0 31 +-------------------------------------------------+ | Enterprise |sFlow sample type| +-------------------------------------------------+ | Sample length (byte) | +-------------------------------------------------+ | Sequence number | +-------------------------------------------------+ | Source ID type | +-------------------------------------------------+ | Source ID Index | +-------------------------------------------------+ | Sampling rate | +-------------------------------------------------+ | Sample pool | +-------------------------------------------------+ | Dropped packets | +-------------------------------------------------+ | Input interface format | +-------------------------------------------------+ | Input interface value | +-------------------------------------------------+ | Output interface format | +-------------------------------------------------+ | Output interface value | +-------------------------------------------------+ | Flow record | +-------------------------------------------------+ | n records | | ... | +-------------------------------------------------+
Expanded Flow Sample报文头字段解释
字段
长度
含义
Enterprise
20比特
企业位。
sFlow sample type
12比特
sFlow报文类型,Expanded Flow Sample取值为3。
Sample length (byte)
4字节
除了Enterprise、sFlow sample type以及本字段以外的报文长度。
Sequence number
4字节
Expanded Flow Sample报文序列号。
Source ID type
4字节
数据源类型。
Source ID Index
4字节
数据源索引。
Sampling rate
4字节
采样率。
Sample pool
4字节
采样池内的报文数。
Dropped packets
4字节
sFlow缓存队列满后无法入队从而被抛弃的报文数。
Input interface format
4字节
入接口类型。
Input interface value
4字节
入接口值。
Output interface format
4字节
出接口类型。
Output interface value
4字节
出接口值。
Flow record
4字节
包含的记录数。
n records
-
Expanded Flow Sample报文数据信息。
Expanded Flow Sample报文数据信息
+-------------------------------------------------+ | Raw packet header | +-------------------------------------------------+ | Ethernet frame data | +-------------------------------------------------+ | IPv4 data | +-------------------------------------------------+ | IPv6 data | +-------------------------------------------------+ | Extended switch data | +-------------------------------------------------+ | Extended router data | +-------------------------------------------------+ | Extended gateway data | +-------------------------------------------------+
Expanded Flow Sample报文字段解释
字段
长度
含义
Raw packet header
72字节
截取原始报文全部或者一部分报文头,包括: Enterprise:企业位。Format:标识位。Flow data length (byte):除了Enterprise、Format以及本字段以外的报文长度。Header protocol:原始数据的MAC协议类型,置为1是Ethernet。Frame Length:原始报文总字节数。Payload removed:截取报文时被忽略的字节数。Original packet length:被截取报文的字节数。Header of sampled packet:截取的报文字段。
Ethernet frame data
32字节
针对Ethernet报文,解析报文的Ethernet头信息,包括: Enterprise、Format以及Flow data length (byte)。Length of MAC Packet:原始报文总字节数(包括Ethernet头及后续报文长度)。Source MAC Address:源MAC地址。Destination MAC Address:目的MAC地址。Ethernet Packet Type:Ethernet报文类型。
IPv4 data
40字节
针对IPv4报文,解析报文的IPv4头信息,包括: Enterprise、Format以及Flow data length (byte)。Length of IP Packet:原始报文总字节数(包括IP头及后续报文长度)。IP Protocol:协议类型,置为6是TCP,置为17是UDP。Source IP address:源IPv4地址。Destination IP address:目的IPv4地址。Source Port:源端口号。Destination Port:目的端口号。TCP Flag:TCP标志位。其它字段:服务类型。
针对路由转发的报文,记录报文的路由转发信息,包括: Enterprise、Format以及Flow data length (byte)。Next hop:下一跳IP地址。Next hop source mask:源IP地址的掩码长度。Next hop destination mask:目的IP地址的掩码长度。
No comments to display
No comments to display