sflow报文字段说明.docx

SflowDatagram头介绍：字段说明struct _SFLSample_datagram_hdr { u32 datagram_version; sflow的版本号（VERSION5 = 5只支持v5版本）u32 agent_address; 采样交换机的设备ip（通过命令行配置一般配置为loopback口ip） u32 sub_agent_id; 子设备id（暂不支持分布式默认为0） u32 sequence_number;已经发送sflow报文序列号（sflow报文序列编号依次加1） u32 uptime; 自设备启动时刻当现在经过的毫秒数（不是当前时间） u32 num_records; 包含的记录数目} 2.sFlow的采样报文格式sFlow报文采用UDP封装，缺省目的端口号为知名端口6343。sFlow报文共有4种报文字段格式，分别为Flow sample、Expanded Flow sample、Counter sample、Expanded Counter sample。其中Expanded Flow sample和Expanded Counter sample是sFlow version5新增内容，是Flow sample和Counter sample的扩展，但不前向兼容。所有的Extended的采样内容必须使用Expanded采样报文格式封装。sFlow的报文格式如图2-1。注：我们做的sflow是sFlow version5版本，只支持Expanded Flow sample和Expanded Counter sample两种报文字段格式。图2-1??sFlow报文格式?sFlow的两种采样sFlow Agent提供了两种采样方式供用户从不同的角度分析网络流量状况，分别为Flow采样以及Counter采样。2.1 Flow采样Flow采样是sFlow Agent设备在指定端口上按照特定的采样方向和采样比对报文进行采样分析，并将分析的结果通过sFlow报文发送到Collector设备的过程。Flow采样 的字段格式是按照Expanded Flow sample格式进行封装的：Expanded Flow sample头字段介绍struct _SFLFlow_sample_expanded { u32 tag; 此处为3代表 expanded flow sample 字段 u32 length;该字段总的字节数（不包含：tag和length字段） u32 sequence_number; flow sample字段序列号依次递增(分接口记录序列号) u32 ds_class; 数据源类型（只支持接口类型数据源类型默认为0） u32 ds_index; 数据源索引（接口索引值） u32 sampling_rate; 采样率命令行进行配置 u32 sample_pool; 采样池的报文个数 u32 drops; （sflow缓存队列已满，无法入队被丢弃未处理的报文个数，如果被丢弃报文个数过多，建议增大采样率） u32 inputFormat; 入接口类型（默认为0） u32 input; 入接口索引值 u32 outputFormat; 出接口类型（默认为0） u32 output; 出接口索引值 u32 num_elements;以下包含的记录数} 表2-2??Expanded Flow sample采样报文中字段信息说明字段内容说明Raw packetHeader截取原始报文全部或者一部分报文头（报文大于128字节截取128字节，否则截取全部报文）.struct sflow_rawpkthdr { u32 tag; 为1代表是raw packet header字段u32 length; 总的字节数（不包含tag和length字段）u32 header_protocol; 原始数据mac 协议类型（1代表以太网类型报文）u32 frame_length; 原始报文总字节数u32 stripped; 截取报文时被忽略掉的字节数u32 header_length; 被截取报文的字节数 u8 *header_bytes; 截取的原始报文字段}Ethernet Frame Data针对Ethernet报文，解析报文的Ethernet头信