集合。包括Template FlowSet和Data FlowSet,而且可能在同一个导出包Exported packet中,如下图所示。虽然通常template flowset会夹在data flowset中发送,也有只发送template flowset和只发送data flowset的情形,其中前者可能发生在:1) 路由器重启,需要与采集设备尽快同步template; 2) template周期刷新时。
Template Record: 用于定义后续数据记录的模板记录。当然,template record并不一定对应同一个包中的data record,因此Netflow采集器必须缓存它收集到的所有模板记录,然后定位找到正确的模板来解析对应数据记录,即这个对应关系必须监测方来维护。
Template ID:同一个设备(Router/Switch)所发出的template record的序列号。当然,不同的设备所发出的template ID可能重复,因此Netflow采集器在维护对应关系时还要存储Netflow设备的IP地址。Template ID在路由器重启后可能就会与重启前有变化。这里面最核心的对应关系就是