目前,我们的数据中心有一台双网卡 Ubuntu 服务器,充当公共网络和 ISP 之间的网关路由器。我们在面向 ISP 的网卡上有一个 /30 交叉连接网络,并且三个网络中的每一个网络都有一个 IP 连接到我们面向内部的网卡。
我想使用 Cisco 的 Netflow 协议在此服务器上配置网络流量统计生成和收集。这将允许我确认我们的 ISP 的账单,以及细分我们网络内的数据流。
您会推荐哪些工具或软件包来被动捕获流量统计数据并记录下来以供日后处理?如果 Netflow 收集器具有 MySQL 数据存储连接器,则可获得额外加分。
答案1
正如其他人提到的,生成像 nprobe 或 fprobe 这样的工具就可以正常工作。
对于收集,我喜欢使用 nfdump/nfsen。它不使用 mysql,但使用起来非常方便,并且可以以机器可读的形式从中获取数据。
您可能不希望在 mysql 中保存完整的 netflow 数据,相反,运行聚合查询并将摘要加载到 mysql 中通常更有意义。在 mysql 中拥有 10,000,000 条记录并不好处理,但插入每日或每小时的(ip、总流量、总字节数、总数据包)摘要效果要好得多。
答案2
我知道阿古斯可以读取和处理netflow数据,并且它本身具备很好的网络流数据采集和处理能力。
我从未使用它来创建 netflow 数据,因为我通常只是用它来本地收集和处理数据,或者用它来获取各种流类型(tcpdump 捕获、netflows 等)并使用 argus 进行聚合、汇总和分析。