NetFlow是网络设备中标准化的功能，用于收集流量测量值并将其导出到另一个系统进行分析。对该流数据的分析通知网络管理器网络是如何执行的以及其他使用细节。例如，流量分析可以通过跟踪IP和突出显示异常（如过度使用流量）来帮助解决问题。

什么是NetFlow

最初由思科于1995年推出，NetFlow提供的理解流量数据的能力变得不可或缺，成为事实上的行业标准。到2008年，基于流的监控协议的普及推动了IETF在IPFIX中编码的NetFlow的标准化。尽管还有其他供应商协议，特别是J-Flow和sFlow，但NetFlow仍然是使用最广泛的基于流的监控协议。

NetFlow是如何工作的

NetFlow是路由器上的典型功能，然而，NetFlow监控需要三个组件才能向网络管理器提供可用信息。

1.流导出器

流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。

2.流量收集器

流量收集器是数据存储服务器，用于接收流量数据，以便稍后由专用软件进行处理。

3.流量分析器

流量分析器是分析流量数据并呈现报告、警报、仪表盘和网络可视化的应用程序，用于向网络管理者通报其网络的性能和使用情况。

NetFlow传递哪些信息

当数据包进入路由器时，它将决定是否转发该数据包，如果是，则它开始根据该数据包的属性在流缓存中记录数据流。数据流由一组5-7个属性标识，这些属性的作用类似于指纹。共享相同指纹的数据包在流缓存中分组在一起。

每个流缓存条目根据数据包的属性保存以下信息。

1. 目标IP地址

2. 源IP地址

3. 目标端口号

4. 源端口号

5. 源接口

6. 第3层协议类型

7. 服务类别

8.路由器或交换机接口

流数据将在流缓存中进行计数，直到流过期为止。在这一点上，流缓存信息被导出到收集器，用于存储和以后的分析。该流信息可以用于以多种方式理解网络行为。

• 源地址允许了解谁发起流量

• 目的地地址告诉谁在接收流量

• 端口表征利用流量的应用程序

• 服务类别检查流量的优先级

• 设备接口告诉网络设备如何利用流量

• 计数的数据包和字节显示流量

添加到流的其他信息包括：

• 流动时间戳，以了解流动的生命；时间戳对于计算每秒的数据包和字节很有用；

• 下一跳IP地址，包括BGP路由自治系统（AS）；

• 用于计算前缀的源地址和目标地址的子网掩码；

• 用于检查TCP握手的TCP标志；

其他相关术语

网络取证

流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。

网络故障排除

流导出器收集流缓存中的流数据，并定期将其导出到收集器。这个设备通常是一个路由器（一个低级设备）或防火墙，基本上将信息传递到收集器上。