Internet/Intranet的部署和使用正在迅猛成長，并且導致了企業和消費者計算模式的重大轉變。市場已經提出了對流量統計和管理技術的需求，并要求這一技術能有效提供記錄網絡和應用資源利用率所必須的信息。為此，Cisco系統公司在其IOS交換體系結構中引入一種新的交換技術——NetFlow交換。NetFlow交換在虛擬局域網（VLAN）技術的基礎上，在同一個平臺上提供了交換和路由兩種功能。

Cisco路由和交換平臺中的NetFlow服務可提供內置在快速、最優和CEF交換路徑之中的網絡數據流統計功能。NetFlow服務可利用網絡中數據流創造價值，并可在最大限度減小對路由器/交換機性能的影響的前提下提供詳細的數據流統計信息。特別是作為其交換功能的一部分，它能夠為企業提供網絡的容量規劃、趨勢分析以及數據優先級等方面的信息，這些統計信息包括用戶、協議、端口和服務類型等。NetFlow交換可以部署在網絡中的任何位置，作為對現有尋徑基礎設施的擴展。NetFlow還可對訪問列表進行有效的處理，進而實現數據包過濾和安全性服務。NetFlow數據可被用于多種多樣的用途，如網絡管理與規劃、企業財務、基于利用率的計費以及針對市場營銷目的的數據倉庫和數據采集等。

一、NetFlow交換及其特點

NetFlow交換在網絡層實現高性能的交換，它提供一個高效的機制，可以用來處理安全訪問列表，從而不必像其他交換方式那樣，為完成同樣的任務而付出很高的性能代價。NetFlow交換識別主機之間的網絡流量，并在提供相關服務的同時，對網絡流量中的分組進行交換。在傳統的網絡交換中，每一個輸入分組是單獨處理的，路由器為每個分組進行一系列獨立的查詢，利用一系列函數去檢查訪問列表、獲取記賬數據、交換該分組。然后將它發送（即交換）到目的地。這些查詢包括確定是否采用安全訪問過濾，以及更新網絡統計計賬記錄。而在NetFlow交換中，查詢過程僅對分組流中的第一個分組進行，當一個網絡流被識別并確定了與其相關的服務后，那么后面所有的分組都作為該信息流的一部分，在面向連接的基礎上進行處理，這樣就繞過了訪問列表的檢查，進而依次對分組進行交換和獲取統計信息。

NetFlow交換中要創建一個信息流高速緩存，里面包含對所有活動信息流進行交換和訪問列表檢查所需要的信息，利用標準的快速交換路徑先處理信息流中的第一個分組，這樣就生成了NetFlow高速緩存，這樣每個信息流都與一個即將到來的接口端口號和要發出的接口端口號相關聯，并且有一個特定的安全訪問權限和加密策略。高速緩存中還包含用于數據流統計的條目。隨著后面分組的交換，這些條目也不斷地更新。NetFlow高速緩存被創建后，那些被標識為屬于現有的一個信息流的分組即可以依據高速緩存信息被交換，從而繞過了安全訪問列表檢查。對于所有活動信息流，在NetFlow高速緩存中保留相應的信息。

對分組進行交換，并且一個任務接一個任務地按順序為分組提供服務。這種流線型處理分組的方式提高了網絡服務的能力，提高了Cisco IOS有關安全性、服務質量（QoS）和網絡流量計賬的服務性能。同時，NetFlow交換提供了以每個用戶和每個應用（即會話）為基礎的更有效的服務。

二、NetFlow的數據格式

NetFlow以UDP數據報文的形式輸出信息流，它有2種格式: （1）版本1格式。這是最初發布的格式; （2）版本5格式。這是后來發布的一種加強格式，它增加了邊界網關協議（BGP）的自治系統（AS）信息和信息流的序列號。

在版本1和版本5 格式中，數據報文由一個頭標信息、一個或多個信息流記錄構成。通常情況下，接收程序不管接收哪種格式，它都會分配一個足夠大的緩沖區，以便數據報文到來時，可以容納下最大的數據。此外，它使用頭標信息中的版本信息來決定如何理解這些數據報文。頭標信息中的第二個字段是數據報文中記錄的個數，可以用它來對記錄進行索引。

因為NetFlow輸出采用UDP協議來發送輸出的數據報文，所以可能會丟失數據。為了確定信息流輸出信息是否丟失，版本5的頭標信息格式中包含了一個信息流序列號。這個序列號等于前一個序列號加上剛剛過去的數據報文中信息流的個數。當接收到一個新的數據報文后，接收程序可以從頭標信息中的序列號中提取出預期的序列號，這樣即可以獲取丟失信息流的數目。