在網(wǎng)絡(luò)管理應(yīng)用中，NetFlow交換的作用越來越重要，其主要特點就是能夠在同一個平臺上，提供交換和路由兩種功能。Internet/Intranet的部署和使用正在迅猛成長，并且導(dǎo)致了企業(yè)和消費者計算模式的重大轉(zhuǎn)變。市場已經(jīng)提出了對流量統(tǒng)計和管理技術(shù)的需求，并要求這一技術(shù)能有效提供記錄網(wǎng)絡(luò)和應(yīng)用資源利用率所必須的信息。

為此，Cisco系統(tǒng)公司在其IOS交換體系結(jié)構(gòu)中引入一種新的交換技術(shù)——NetFlow交換。NetFlow交換在虛擬局域網(wǎng)（VLAN）技術(shù)的基礎(chǔ)上，在同一個平臺上提供了交換和路由兩種功能。

Cisco路由和交換平臺中的NetFlow服務(wù)可提供內(nèi)置在快速、最優(yōu)和CEF交換路徑之中的網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計功能。NetFlow服務(wù)可利用網(wǎng)絡(luò)中數(shù)據(jù)流創(chuàng)造價值，并可在最大限度減小對路由器/交換機性能的影響的前提下提供詳細的數(shù)據(jù)流統(tǒng)計信息。特別是作為其交換機功能的一部分，它能夠為企業(yè)提供網(wǎng)絡(luò)的容量規(guī)劃、趨勢分析以及數(shù)據(jù)優(yōu)先級等方面的信息，這些統(tǒng)計信息包括用戶、協(xié)議、端口和服務(wù)類型等。NetFlow交換可以部署在網(wǎng)絡(luò)中的任何位置，作為對現(xiàn)有尋徑基礎(chǔ)設(shè)施的擴展。NetFlow還可對訪問列表進行有效的處理，進而實現(xiàn)數(shù)據(jù)包過濾和安全性服務(wù)。NetFlow數(shù)據(jù)可被用于多種多樣的用途，如網(wǎng)絡(luò)管理與規(guī)劃、企業(yè)財務(wù)、基于利用率的計費以及針對市場營銷目的的數(shù)據(jù)倉庫和數(shù)據(jù)采集等。

一、NetFlow交換及其特點

NetFlow交換在網(wǎng)絡(luò)層實現(xiàn)高性能的交換，它提供一個高效的機制，可以用來處理安全訪問列表，從而不必像其他交換方式那樣，為完成同樣的任務(wù)而付出很高的性能代價。NetFlow交換識別主機之間的網(wǎng)絡(luò)流量，并在提供相關(guān)服務(wù)的同時，對網(wǎng)絡(luò)流量中的分組進行交換。在傳統(tǒng)的網(wǎng)絡(luò)交換中，每一個輸入分組是單獨處理的，路由器為每個分組進行一系列獨立的查詢，利用一系列函數(shù)去檢查訪問列表、獲取記賬數(shù)據(jù)、交換該分組。然后將它發(fā)送（即交換）到目的地。這些查詢包括確定是否采用安全訪問過濾，以及更新網(wǎng)絡(luò)統(tǒng)計計賬記錄。而在NetFlow交換中，查詢過程僅對分組流中的第一個分組進行，當(dāng)一個網(wǎng)絡(luò)流被識別并確定了與其相關(guān)的服務(wù)后，那么后面所有的分組都作為該信息流的一部分，在面向連接的基礎(chǔ)上進行處理，這樣就繞過了訪問列表的檢查，進而依次對分組進行交換和獲取統(tǒng)計信息。

NetFlow交換中要創(chuàng)建一個信息流高速緩存，里面包含對所有活動信息流進行交換和訪問列表檢查所需要的信息，利用標(biāo)準(zhǔn)的快速交換路徑先處理信息流中的第一個分組，這樣就生成了NetFlow高速緩存，這樣每個信息流都與一個即將到來的接口端口號和要發(fā)出的接口端口號相關(guān)聯(lián)，并且有一個特定的安全訪問權(quán)限和加密策略。高速緩存中還包含用于數(shù)據(jù)流統(tǒng)計的條目。隨著后面分組的交換，這些條目也不斷地更新。NetFlow高速緩存被創(chuàng)建后，那些被標(biāo)識為屬于現(xiàn)有的一個信息流的分組即可以依據(jù)高速緩存信息被交換，從而繞過了安全訪問列表檢查。對于所有活動信息流，在NetFlow高速緩存中保留相應(yīng)的信息。

對分組進行交換，并且一個任務(wù)接一個任務(wù)地按順序為分組提供服務(wù)。這種流線型處理分組的方式提高了網(wǎng)絡(luò)服務(wù)的能力，提高了Cisco IOS有關(guān)安全性、服務(wù)質(zhì)量（QoS）和網(wǎng)絡(luò)流量計賬的服務(wù)性能。同時，NetFlow交換提供了以每個用戶和每個應(yīng)用（即會話）為基礎(chǔ)的更有效的服務(wù)。

二、NetFlow的數(shù)據(jù)格式

NetFlow以UDP數(shù)據(jù)報文的形式輸出信息流，它有2種格式: （1）版本1格式。這是最初發(fā)布的格式; （2）版本5格式。這是后來發(fā)布的一種加強格式，它增加了邊界網(wǎng)關(guān)協(xié)議（BGP）的自治系統(tǒng)（AS）信息和信息流的序列號。

在版本1和版本5 格式中，數(shù)據(jù)報文由一個頭標(biāo)信息、一個或多個信息流記錄構(gòu)成。通常情況下，接收程序不管接收哪種格式，它都會分配一個足夠大的緩沖區(qū)，以便數(shù)據(jù)報文到來時，可以容納下最大的數(shù)據(jù)。此外，它使用頭標(biāo)信息中的版本信息來決定如何理解這些數(shù)據(jù)報文。頭標(biāo)信息中的第二個字段是數(shù)據(jù)報文中記錄的個數(shù)，可以用它來對記錄進行索引。

因為NetFlow輸出采用UDP協(xié)議來發(fā)送輸出的數(shù)據(jù)報文，所以可能會丟失數(shù)據(jù)。為了確定信息流輸出信息是否丟失，版本5的頭標(biāo)信息格式中包含了一個信息流序列號。這個序列號等于前一個序列號加上剛剛過去的數(shù)據(jù)報文中信息流的個數(shù)。當(dāng)接收到一個新的數(shù)據(jù)報文后，接收程序可以從頭標(biāo)信息中的序列號中提取出預(yù)期的序列號，這樣即可以獲取丟失信息流的數(shù)目。

三、配置NetFlow交換

在一個路由器中，NetFlow交換涉及到標(biāo)識分組信息流、執(zhí)行交換和處理訪問列表。它不涉及路由器之間的任何連接設(shè)置協(xié)議，也不涉及對其他任何網(wǎng)絡(luò)設(shè)備或端點工作站的連接設(shè)置協(xié)議。它也不要求對分組本身或其他任何網(wǎng)絡(luò)設(shè)備進行任何外部修改。所以，NetFlow交換對現(xiàn)有的網(wǎng)絡(luò)，包括端點工作站、應(yīng)用軟件和網(wǎng)絡(luò)設(shè)備（如局域網(wǎng)交換機）是完全透明的。此外，因為NetFlow交換在每個互聯(lián)的網(wǎng)絡(luò)設(shè)備中獨立地進行，所以并不需要在網(wǎng)絡(luò)中的每個路由器中都操作它，網(wǎng)絡(luò)規(guī)劃人員可以在路由器/接口的基礎(chǔ)上有選擇地激活NetFlow交換（和NetFlow數(shù)據(jù)輸出），這樣就可以在特定的網(wǎng)絡(luò)位置上進行數(shù)據(jù)流交換、控制和記賬。