-1
我最近有一個問題,我的netflow分析儀報告的接口利用率超過100%。查看了pcap中的一些數據包後,我可以看到一些「流」似乎是重複的。您可以看到一個附加示例(IP信息清理),其中綠色的所有信息在兩個流之間是相同的,唯一的區別是以紅色突出顯示的兩個字段(填充和IP ToS)。附件是用於ICA會話的,但我也可以看到其他協議的相同行爲,所以它沒有特定的ICA。IPFIX/NetFlow v5重複ToS流
像這樣的netflow引擎兩次報告同一個流是否正常?如果是這樣,原因是什麼?根據下面的網址,填充字段被保留,應始終是零:
https://www.plixer.com/support/netflow-v5/
因此,這將僅保留IP ToS字段,但爲什麼會是這樣兩次報道?是否因爲數據包在通過設備上的ToS引擎之前和之後正在被記錄?這可能是設備上的錯誤配置,還是分析儀應該處理的事情?
道歉,我的netflow知識不是很深;我已經做了一些研究,但還沒有發現任何人報告過這一點。
