Thursday, December 09, 2004

Netflow - Tutorial

Teknologi NetFlow membolehkan penyelenggara rangkaian memproses data yang diuruskan oleh sesuatu router. Data tersebut boleh digunakan untuk pengurusan dan perancangan rangakaian sama ada untuk tujuan laporan, pemasaran mahupun untuk meningkatkan prestasi rangkaian.

Secara umumnya netflow memproses data berkenaan pengguna, protokol, port dan jenis perhjidmatan (service) yang diguakan. Maklumat ini amat penting untuk melakukan analisis rangkaian, perancangan, membina laporan dan membuat bil kepada pengguna.
(network layer) dan nombor port (transport layer). Maklumat flow yang utama adalah
  • IP sumber
  • IP destinasi
  • Port number sumber
  • Port number destinasi
  • Jenis protokol
  • Jenis perkhidmatan (service)
  • Input surface
Netflow cache adalah data sementara yang disimpan dalam router sebelum ianya dihantar kepada mesin lain untuk diproses.

Netflow menghantar maklumat menggunakan UDP dalam dua format, version 1 dan version 5 (penambahan data BGP dan sequence number).

Table : Version 5 Header Format

Bytes Content Description

0-3

version and count

Netflow export format version number and number of flows exported in this packet (1-30).

4-7

SysUptime

Current time in milliseconds since router booted

8-11

unix_secs

Current seconds since 0000 UTC 1970.

12-15

unix_nsecs

Residual nanoseconds since 0000 UTC 1970.

16-19

flow_sequence

Sequence counter of total flows seen.

20-23

reserved

Unused (zero) bytes.


Table : Version 5 Flow Record Format

Bytes Content Description

0-3

srcaddr

Source IP address.

4-7

dstaddr

Destination IP address.

8-11

nexthop

Next hop router's IP address.

12-15

input and output

Input and output interface's SNMP index.

16-19

dPkts

Packets in the flow.

20-23

dOctets

Total number of Layer 3 bytes in the flow's packets.

24-27

First

SysUptime at start of flow.

28-31

Last

SysUptime at the time the last packet of flow was received.

32-35

srcport and dstport

TCP/UDP source and destination port number or equivalent.

36-39

pad1, tcp_flags, prot, and tos

Unused (zero) byte, Cumulative OR of TCP flags, IP protocol (for example, 6=TCP, 17=UDP), and IP type-of-service.

40-43

src_as and dst_as

AS of the source and destination, either origin or peer.

44-47

src_mask, dst_mask, and pad2

Source and destination address prefix mask bits, pad 2 is unused (zero) bytes.





0 Comments:

Post a Comment

<< Home