Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.

Version: Beschreibt die genutzte Version des übermittelten Flow Record Formats. Aktuell wird im Versionsfeld nur die Nummer 9 verwendet.

Count: Definiert die Gesamtzahl der im Export-Paket übermittelten Records (Summe der Optionen FlowSet Records, Template FlowSet Records und Data FlowSet Records).

sysUpTime: Definiert den Zeitraum (in Millisekunden) seit dem letzten Boot-Prozess.

UNIX Secs: Definiert den Zeitpunkt (in Sekunden seit 0000 UTC 1970), zu dem das Export-Paket den Exporter verlässt.

Sequence Number: Inkrementelle Sequenzzähler aller vom jeweiligen Exporter übermittelten Export-Pakete. Anhand dieses Wertes wird der Verlust von Paketen festgestellt.

Source ID: Dieser 32 Bit lange Wert beschreibt die Observation Domain des betreffenden Exporter. NetFlow Collectors nutzen diesen Wert in Kombination mit der Source-IP-Adresse und dem Source-ID-Feld zur Unterscheidung unterschiedlicher Export-Informationen, die vom gleichen Exporter übermittelt werden.

NetFlow wird in der Regel auf der Basis von Schnittstellen aktiviert. Dies reduziert die Belastung der Router-Komponenten beziehungsweise die Menge der zu übertragenden NetFlow-Datensätze. In der Regel werden von NetFlow alle über eine IP-Schnittstelle (in Richtung Ausgang) empfangenen Pakete gesammelt und verarbeitet. Mit Hilfe von IP-Filtern lässt sich die zu übermittelnde Datenmenge weiter verringern und entscheiden, welche Informationen weitergeleitet werden. Einige NetFlow-Implementierungen erlauben auch die Beobachtung der Pakete auf der Egress-IP-Schnittstelle. Dieses Verfahren ist jedoch mit Vorsicht zu nutzen, denn die NetFlow-Informationen könnten unter Umständen mehrfach gezählt werden.Mit Hilfe von NetFlow lassen sich alle IP-Pakete auf einer bestimmten Schnittstelle sammeln. In Umgebungen mit besonders hohen Lastaufkommen sind jedoch erhebliche Verarbeitungsressourcen vonnöten. Aus diesem Grund hat Cisco in seiner 12000-Serie ein sogenanntes Sampled NetFlow eingeführt und dieses danach in allen Highend-Routern implementiert. Dieses Stichprobenverfahren verarbeitet nur noch ein Paket aus n-Paketen. Der Wert n beschreibt dabei die Abtastrate, die vom Administrator bei der Router-Konfiguration bestimmt wird.Ein Export-Paket besteht immer aus einem Paket Header, an den ein oder mehrere FlowSets angehängt werden. Die FlowSets wiederum können aus den drei Typen Template, Data oder Options Template bestehen. Der Packet Header selbst besteht aus folgenden Feldern:Ein Template FlowSet kann beispielsweise diese Informationstypen übermitteln:Der Wert "Length" definiert ferner die Gesamtlänge des FlowSets. Jeder neu generierte Template Record wird außerdem mit einer innerhalb der betreffenden Observation Domain universellen Template ID versehen. Die Template IDs 0 bis 255 sind für Template FlowSets und Options FlowSets reserviert.Data FlowSets nutzen die Template IDs 256 bis 65535. Der "Field Count" gibt nicht zuletzt die Anzahl der Felder in diesem Template an. Da ein Template FlowSet in der Regel mehrere Template-Datensätze enthält, ermöglicht dieses Feld einem Kollektor, das Ende eines Templates und den Anfang des nächsten Templates zu bestimmen.Auch jedem Data FlowSet wird eine FlowSet ID zugeordnet. Die FlowSet ID entspricht der Template ID. Anhand der FlowSet ID identifiziert ein Kollektor den zugehörigen Template-Datensatz und kann anschließend die entsprechenden Flow-Datensätze aus dem FlowSet decodieren. Der Rest des Daten-FlowSet (Record N bis Field Value M) besteht aus einer Sammlung von Flow Data Record(s), die jeweils über eine Reihe von definierten Werten verfügen. Die Art und Länge dieser Felder werden im Template Record über die Werte FlowSet ID oder Template ID bestimmt. Der NetFlow-Sender sorgt mit Hilfe der Padding-Bytes, dass das nachfolgende FlowSet immer mit einer an 4 Byte-Werten ausgerichteten ID beginnt.