我应该看看 NetFlow 来完成，还是端口镜像，或者其他什么东西？

NetFlow无疑是此类带宽记帐中最常见的。这正是它的设计目的。它将为您提供有关界面正在做什么的准确视图，这就是它在边界处最理想的原因。

端口镜像不是我用于客户流量统计的东西。不久前我使用端口镜像实现了一些东西，因为我们删除了我们的InfiniStreams并希望保留该功能，我发现只有当您想要进行完整的数据包捕获 (FPC) 时才可以使用它，以防万一网站外部的问题。如果您打算扩展到 300Mbps，您将需要一个非常优雅的设置，该设置能够支持高达 300Mbps 的写入、足够的存储空间和足够的 CPU/RAM 来理解所有这些数据。

如果您绝对必须使用 SPAN 风格的解决方案，我至少会记录每个数据包的前几个字节以降低服务器利用率。如果不需要FPC，就不要实现FPC。

我的设置已经变成了一个“取证追踪服务器”，或者更现实地说，一个流量转储位置，以防有人恶意闯入。如果联邦调查局来询问“谁/什么/哪里/何时/如何/为什么”，我将能够回答（......有点）。

至于分析，只需使用一些可以可视化 NetFlow 数据的开源工具即可。 的NTOP / ntopng ¹是想到作为一个全功能于一身的解决方案的第一件事情，但也有吨那里。维基百科列出了一些较大的名字（大多数免费/开源）。

我来自我们目前在棒上使用 Linux 路由器的环境。现在，我已经将 IPTables 配置为根据每个客户的 src/dst IP 地址来存储计数器，并将 perl 脚本放在一起以每 5 分钟收集一次这些计数器。然后对数据进行解析，然后将其存储在数据库中。

你的 Linux-foo 值得称赞。不幸的是，这不是最理想的解决方案，正如您可能知道的那样，并且会迫使您不断开发自己的应用程序。你显然是在正确的轨道上；您来这里是为了找出更具可扩展性的解决方案。

¹_{尽管 ntop 在每个 Linux 存储库中仍然可用，但 ntopng 的开发已经停止并继续。}