MX 시리즈 라우터 또는 NFX250을 사용하여 버전 9 플로우 데이터 레코드를 로그 수집기로 내보내기 개요

버전 9 플로우 템플릿에는 사전 정의된 형식이 있습니다. 내보내기 패킷은 패킷 헤더로 이어서 하나 이상의 FlowSet 필드로 구성됩니다. FlowSet 필드는 가능한 세 가지 유형(템플릿, 데이터 또는 옵션 템플릿)이 될 수 있습니다. 템플릿 플로우 세트는 데이터 플로우 세트(또는 플로우 기록)에 있는 필드를 설명합니다. 각 데이터 플로우 세트에는 동일한 템플릿 ID를 가진 하나 이상의 플로우의 값 또는 통계가 포함됩니다. 인터리브 NetFlow 버전 9 내보내기 패킷에는 패킷 헤더, 템플릿 플로우 세트 및 데이터 플로우 세트 필드가 포함되어 있습니다. 템플릿 FlowSet 필드는 NAT 항목 생성 또는 할당된 NAT 항목의 릴리스와 같은 각 이벤트를 의미하며, Data FlowSet 필드는 템플릿 플로우 세트(또는 이벤트 유형)가 연결된 NAT 세션을 나타냅니다. 예를 들어, 네트워크 주소 변환(NAT) 주소 입력 생성, NAT 풀에서 주소 고갈, NAT 항목 삭제 또는 릴리스가 발생하는 경우, 인터리브 버전 9 내보내기 패킷에는 패킷 헤더, NAT 주소 생성을 위한 템플릿 FlowSet 필드 1개, 주소 생성이 수행되는 두 세션에 대한 데이터 플로우 세트 필드 2개, NAT 주소 삭제를 위한 또 다른 TemplateSet 필드가 포함됩니다. 주소 삭제 이벤트가 발생하는 두 세션에 대한 두 개의 데이터 FlowSet 필드와 NAT 풀 소비에 대한 다른 TemplateSet 필드가 구성된 풀 수를 초과했습니다.

다음은 내보내기 패킷에서 발생할 수 있는 가능한 조합입니다.

• 인터리빙 템플릿 및 데이터 FlowSets로 구성된 내보내기 패킷 - 수집기 디바이스는 이러한 패킷에 정의된 템플릿 ID가 동일한 패킷 내의 데이터 FlowSets와 특정 관계를 가지고 있다고 가정해서는 안 됩니다. 수집기는 항상 수신된 템플릿을 캐시하고 템플릿 캐시를 검사하여 적절한 템플릿 ID를 확인하여 데이터 기록을 해석해야 합니다.

• 전적으로 데이터 FlowSets로 구성된 내보내기 패킷 - 적절한 템플릿 ID가 정의되고 수집기 디바이스로 전송된 후 대부분의 내보내기 패킷은 데이터 FlowSets로만 구성됩니다.

• 전적으로 템플릿 FlowSets로 구성된 내보내기 패킷 - 이 경우는 예외이지만 템플릿 레코드만 포함하는 패킷을 수신할 수 있습니다. 일반적으로 템플릿은 데이터 플로우 세트에 추가됩니다. 그러나 어떤 경우에는 템플릿만 전송됩니다. 라우터가 먼저 부팅하거나 재부팅하면 가능한 한 빨리 수집기 디바이스와 동기화하려고 시도합니다. 라우터는 컬렉터 디바이스가 후속 데이터 FlowSets를 구문 분석하기에 충분한 정보를 가지고 있도록 가속 속도로 템플릿 FlowSets를 보낼 수 있습니다. 또한 템플릿 레코드의 수명이 제한되어 있으며 주기적으로 새로 고쳐야 합니다. 템플릿에 대한 새로 고침 간격이 발생하고 수집기 디바이스로 전송해야 하는 적절한 데이터 FlowSet이 없으면 템플릿 FlowSets로만 구성된 내보내기 패킷이 전송됩니다.