display ip netstream export 

根据你的描述，NetStream稳定运行约5小时后突然停止发送数据，这是一个典型的故障特征。其根本原因很可能与数据缓存“溢出”、流表被强制老化，或定时器等参数配置不当有关。我们可以参照以下步骤，有序地进行排查。

 第一步：快速定位——检查NetStream运行状态

首先执行两条命令以判断故障点：

• 如果条目数持续为 0 或很低：说明设备可能已不再产生新的流记录，问题可能出在流量采样或功能开关上，建议接着看第三步。

• 如果条目数很多，接近或达到了max-entry的上限：说明缓存已满，新流无法被记录。可以执行 display ip netstream export进一步确认：

  display ip netstream export重点关注failed number (failed number)字段：

  • 如果括号内的值大于 0：这直接说明有NetStream报文发送失败，这是需要解决的关键问题。

  • 如果failed计数的括号内外都有数值：表示成功和失败的报文都存在，通常是网络抖动或服务器处理能力不足所致。

   快速测试： 如果确认缓存可能已满，可以立即执行reset ip netstream statistics命令强制老化并输出所有流记录。如果执行后服务器能收到数据，则基本可以断定是缓存或老化策略的问题。

 第二步：重点排查——深入分析原因并优化配置

1. 检查是否存在功能互斥或冲突

确保NetStream功能没有因为资源争用而意外中断。在设备上检查NetStream、sFlow、镜像、MOD (Mirror On Drop)、INT等带采样的功能是否同时开启。这些功能两两互斥，如果同时开启可能导致NetStream异常。

网络流量高峰可能导致流表短时间内被占满。可以适当增加缓存大小，优化老化时间：

• 增加最大缓存条目：

  [H3C] ip netstream max-entry 200000此命令将最大流条目数增加至200,000，防止因缓存满而停止统计。默认值可能较小。

• 配置强制老化策略：

  [H3C] ip netstream max-entry aging当缓存达到上限时，强制老化部分旧条目，避免新流无法被记录。

• 优化老化定时器：

  [H3C] ip netstream timeout active 10 # 活跃老化时间，缺省30分钟[reference:10]

  [H3C] ip netstream timeout inactive 30 # 不活跃老化时间，缺省60秒[reference:11]

3. 检查采样率配置

采样率过高会遗漏短时突发流量，建议调整为较低的采样率，提高数据精度。

• 增加模板刷新频率：如果使用NetStream V9格式，可临时配置此命令，让模板信息发送更频繁，确保服务器能解析数据。

  [H3C] ip netstream export template refresh-rate packet 10验证完成后建议恢复为默认值。

• 选择合适的输出版本：V9版本基于模板，扩展性好，是目前的主流选择。如果服务器兼容性有问题，可以临时切换到V5。

  [H3C] ip netstream export version 9

5. 排查网络层连通性问题

• 检查路由与链路：用ping测试与NetStream服务器的连通性，并确保源地址和目的地址路由可达。

• 确认服务器端口：设备配置的输出目的UDP端口号必须与采集服务器监听的端口完全一致。

• 指定稳定的源IP：为避免接口Down后源IP变化，建议使用ip netstream export source ip指定Loopback接口IP作为稳定源地址。

6. 检查服务器侧状态

• 防火墙与安全组：确保服务器侧防火墙没有拦截NetStream报文。

• 业务进程状态：检查服务器上NetStream采集服务（如NTA的receiver进程）是否正常运行，观察接收目录下是否有新文件生成。

• 抓包分析：在服务器上用tcpdump或Wireshark抓包，确认是否能收到来自设备的NetStream数据包。

7. 检查设备硬件与软件状态

• 设备时间：用display clock检查设备时间是否准确，避免因时间错误导致日志分析混乱。

• CPU使用率：用display cpu-usage检查CPU负载，过高可能导致无法处理NetStream报文。

• 关注已知Bug：在H3C官网查询此型号的Release Notes，看是否有与NetStream相关的已知Bug。在采取其他措施前，也建议尝试重启NetStream进程来快速恢复服务：

  [H3C] undo ip netstream enable

  [H3C] ip netstream enable

 第三步：整体排查思路总结

总的来说，在处理此类NetStream故障时，建议按照以下优先级进行排查：

1. 检查互斥功能：确保无功能冲突。

2. 检查设备状态：执行display ip netstream cache（检查是否存在流缓存）和display ip netstream export（检查是否存在发送失败）。

3. 验证网络层：检查ping、端口、路由和源IP配置。

4. 优化性能参数：调整max-entry、aging、timeout和sampler。

H3C S9850 NetStream 跑 5 小时断流排查

一、快速查看基础状态

二、逐项排查定位

1. 流缓存耗尽（最常见）

2. 模板报文超时失效

3. 源 / 目的端口、路由震荡

• 查看接口丢包、错包、协议邻居状态
• 固定导出源接口 IP，避免接口漂移

4. 接收服务器侧限流 / 磁盘满

• 服务器查看端口流量、磁盘使用率、NetFlow 监听进程状态
• 检查防火墙 / 安全策略是否拦截长时间会话

5. 设备版本兼容性 BUG

• 核对当前版本，升级至官网稳定补丁版本
• 临时规避：定时低峰重启 NetStream 进程

6. 采样规则、ACL 匹配异常

• 核对采样 ACL 是否被策略修改、时段调度关闭
• 全局接口统一采样策略，避免局部接口异常拖累全局

7. 设备 CPU / 内存满载

三、临时恢复 & 长效优化命令

四、复盘判断点

1. 断流后 reset 缓存立刻恢复→缓存溢出问题
2. 重启设备恢复，几小时又断→版本 BUG / 内存泄漏
3. 服务器侧无接收报文→设备导出链路 / 模板问题
4. 设备有流表但不上报→老化、模板、资源瓶颈