流监控版本 5 格式化输出字段

版本 5 数据包格式和字段的详细说明如下图和表所示：

图 1
表1
图 2
表2

图 1：版本 5 数据包标头格式 NetFlow version 9 packet header showing fields: Version, Count, sysUptime, UNIX seconds, UNIX nanoseconds, Flow sequence number, Engine type, Engine ID, and Reserved.

NetFlow version 9 packet header showing fields: Version, Count, sysUptime, UNIX seconds, UNIX nanoseconds, Flow sequence number, Engine type, Engine ID, and Reserved.

表 1：导出版本 5 数据包标头字段
田	描述	评论
`Version`	5	–
计数	协议数据单元（PDU）或数据包中的记录数	–
正常运行时间	自路由器启动以来经过的当前时间（以毫秒为单位）	–
UNIX 秒	自 1970 年 0000 UTC 以来的当前秒数	NTP同步时间;每个服务 PIC 上的时钟在机箱中的 PIC 之间是自主的（200-400 毫秒抖动）
UNIX 纳秒	自 1970 年 0000 UTC 以来的剩余纳秒数	请参阅上面的 UNIX 秒数注释
流序列号	接收的总流量的序列数	–
发动机类型	用户配置的 8 位值	在其他供应商的设备上也称为VIP型
引擎 ID	用户配置的 8 位值	–

图 2：版本 5 流导出流标头格式 NetFlow record structure for network monitoring; fields include source/destination IP, ports, packet count, and protocol type.

表 2：导出版本 5 流-导出流标头字段
田	描述	评论
源 IP 地址	流的源 IP 地址	–
目标 IP 地址	流的目标 IP 地址	–
下一跳 IP 地址	转发流量的路由器的 IP 地址	–
输入 ifIndex	路由器接收流量的输入接口的 SNMP 索引值	Junos OS 5.7 及更高版本 - 动态插入，但通过手动配置覆盖 Junos OS 5.5 版 - 手动设置 Junos OS 5.4 版 - 设置为零
输出 ifIndex	路由器转发流的输出接口的 SNMP 索引值	Junos OS 5.7 及更高版本 - 动态插入，但通过手动配置覆盖 Junos OS 5.5 版 - 手动设置 Junos OS 5.4 版 - 设置为零
包	流中接收的数据包总数	–
字节	流中接收的总字节数	–
流程开始时间	流程开始时的系统正常运行时间（以秒为单位）	服务的系统正常运行时间 PIC 接受流
流结束时间	系统正常运行时间（以秒为单位），在流程结束时	服务的系统正常运行时间 PIC 接受流
源端口	源应用程序端口	–
目标端口	目标应用端口	ICMP 类型放置在高阶字节中，ICMP 类型代码放置在此字段的低序字节中
TCP 标志	在流中设置的 TCP 标志	–
IP 协议	IP 协议编号	–
服务条款	IP 服务类型	–
源 AS	源地址的 AS 编号	Junos OS 5.7 及更高版本 — 如果 AS 信息可用，则动态插入
目标 AS	目标地址的 AS 编号	Junos OS 5.7 及更高版本 — 如果 AS 信息可用，则动态插入
源掩码长度	源地址网络掩码长度	–
固定面罩长度	目标地址网络掩码长度	–
填充	可用于确保最小数据包长度的字节数	–

用于流监控的有用公式包括：

启动流时间戳绝对值 = unixTime x 1000 –（sysUptime – 启动流时间戳）
结束流时间戳绝对值 = unixTime x 1000 –（sysUptime – 结束流时间戳）

注意：
在导出版本 5 流-导出流格式的 2 字节目标端口字段中，可以派生以下信息：
高阶字节—ICMP 类型
低位字节—ICMP 类型代码

例如，如果 ICMP 类型为 3（二进制00000011），而 ICMP 类型代码为网络不可访问（类型代码 0，或二进制为 00000000），则生成的目标端口字段值为 00000011 00000000（十进制为 768）。

有关 ICMP 类型和类型代码的详细信息，请参阅 http://www.ietf.org 上的 RFC 792。