netstream
netstream提供报文统计功能,它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息,并针对不同的流信息进行独立的数据统计。
下面的图2-1描述了一个基本的netstream数据采集和分析过程。
netstream数据采集和分析过程如下:
(1)交换机把采集到的流的详细信息定期发送给nsc(netstream collector,网络流数据收集器);
(2)信息由nsc初步处理后,发送给nda(netstream data analyzer,网络流数据分析器);
(3)nda对数据进行分析,分析结果用于计费和网络规划等。
2.1.2 netstream的实现
启用netstream功能后,流信息首先被存储在netstream缓冲区中进行统计,当到达设定的老化(aging)时间后,系统就将流统计信息通过netstream统计输出报文(即,流信息经过udp封装以后产生的报文)发送给nsc,并将该流信息删除。
(1)进行老化的方式有两种:
按活跃时间老化:当一条流的活跃时间(从流创建起到当前时间)超过所配置的时限时,流信息将被老化。
按不活跃时间老化:当一条流的不活跃时间(从最后一个报文流过到当前时间)超过所配置的时限时,流信息将被老化。
(2)netstream使用三种版本(版本5、版本8和版本9)的netstream统计输出报文来发送老化后的流信息。
如果用户配置了netstream聚合方式,系统将按照配置的聚合规则对流信息进行分类、合并后生成聚合信息,再通过netstream统计输出报文发送。
目前系统只支持配置为版本5或版本9:
如果配置为版本5:系统将通过版本5的netstream统计输出报文发送老化后的普通流信息,使用版本8的netstream统计输出报文发送聚合后的流信息(为简化描述,下文中不再单独出现版本8的报文描述,对于提到的版本5的报文,都请按照此原则为准);