netstream提供报文统计功能，它根据报文的目的ip地址、目的端口号、源ip地址、源端口号、协议号和tos来区分流信息，并针对不同的流信息进行独立的数据统计。

下面的图2-1描述了一个基本的netstream数据采集和分析过程。

netstream数据采集和分析过程如下：

(1)交换机把采集到的流的详细信息定期发送给nsc（netstream collector，网络流数据收集器）；

(2)信息由nsc初步处理后，发送给nda（netstream data analyzer，网络流数据分析器）；

(3)nda对数据进行分析，分析结果用于计费和网络规划等。

2.1.2 netstream的实现

启用netstream功能后，流信息首先被存储在netstream缓冲区中进行统计，当到达设定的老化（aging）时间后，系统就将流统计信息通过netstream统计输出报文（即，流信息经过udp封装以后产生的报文）发送给nsc，并将该流信息删除。

(1)进行老化的方式有两种：

按活跃时间老化：当一条流的活跃时间（从流创建起到当前时间）超过所配置的时限时，流信息将被老化。

按不活跃时间老化：当一条流的不活跃时间（从最后一个报文流过到当前时间）超过所配置的时限时，流信息将被老化。

(2)netstream使用三种版本（版本5、版本8和版本9）的netstream统计输出报文来发送老化后的流信息。

如果用户配置了netstream聚合方式，系统将按照配置的聚合规则对流信息进行分类、合并后生成聚合信息，再通过netstream统计输出报文发送。

目前系统只支持配置为版本5或版本9：

如果配置为版本5：系统将通过版本5的netstream统计输出报文发送老化后的普通流信息，使用版本8的netstream统计输出报文发送聚合后的流信息（为简化描述，下文中不再单独出现版本8的报文描述，对于提到的版本5的报文，都请按照此原则为准）；

一个典型的NetStream 系统由NDE、NSC 和NDA 三部分组成：

1、NDE(NetStream Data Exporter，网络流量采样)。NDE负责对网络流进行采集和发送，提取符合条件的流进行统计，并将统计信息输出给NSC设备。输出前也可对数据进行一些处理，比如聚合。配置了NetStream 功能的设备在NetStream 系统中担当NDE 角色。

2、NSC(NetStream Collector，网络流量采集)。NSC通常为运行于Unix 或者Windows 上的一个应用程序，负责手机和存储来自NDE的报文，把统计数据收集到数据库中，可供NDA进行解析。NSC可以采集多个NDE设备输出的数据，对数据进行进一步的过滤和聚合。

(3)NDA(NetStream Data Analyzer，网络流量分析)。NDA是一个网络流量分析工具，它从数据库中提取统计数据，进行进一步的加工处理，生成报表，为各种业务提供依据(比如流量计费、网络规划，攻击监测)。通常，NDA具有图形化用户界面，使用户可以方便地获取、显示和分析收集到的数据。