RFC3954自编中文版..docVIP

网络工作小组······················································B.Claise RFC：3954·······················································Cisco系统公司 类别：报告·······················································2004年10月 Cisco系统公司Netflow v9版本 本备忘录状态 此备忘录为互联网团体提供相关信息，但并不定义任何形式的互联网标准，另外本备忘录的发布不受任何限制。 版权提示 版权归互联网团体所有（2004） IESG（互联网工作组）申明 本RFC涉及Cisco网络数据流服务输出标准（v9版本），其作为IPFIX工作组的开发参考文档提交给IETF使用。 本RFC并非任何形式的互联网标准或候选标准，IETF从未正式认可本RFC所具有的任何适用性申明，同时IETF也不提供本RFC的评估和审查协议。本RFC的编辑者有权利酌情考虑进行文档的公开发布。 摘要 本文档采用Cisco系统公司的Netflow v9作为数据输出格式，并用于网络基础流量收集和分析使用。V9版本的输出格式能够以模板方式对IP数据流进行灵活的、可扩展的收集、整理和呈现。每个模板都定义了对IP数据流收集的字段以及这些字段所对应的描述、结构和语义。 目录 1引言 2 2术语 3 2.1术语汇总表 5 3 Netflow输出器的高等级状态 5 3.1 Netflow输出器的运行原理 5 3.2有效数据流 5 3.3传输协议 6 4数据包设计 6 5输出数据包格式 9 5.1包头格式 9 5.2模板数据流汇总格式 10 5.3信息数据流汇总格式 12 6可选项 13 6.1可选模板数据流汇总格式 13 6.2可选信息记录格式 15 7模板管理 16 8字段类型定义 17 9收集器 23 10安全注意事项 24 10.1流量信息数据的公开风险 24 10.2数据流和模板记录的伪造风险 25 10.3针对收集器的攻击 25 11示例 25 11.1数据包头 26 11.2模板数据流汇总 27 11.3信息数据流汇总 27 11.4可选模板数据流汇总 29 11.5可选信息记录的信息数据流汇总 30 12参考文档 31 12.1标准化参考 31 12.2信息化参考 31 13作者 31 14鸣谢 32 15作者地址/版权申明/知识产权等内容 32  1引言 Cisco系统公司的NetFlow服务提供一种基于数据网络中IP数据流信息的网络管理方式。该方式由网络中的设备节点（路由器交换机）收集数据流的相关数据并输出给收集器，这些收集的数据具有高度的灵活性和扩展性，能够提供精细的统计信息。 同方向上具有相同特性的数据包集合被定义为同一个类型的流（flow），流的特性和描述数据被输出到一个外部的Netflow收集器上。网络中流的定义是非常精细化的，可以采用包括IP地址，包和字节数，时间戳记，服务类型（ToS），应用端口，输入和输出接口等指标来记录或区分一个特定的流。 导出的NetFlow数据用于各种用途，包括企业会计和部门扣款，互联网服务供应商结算，数据仓库，网络监控，容量规划，应用监控和配置，用户监控和性能分析，安全分析和数据挖掘的营销目的。 本文档从网络元素和Netflow收集器两个方面定义了实施规范，这些规范能够帮助Netflow v9在较小的兼容性风险下进行跨厂商和跨平台的部署。而Netflow v9的数据输出格式通过模板的方式来记录和描述IP数据流，这种方式具有较高的灵活性和可扩展性，每一个模板都定义了需要收集的字段，这些字段用来描述特定的数据流结构和意义。这种基于模板的方式具有以下优点： 在Netflow v9的流记录中增加新的描述字段不用改变流记录输出格式的结构，而在以往的Netflow版本中，增加新的描述字段需要提供对应版本的输出格式，另外还需要升级Netflow的收集器以便支持这种新版本的输出格式。 输出到Netflow收集器的模板包含了数据流记录的各个字段的结构信息，因此即使收集器不能识别流记录中新定义的字段，仍然能够解析该条流记录。 由于模板具有灵活性，因此我们可以允许向Netflow收集器仅仅输出必须的字段，这有利于减少输出的记录流量，为收集器节省内存资源，还可以减少网络负载。 IETF的IPFIX（IP数据流信息输出）工作组正在Cisco系统公司的Netflow v9基础上进行开发，通过在（拥塞发现传输协议、内置安全特性等）一些领域进行改进和增强来研制出一种新的IPFIX协议。具体信息请参阅IPFIX工