流监控版本 5 格式输出字段
版本 5 数据包格式和字段的详细说明如下图和表所示:
| 字段 |
描述 |
注释 |
|---|---|---|
|
|
5 |
– |
|
|
协议数据单元 (PDU) 或数据包中的记录数 |
– |
|
|
自路由器启动以来经过的当前时间(以毫秒为单位) |
– |
|
|
自 1970 年 0000 UTC 以来的当前秒数 |
NTP同步时间;每项服务 PIC 上的时钟在机箱中的 PIC 之间都是自主的(200–400 毫秒抖动) |
|
|
自 0000 UTC 1970 以来的残差纳秒 |
有关 UNIX 秒数,请参阅上面的注释 |
|
|
接收的总流量的序列号 |
– |
|
|
用户配置的 8 位值 |
在其他供应商的设备上也称为 VIP 类型 |
|
|
用户配置的 8 位值 |
– |
| 字段 |
描述 |
注释 |
|---|---|---|
|
|
流的源 IP 地址 |
– |
|
|
流的目标 IP 地址 |
– |
|
|
转发流量的路由器的 IP 地址 |
– |
|
|
路由器接收流量的输入接口的 SNMP 索引值 |
动态插入,但被手册配置覆盖 |
|
|
路由器转发流量的输出接口的 SNMP 索引值 |
动态插入,但被手册配置覆盖 |
|
|
流中接收的数据包总数 |
– |
|
|
流中接收的总字节数 |
– |
|
|
流开始时的系统正常运行时间(以秒为单位) |
服务 PIC 接受流的系统正常运行时间 |
|
|
流结束时的系统正常运行时间(以秒为单位) |
服务 PIC 接受流的系统正常运行时间 |
|
|
源应用端口 |
– |
|
|
目标应用端口 |
ICMP 类型放置在高阶字节中,ICMP 类型代码放置在此字段的低阶字节中 |
|
|
流中设置的 TCP 标志 |
– |
|
|
IP 协议号 |
– |
|
|
IP 服务类型 |
– |
|
|
源地址的 AS 编号 |
如果 AS 信息可用,则动态插入 |
|
|
目标地址的 AS 编号 |
如果 AS 信息可用,则动态插入 |
|
|
源地址网络掩码长度 |
– |
|
|
目标地址网络掩码长度 |
– |
|
|
可用于确保最小数据包长度的字节数 |
– |
流量监控的有用公式包括:
-
start flow timestamp absolute = unixTime x 1000 –(sysUptime – start flow timestamp)
-
结束流时间戳绝对 = unixTime x 1000 –(sysUptime – 结束流时间戳)
注意:在导出版本 5 流导出流格式的 2 字节目标端口字段中,可以派生以下信息:
-
高阶字节 — ICMP 类型
-
低阶字节 — ICMP 类型代码
例如,如果 ICMP 类型为 3(二进制为 00000011),而 ICMP 类型代码为网络不可达(类型代码 0 或二进制为 00000000),则生成的目标端口字段值为 00000011 00000000(十进制数字为 768)。
有关 ICMP 类型和类型代码的详细信息,请参阅 RFC 792,https://www.ietf.org。