【问题标题】:How can I find out what NetFlow version my nfcapd is capturing?如何找出我的 nfcapd 正在捕获的 NetFlow 版本?
【发布时间】:2013-10-18 14:33:06
【问题描述】:

我的 NetFlow 是什么版本?

我有一个设备正在将 NetFlow 导出到我的 NetFlow 收集器。我的收藏家正在使用 nfcapd 进行收藏。我能找到的唯一信息是 nfcapd 将捕获不同的 NetFlow 版本"transparently"

我的网络设备没有告诉我它以什么版本导出流。我需要探索不同的 NetFlow 收集器,因此我试图了解我的需求。

我可以联系网络设备的供应商,但我有几个设备导出 NetFlow,所以我更愿意在收集器端检查这些流的版本。有没有办法用 nfsen/nfcapd/nfdump 工具做到这一点?我运气不好。

【问题讨论】:

    标签: netflow


    【解决方案1】:

    实际上可能只有两个版本:NetFlow v5 或 NetFlow v9(IPFIX 本质上是 v9)。版本号包含在数据报中,因此找出它正在导出的版本的最简单方法是嗅探Wireshark 之类的流量,它将流量列为CFLOW。每个数据报的前两个字节是版本号。

    【讨论】:

    • 这很有帮助。我不确定在哪里可以看到 CFLOW,但我确实去了“数据”并在前两个字节中看到了“00 09”。我在哪里可以看到 CFLOW 信息?
    • 既然您看到的是 NetFlow 9,您将需要足够长的跟踪来让模板数据报通过——这将告诉 Wireshark 如何解释其他数据报。 (“CFLOW”就是 Wireshark 对 NetFlow 的标签。不知道为什么。)
    • CFLOW 作为思科流?它最初来自思科。
    猜你喜欢
    • 1970-01-01
    • 2011-04-15
    • 2016-09-23
    • 2014-12-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多