当前的流探测器(使用例如 IPFIX、netFlow v5/9、sFlow)能够监视至少由元组 < 源 IP、源端口、IP 协议、目标 IP、目标端口、源接口、目标接口>定义的流。但在我看来,这个流定义可能会消耗探测 CPU(即使我们使用流量采样)和探测<->收集器带宽
所以问题是:
- ISP和数据中心使用什么样的配置?他们是否使用流量聚合(源-目的地 IP/网络)作为流量定义?如果是这样,子网大小是多少?
- 听说一般/最小报告周期(向收集器发送流量记录的间隔)是5分钟。这是真的吗 ?是不是少了?
IP 流监控的最佳实践
网络工程
网络服务商
监控
最佳实践
净流
2022-02-24 04:57:44
1个回答
ISP和数据中心使用什么样的配置?
这取决于。有时您只需计算接口上的字节数并使用 netflow/sflow 进行(一些)详细分析。
他们是否使用流量聚合(源-目的地 IP/网络)作为流量定义?
IMO 最好的选择是按客户端端口号聚合。每个网页打开都会生成十几个具有相同 src/dst IP、相同 dst 端口(例如 80)但有一堆客户端 IP 的流。清除这些客户端端口可以减少约 10 倍的流量(根据我的经验),而不会损失太多。
如果是这样,子网大小是多少?
这取决于您使用流程的目的。有时您想知道每个 IP 流量配置文件,有时您可能会使用 AS 前缀列表进行聚合,因为您只需要知道源/目标 AS 编号...
听说一般/最小报告周期(向收集器发送流量记录的间隔)是5分钟。这是真的吗 ?是不是少了?
这取决于。问题太笼统了...