我正在做一个可能需要 Nexus 5600 的项目。这些交换机支持采样 netflow 而不是 netflow。我想使用 netflow 进行统计并在某些特定时间分析流量。
采样的网络流量是否适合在我遇到问题时观看流量?我的意思是,由于它仅导出一定速率的数据包,因此我无法很好地了解真正通过的流量?
我在使用 netflow 3000 设备采样的 netflow 和 SPAN 之间犹豫不决。这也可能是一个很好的解决方案,但交换机只能处理 2 个会话?
你有什么建议吗?
Netflow 与采样的 Netflow
网络工程
监控
网络流量
镜子
cisco-nexus-5k
cisco-nexus
2021-07-05 10:57:40
2个回答
对于流量分析,经常使用采样 netflow,因为 1:1 采样(或非采样)netflow 对发送流数据的路由器和流接收器来说都是相当大的负担。我见过的大多数设置使用的采样率从 1:100 到 1:4000 不等(取决于网络的大小和推送的流量),并且它们完全能够进行流量异常分析(DDoS 检测)甚至客户使用计费。
抽样有助于确定顶级应用程序。如果您需要进行调查,您可能需要 100% 的流量收集。当您查看来自特定主机的流量并且采样不足或根本没有采样时,这可能会令人沮丧。如果您只是想克服所有流量利用率,请使用 SNMP(如果它是一种选择)。将采样流量相乘以确定实际利用率将给出一些非常疯狂的结果,这些结果通常会产生误导。
我读到 5000 只能对 NetFlow 进行采样,这意味着您可能没有很多选择。如果您还没有购买开关,您可能需要考虑一个可以避免采样的开关。