netstream

netstream提供报文统计功能，它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息，并针对不同的流信息进行独立的数据统计。

下面的图2-1描述了一个基本的netstream数据采集和分析过程。

netstream数据采集和分析过程如下：

(1)交换机把采集到的流的详细信息定期发送给nsc（netstream collector，网络流数据收集器）；

(2)信息由nsc初步处理后，发送给nda（netstream data analyzer，网络流数据分析器）；

(3)nda对数据进行分析，分析结果用于计费和网络规划等。

2.1.2 netstream的实现

启用netstream功能后，流信息首先被存储在netstream缓冲区中进行统计，当到达设定的老化（aging）时间后，系统就将流统计信息通过netstream统计输出报文（即，流信息经过udp封装以后产生的报文）发送给nsc，并将该流信息删除。

(1)进行老化的方式有两种：

按活跃时间老化：当一条流的活跃时间（从流创建起到当前时间）超过所配置的时限时，流信息将被老化。

按不活跃时间老化：当一条流的不活跃时间（从最后一个报文流过到当前时间）超过所配置的时限时，流信息将被老化。

(2)netstream使用三种版本（版本5、版本8和版本9）的netstream统计输出报文来发送老化后的流信息。

如果用户配置了netstream聚合方式，系统将按照配置的聚合规则对流信息进行分类、合并后生成聚合信息，再通过netstream统计输出报文发送。

目前系统只支持配置为版本5或版本9：

如果配置为版本5：系统将通过版本5的netstream统计输出报文发送老化后的普通流信息，使用版本8的netstream统计输出报文发送聚合后的流信息（为简化描述，下文中不再单独出现版本8的报文描述，对于提到的版本5的报文，都请按照此原则为准）；