NetFlow 是流量数据统计使用最广泛的标准，它是由思科公司开发，用于监控和记录传入或传出接口的所有流量，NetFlow 分析其收集的流量数据，以提供流量和流量的可见性，并跟踪流量的来源、去向以及随时产生的流量。记录的信息可用于使用情况监视、异常检测和各种其他网络管理任务。

Cisco NetFlow 通过将网络流量记录到设备缓存中，实现极其精细和准确的带宽监控。由于网络流量具有流性质，因此内置在缓存中的 NetFlow 记帐数据表征了正在转发的 IP 流量。

路由器和交换机导出的Cisco NetFlow数据记录包括过期的流量，以及详细的流量统计信息，可用于监控带宽和网络流量分析，这些流包含有关源和目标 IP 地址的信息，以及端到端会话中使用的协议和端口。

为什么使用 NetFlow

NetFlow 数据可用于多个网络管理任务，例如：

• 监控：监控您的网络，跟踪进出流量，并识别排名靠前的用户。
• 容量规划：跟踪网络使用情况以评估未来的带宽需求。
• 安全分析：检测网络行为的变化以识别网络异常，将此数据用作有价值的取证工具，以了解和重播安全事件的历史记录，以便企业的安全团队可以从中学习。
• 故障排除：诊断网络速度变慢、带宽占用和流量峰值并对其进行故障排除，使用报告工具快速了解网络痛点。
• QoS 参数验证：确保为每个服务类别（CoS）分配适当的带宽，以免关键 CoS 预订量不足。

NetFlow 是如何工作的

Cisco NetFlow包括以下组件：

• IP 流：IP 流是一组具有一组特定 IP 数据包属性的数据包，转发的交换机或路由器中的每个数据包都包含以下信息：
• IP 源
• IP 目标
• 源端口
• 目标端口
• 服务等级
• 第 3 层协议类型
• 接口
• NetFlow 缓存：NetFlow 缓存是一个压缩信息数据库，该数据库源自监控和分组 IP 数据包后生成的数据。
• NetFlow 收集器
  流被分组到导出流数据报中，并使用用户数据报协议 （UDP） 导出，流收集器接收和处理该协议。
  有两种方法可以访问 NetFlow 数据：使用 CLI 或 NetFlow 收集器。
  NetFlow 收集器或 NetFlow 流量分析器是一种报表服务器，用于收集和分析流量数据，以便更轻松地进行故障排除。它要么是硬件设备，要么是软件程序。

NetFlow 在流量监控方面的优势

在众所周知的查找带宽消耗的方法（如流量和数据包捕获）中，NetFlow 现在是一种广泛使用的技术，用于有效的带宽监控和流量分析。作为思科设计的协议，NetFlow 允许网络管理员通过五个数据点（例如源和目标 IP 地址、源和目标端口以及协议）全面了解网络流量。

与深度数据包检测和主动监控等其他监控方法相比，NetFlow 监控工具可以为管理员提供深入的见解，同时消除安装和资源分配方面的紧迫性。

统一的NetFlow监控工具

NetFlow 监控通过显示流量的来源、路径和目的地，深入了解通过网络的流量，通过深度网络可见性，管理员可以找到应用程序的带宽使用情况，找到哪个元素有故障，为应用程序正确分配带宽，并防止停机。

NetFlow Analyzer是一个NetFlow监控系统，旨在解决组织网络基础设施中的性能和安全问题，管理员可以按数量、速度和利用率监控带宽使用情况和流量详细信息，并查看业务关键型应用程序是否有足够的带宽来不间断地运行。

作为Cisco NetFlow监控工具，还从Cisco NetFlow V5、V9和V10等网络协议系统收集流量数据，使用 NetFlow 监控器，可以找到使用最多的协议、查看一天中的时间、查找最终用户并优化带宽管理。

• 应用级流量监控
• 基于地理位置的流量监控
• IP 地址分组
• 非流量出口设备监控
• 高级威胁检测
• 广泛的流量技术支持

应用级流量监控

使用 NetFlow Analyzer，管理员可以找到第4层和第7层应用的带宽使用情况，还能了解使用动态端口（如视频站点或具有Cisco NBAR和Cisco AVC监控的社交媒体站点）的应用程序消耗的带宽，通过有关应用程序流量的详细报告，管理员可以分配或限制带宽使用。

基于地理位置的流量监控

在接口级别浏览源和目标 IP 地址及其地理位置。这可用于了解不属于组织位置的任何 IP 地址，以验证未经授权的流量的渗透。您还可以将报告导出为 PDF 和 CSV 文件。

IP 地址分组

根据部门、分支机构或位置对不同的 IP 地址、端口、协议和 DSCP 进行分组，并获取带宽使用趋势的累积报告。您还可以向下钻取以了解各个流量数据，并查看关键部门是否获得了足够的带宽。您的资源分配工作非常简单。由访客、操作员和管理员分配辅助功能角色，以确保易于管理，同时仍保持安全性。

非流量出口设备监控

使用 NetFlow Generator 将 NetFlow 监控范围扩展到组织中的非流支持设备，NetFlow Generator 从设备捕获原始数据，并将其转换为 NetFlow 数据包。因此，管理员可以按 IP 地址、应用程序、协议和对话查看带宽使用情况，还可以生成流量趋势报告。

高级威胁检测

使用高级安全分析模块（ASAM）跟踪有害流量，例如进入组织网络的零日威胁。ASAM 使用预定义的算法，并按严重程度按 Bad Src-Dst、Suspect flows、DDoS/Flash Crowd 等类别对问题进行分类。管理员可以根据需要配置算法，创建警报配置文件，并在任何可疑流量进入网络时收到通知。

广泛的流量技术支持

除了支持NetFlow外，还支持其他技术，如JFlow，sFlow，cflowd，NetStream，AppFlow等。因此，管理员可以按 IP 地址、应用程序、端口和协议收集流量信息，以查找哪个端点占用了带宽，并相应地优化或升级带宽。