我目前正在努力用新的 Netflow 收集器替换我们现有的 EOL 收集器。目标是支持大约 400 万个流量/分钟并具有 HA 功能。以下是我的初步想法:
网络设备 --> F5 负载均衡器 --> 3 台运行收集器的 Linux 服务器 --> 根据需要将 Netflow 转发到其他设备
使用此设置,只要 F5 能够支持,我就可以轻松增加服务器端的流量。我也不必担心 1 台服务器发生故障,因为 F5 会将其从循环中移除。
我主要担心的是这 3 台服务器转发到的服务器。如果我将 20 台设备转发到 XXXX,我认为后端不会出现任何问题,因为每个 UDP 数据包将包含多个流,而 1 个流不会遍历多个数据包。您觉得如何?
此外,我计划使用 samplicator 或 flow-tools 作为 Netflow 收集器/转发器。最初我想使用 nfdump,但它似乎没有欺骗源 IP 地址的选项。您推荐我使用其他工具吗?
提前致谢。
答案1
关于您的问题:每个 UDP 数据包将包含多个流,并且 1 个流不会遍历多个数据包。
答案:一个长期存在的流可以分解成多个数据报(数据包)。此外,一些高容量流量(即 IPFIX)导出设备将循环导出到多个收集器。分布式 NetFlow 收集解决方案的前端应该能够将多个收集器中的流量重新绑定到单个报告中。
顺便说一句:当我们在 2014 年 2 月测试了 F5 导出,它没有提供 octetDeltaCount,这破坏了大多数报告解决方案。也许他们已经添加了它。
这有帮助吗?
杰克