Netflow简介<br /><br />       1. Netflow概念<br />       NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。 <br />       一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。<br />        2. Netflow数据采集<br />       针对路由器送出的Netflow数据，可以利用Netflow数据采集软件存储到服务器上，以便利用各种Netflow数据分析工具进行进一步的处理。<br /><br />       采集程序是被动接收NETFLOW包的，并且设定了一个采集率，<br />问题是：为什么要设定采集率？这个值要设定多少合适？为什么,也就是这个值对NETFLOW分析的精确率有什么影响。 <!--emo&:o--><img src='style_emoticons/default/ohmy.gif' border='0' style='vertical-align:middle' alt='ohmy.gif' /><!--endemo--> <br /><br />老老鼠快来看看啦 <!--emo&:haha:--><img src='style_emoticons/default/haha.gif' border='0' style='vertical-align:middle' alt='haha.gif' /><!--endemo-->

采集当然要设置采集频率了。。。不然机器都挂了。。。呵呵！<br /><br />对精确程度影响是肯定的 <!--emo&^_^--><img src='style_emoticons/default/happy.gif' border='0' style='vertical-align:middle' alt='happy.gif' /><!--endemo--><br /><br />netflow没研究。。。

我现在的理解是这样的:<br />假设a发送了一个包经过router到达b,router开通netflow后,把这个包的报头资料传送给目的服务器,也就是采集程序所在地,<br />如果我们设定采集率为1,那么采集程序收到第一个包的资料后,认为该流量为1,<br />当a发送第二个包经过router到达b,router虽然也也向采集程序发送了netflow资料,但是采集程序还是经过分析后认为是一样的,不对改包进行统计,流量为1<br /><br />以此类推...当我们设定的采集率越高,对流量的统计精确度越高,但是主机负荷将增加,相反采集率越低,统计精确度越低,主机负荷越低.... <!--emo&:)--><img src='style_emoticons/default/smile.gif' border='0' style='vertical-align:middle' alt='smile.gif' /><!--endemo-->

我对NETFLOW也没有研究，但是看你的介绍，我有这样的看法：<br /><br />采集数据肯定是要有一个较准确的频率的，这样不会进行过多的无必要的频繁采集，也不会露失应该采集的数据。<br /><br />至于这个平率设置为多少，我觉得要根据实际情况来确定，首先最好有一个触发器；因为NETFLOW的标准是在一个相同的数据流中只对第一个IP包进行封装，后边相同的就不做处理了，那么每个封装可以认为是一个频率，就是一个数据流，以这个频率进行采集，就可以完整的采集到相关数据并进行分析了，从而有效的节约主机资源支出。<br /><br />浅见如上 <!--emo&:blush:--><img src='style_emoticons/default/blush.gif' border='0' style='vertical-align:middle' alt='blush.gif' /><!--endemo-->