它完全依赖于收集流量的软件。您需要查找软件供应商推荐的内容并相应地配置您的设备。如果它更高，您将获得报告完整流持续时间的流，而不是某些平台预期的 60 秒间隔。这会导致不正确的流量核算和一般的错误信息。对于较短的流量到期计时器，则相反。如果您找不到有关出口产品的任何信息，我建议您使用 60 秒，这是我的经验中最常见的。

所以，让我们再看一下这个问题。Cisco 和 Juniper 的活动流超时均为 1800 秒（30 分钟）。这意味着，如果一个流持续 15 分钟，您将获得所有数据、字节和数据包相加的流记录。如果您将流活动超时设置为 60 秒，您将获得 15 条流记录，总和相同，但分为 15 条具有不同时间戳的记录。

在一个大记录中：

1. 它只需要 1 个流记录 - 所以只需要存储一个数据点。
2. 尚不清楚该流记录中的数据传输速度究竟如何变化 - 开始时快，然后慢，还是什么？netflow 记录不包含该信息，因此它可能有一个“平坦”的信念，即数据流在流记录中发送的整个时间段内是恒定的，或者它可能只是将它放在最后时间戳。

如果将计时器设置为 60 秒，则：

1. 您将获得 15 条流记录 - 因此将 15 倍的数据存储在您的平台中
2. 您对传输率波动有更多的了解 - 换句话说，与其说您中午离开 DC 并于晚上 8 点到达波士顿，您会在途中获得时间戳 - 费城 2 点，纽约 5 点，等等.

我不确定我们是否可以说这种情况有最佳实践。这不是让您的 Netflow 软件正常工作的强制性参数。我是说这不是强制性的，因为我没有在我的 Cisco 设备上配置它，而且我的 Netflow 软件运行良好。无论如何，看看这个链接，他们更好地解释了这个问题：https://www.manageengine.com/products/netflow/help/index.html 它来自特定的制造商，但也许它像标准一样工作解释。