什么是 NetFlow？

流量数据可让公司的 IT 专业人员了解有多少流量、流量的来源和去向以及使用的路径。这些网络流量统计信息会被记录下来，用于监控一段时间内的使用情况、发现问题并制定升级计划。

尽管“netflow”通常用来泛指其他网络流量监控协议，但 NetFlow 是公认的互联网工程任务组 (IETF) 标准。Cisco Systems NetFlow 第 9 版基于模板，允许您选择要启用的统计信息。相比之下，以前的版本（例如流行的 Cisco Systems NetFlow v5）则要求使用一组固定的字段。总体而言，NetFlow 第 9 版比以前的版本更灵活。

IP 流量信息导出 (IPFIX) 是另一种使用基于模板的灵活方法的网络流量协议。尽管 NetFlow v9 得到了广泛使用，但 IPFIX 已成为行业标准。实际上，IPFIX 是基于 NetFlow v9 的。这两种协议非常相似，以至于 IPFIX 有时被称为 NetFlow v10——尽管它不是 NetFlow 产品。

另一种流行的 IP 网络流量监控协议和数据记录标准是 sFlow，或样本 NetFlow。它由 InMon Corp 推出，它并不像 NetFlow 那样跟踪通过网络的每个数据包，相反，它会捕获网络流量的随机样本。这种随机抽样意味着需要处理和分析的流量数据更少，但它最大限度地减少了对性能的影响。由于 NetFlow 会跟踪所有内容，因此可能会导致网络速度变慢。

其他网络流量监控协议包括 Juniper Networks 的 J-Flow、3Com/华为的 NetStream、Alcatel-Lucent 的 Cflow 以及 Ericsson 的 Rflow。xFlow 是用于指代这些工具的通用术语。

NetFlow 解决方案通常具有三个主要组件：

1. NetFlow 导出器。支持 NetFlow 功能的设备，通常是路由器或防火墙，充当流量导出设备并收集流量信息。它将数据包聚合成流量，并定期通过用户数据报协议 (UDP) 将 NetFlow 记录导出到一个或多个 NetFlow 收集器。

导出器将流量识别为单向数据包流，这些数据包至少有以下共同元素之一：输入接口端口、源 IP 地址和目标地址、源端口、目标端口号、第 3 层协议字段或服务类型。当流量在设定时间内处于非活动状态时，就可以进行 NetFlow 导出。当 TCP 标志（如 FIN 或 RST）显示流量已结束时，它也准备好进行导出。

2. NetFlow 收集器。Netflow 收集器可以基于硬件或软件，但基于软件的工具更为常用。NetFlow 收集器从流量导出工具接收汇总的流量记录数据，然后对其进行预处理和存储。

3. NetFlow 分析器。NetFlow 分析器是一种处理和分析由流量收集器接收并存储的 NetFlow 记录的工具。它可将数据转换为报告和警报，提供有关带宽使用情况、带宽占用、流量模式、应用程序使用情况和其他性能指标的洞察分析，从而识别安全威胁和性能问题。通过流量分析，您可以了解网络流量和数量。

NetFlow 数据可让您深入了解网络情况，帮助您优化性能，获得更好的用户体验。

了解流量以最大限度地提高吞吐量。了解整个网络中的 IP 流量模式非常有价值，例如跟踪进入公司网络的流量和识别您的主要用户。安全和网络运营团队可使用此流量信息来监控网络应用程序的使用情况、检测瓶颈并降低停机风险。NetFlow 数据对于基于使用情况计费也很有用。此功能允许向特定业务部门或最终用户收取网络费用。

准确地规划增长。NetFlow 数据可帮助您跟踪网络流量，以确保有足够的带宽容量并为网络增长进行最佳规划。这些信息使得在端口数量、路由设备和其他需求方面规划升级变得更容易、更高效。

加强网络安全保护。将网络行为的变化可视化，这有助于您的 SecOps 团队发现可能表明网络安全漏洞的异常情况。在发生安全事件后，这些数据也有助于回放历史记录，更好地了解发生的情况，以及如何避免未来出现此类情况。

改善用户体验。收集和分析流量数据对诊断和排除网络速度减慢、网络流量激增、带宽过度使用和其他网络问题大有帮助。

几分钟内即可获得洞察分析。许多网络设备已经安装了 NetFlow 或 IPFIX 支持，因此可以轻松激活并将生成的数据指向 NetFlow 收集器。如果您还没有安装NetFlow，那么它的安装成本相对较低。一般不需要额外的硬件。下载 NetFlow 后，您只需几分钟即可轻松配置几个网络节点，为您的网络添加 IP 流量分析功能，且无需停机。

NetFlow 会使用大量带宽，这可能会影响其监控的设备的性能。由于这种限制，一些团队选择对 IP 数据包进行采样，例如使用占用带宽更少的 sFlow。然而，缺点是抽样可能会使 IT 团队无法发现关键的网络安全或性能问题。

此外，NetFlow 只能将结果转发给有限数量的人员或监控工具，而该数量通常少于对网络进行充分的管理和故障排除所需的数量。这种局限性意味着，能看到网络运行情况相关信息的人太少，而且他们能够看到的这方面信息也太少，因此无法及时了解最新问题和威胁。

另一个限制是，虽然 NetFlow 可以识别发送或接收流量的设备，但它不查看登录信息，因此无法提供用户身份。

在 NetFlow 出现之前，IT 专业人员使用简单网络管理协议 (SNMP) 来分析和监控网络流量。SNMP 目前仍被广泛用于网络监控。

与 NetFlow 不同，SNMP 会监控内存、CPU 和存储使用情况以及设备温度。SNMP 收集信息用于标准网络监控和容量规划。SNMP 与 NetFlow 的不同之处在于，它用于实时网络管理。但是，SNMP 不提供有关带宽使用情况的详细信息，例如网络的用途和用户。

NetFlow 使用推送技术，因此您可以在信息可用时立即看到信息，而 SNMP 通常按设定的时间间隔使用拉取技术。

NetFlow 提供的信息量大于 SNMP，因此可以更有效地进行网络流量深入分析和调试。NetFlow 更适合使用 IP 流量的高流量复杂网络，也更适合用于检测异常。它能够提供更详细的应用程序和网络流量来源信息，并且可扩展性更高，更适合用于性能分析和网络流量管理。

虽然 SNMP 和 NetFlow 都很有用，但在为您的网络选择最佳选项时，必须考虑二者的差异。