Что такое использование NetFlow шаблонов

Question

Я пытаюсь понять NetFlow v9 & У меня есть некоторые сомнения по NetFlow v9

1), как и почему будут шаблоны изменить на NetFlow маршрутизаторе? I undertsnad netflow v9 был создан так, чтобы можно было указать множество разных шаблонов. Но почему человек настраивал несколько разных шаблонов, то есть не только один шаблон со всеми необходимыми полями.

2) Если есть два храма, которые имеют общие области, когда истечет срок действия пользователя, будут созданы данные для обоих шаблонов? isnt это дублирование данных, и необходимо, чтобы механизм сбора данных, чтобы убедиться, что он объединяет

Answer 1

NetFlow v9 и IPFIX (v10) используют шаблонный подход для экспорта данных потока. Предыдущие версии потоков переносились данными в формате фиксированного пакета, что означает, что каждая датаграмма содержит точно такие же поля. Это означало, что дополнительная полезная информация не может быть перенесена или хуже: каждый раз, когда добавляется новое поле данных, версия NetFlow должна измениться.

Введение шаблонов v9, которые позволяют экспортировать устройство (например, маршрутизатор или коммутатор), определять, какие поля отправлять в программное обеспечение коллектора/анализатора. Это позволяет перенаправить гораздо более богатый набор полей (например, см. RFC5102: https://tools.ietf.org/html/rfc5102 о безумном количестве доступных полей). Это также делает данные потока более компактными, потому что вы фактически не используете какие-либо биты в проводе для полей, которые экспортер не может заполнить.

Таким образом, экспортеры обычно публикуют шаблоны для трафика IPv4 и разные для трафика IPv6 , а иногда и разные для разных интерфейсных плат. Все зависит от того, что известно о потоке. Обычно поток сообщается только один раз каждым экспортером, и выбирается лучший шаблон.

Кроме того, потоки обычно сообщаются в течение нескольких циклов времени в зависимости от того, как долго они выполняются. Это означает, что ваш коллекционер может получать обновления потока (например, сеанс пользователя с веб-сервером) с течением времени, и было видно больше пакетов.

Вот некоторый дополнительный фон на различных форматах потока: http://www.flowtraq.com/corporate/resources/whitepapers/the-netflowsflowcflowjflow-flow-dilemma/