NetFlow 收集器通过接收和整理 NetFlow 更新来工作，并且通常会保留一个本地连接表来镜像路由器端的连接表。字节（或八位字节）和数据包的计数器由路由器发送，路由器配置为密切关注数据流并在定期更新中汇总数据量；这与包含每个数据包详细信息的数据包捕获不同，并且更加紧凑。

每侧的表使用发送 IP、接收 IP、协议和（对于适当的协议）发送端口和接收端口的显式元组。这足以识别通信，当字节计数器和数据包计数器作为数据报的一部分被接收时，它们可以以合理的准确性与正确的对话相匹配。

还有一个隐含的时间因素：这些表的大小是有限的，最旧的条目（最近更新最少的条目）将定期推出，以便为仍在进行的对话记录腾出空间。如果另一个数据包稍后与相同的主机/协议/端口匹配，则它会被标记为新对话。

考虑到 Packet Tracer 的使用，您可能正在使用 Cisco 设备，因此您应该查看如何在这些平台上配置 Flexible NetFlow。请注意，其中一些字段被标记为“匹配”和一些“收集”。“匹配”字段是必须的，您会看到它们与我提到的识别元组匹配。其他的是“收集”，您将从该示例中看到，还有许多其他字段可以与字节和数据包计数一起发送以进行分析——这意味着可以发送很多潜在的组合。在使用NetFlow v9的 Flexible NetFlow 格式中，会定期发送模板数据报，以告诉您的 NetFlow 收集器如何读取其他数据报中发送的实际数据。

在查看该配置时要意识到的重要一点是，不能保证“每 X 秒更新一次”方面——更新率根据路由器的繁忙程度以及 UDP 数据报是否被丢弃或延迟而有所不同。因此，如果您尝试进行实时分析，字节和数据包计数器分析将受制于数据实际进入的时间；当您的所有数据源事后报告并填写其字节/数据包计数时，您会发现回想起来（甚至几分钟后）它更可靠，并且您正在查看总计整个谈话。