NetFlow以UDP数据报（datagram）的形式，采用下面两种格式的中的一种来输出信息流：“版本1”（version 1）的格式是最初发布的格式；“版本5”（version 5）格式是后来的一种加强格式，它增加了边界网关协议（BGP-Border Gateway Protocol）的AS信息和信息流的序列号。而版本2到版本4并没有发布。
在版本1和版本5格式中，数据报由一个头标信息、一个或多个信息流记录构成。头标信息的第一个字段包含输出数据的版本号。通常情况下，接收程序不管接收哪种格式，它都会分配一个足够大的缓冲区，以便不管哪种格式的数据报到来，都可以容纳下可能的最大的数据报。此外，它使用头标信息中的版本信息来决定如何理解这些数据报。头标信息中的第二个字段是数据报中记录的个数，可以用它来对记录进行索引。
不管在版本1格式中还是在版本5格式中，其中的所有字段都是按照网络字节的次序排列的。表7-1和表7-2描述了版本1的数据格式，表7-3 和表7-4描述了版本5的数据格式。
Cisco建议接收程序检查数据报，用以保证数据是从有效的NetFlow源头来的。Cisco建议你首先检查数据报的大小，确信它最起码有足够长，可以容下版本字段和计数字段。接下来，你应该证实版本是有效的（为1或5），而且接收到的字节数足以容纳头标信息和对信息流记录进行计数（当然要使用合适的版本）。
因为NetFlow输出采用“用户数据报协议”（UDP——User DatagramProtocol）来发送输出的数据报，所以可能会丢失数据。为了确定信息流输出信息是否丢失了，版本5的头标信息格式中包含了一个信息流序列号。这个序列号等于前一个序列号加上刚刚过去的数据报中信息流的个数。当接收到一个新的数据报后，接收程序可以从头标信息中的序列号中提取出的预期的序列号，这样即可以获取丢失信息流的数目。表7-1列出了版本1头标信息格式中的字节。
表7-1 版本1头标信息格式

表7-2列出了版本1信息流记录格式中的字节。
表7-2 版本1信息流记录格式

未用的（即内容为0的）字节。
表7-3 版本5头标信息格式

表7-4列出了版本5信息流记录格式中的字节。
表7-4 版本5信息流记录格式