Путаница в отношении данных Netflow
Я собираю данные из netflow с помощью nfcapd. Кроме того, мы отслеживаем все устройства для входящего и исходящего трафика.
Я запутался, когда данные отправляются мне по netflow.
Например,
Через 5 минут я получаю данные сетевого потока, которые дают сумму (no_of_bytes) по конкретному каналу (srcip,dstip,srcifindex,dstifindex) = 10 Кбайт.
В то время как "In traffic" дает 20K байтов, а "Out Traffic" дает 10K байтов (приблизительно).
Что это значит?
Мой вопрос: сумма, указанная данными netflow для конкретной ссылки, должна совпадать с тем, какой трафик на любом из портов ссылки?
1 ответ
Решение
После поиска некоторых ссылок Cisco я обнаружил, что Netflow учитывает только входящий трафик. Таким образом, сумма должна быть равна вне трафика.