我们有一台路由器,需要使用 NetFlow 进行监控。路由器非常重要,因此我们不允许在路由器本身上启用 Netflow。相反,它将启用端口镜像,以便它可以将流量镜像到另一台网络设备。
我们现在有两个选择:
a)使用 Linux 服务器上的软件 Netflow 探测器(例如 nProbe)将镜像流量转换为 Netflow
b) 购买另一台路由器,并在另一台路由器上启用 Netflow,以将镜像流量协调到 Netflow 中。
我们知道我们可以做到(a)
问题是:可以做到(b)吗?
(a) 和 (b) 哪一个更有效?
答案1
购买另一台路由器是行不通的,因为路由器通常只会为转发流量生成 Netflow 记录。由于您只是希望它查看流量而不实际转发任何内容,因此这行不通。
使用软件探测器可能有效,但请记住,镜像流量不包含流量本身以外的任何信息。Netflow 可以包含接口信息(入站/出站接口)、路由数据(nexthop、ASN 等)和其他有用的信息,而软件探测器仅通过查看流量无法了解这些信息。
如果您只需要进行一些基本的流量统计,软件探测可能就足够了,但这实际上取决于您的使用情况。
答案2
您是否考虑过使用网络分接头像 Ixia 的 TAP 产品而不是端口镜像?
TAP 是放置在两个网络设备之间的被动分流设备,提供监控连接。TAP 复制所有流量并将其转发到监控设备,该设备以内联方式接收所有流量,包括错误。
网络 TAP 和端口镜像之间的主要区别是:
TAP 捕获线路上的所有内容,包括错误,在端口镜像中这些数据包将被丢弃。
TAP 不受带宽饱和的影响。
TAP 安装简单,端口镜像需要工程师干预。
TAP 更安全,无法被黑客入侵,但端口镜像很容易受到攻击。
端口镜像是同时捕获多个端口上的流量的好方法。
端口镜像更便宜。