我目前正在使用新的替代我们现有的Netflow收集器是EOL。 目标是支持大约400万stream量/分钟并具有HAfunction。 以下是我最初的想法:
networking设备 – > F5 Load Balancer – > 3个运行收集器的Linux服务器 – >根据需要将Netflow转发到其他设备
通过这种设置,只要F5可以支持,我就可以轻松地增加服务器端的stream量。 我也不必担心1台服务器会因为F5而退出循环。
我主要关心的是3台服务器转发的服务器。 如果我将20个设备转发到XXXX,我不会认为后端会有任何问题,因为每个UDP数据包将包含多个数据stream,而1个数据stream将不会遍历多个数据包。 思考?
另外,我正在计划使用samplicator或flow-tools作为Netflow收集器/转发器。 最初我想我们nfdump,但似乎没有欺骗源IP地址的选项。 有没有其他的工具,你会推荐我使用?
提前致谢。
关于你的问题:每个UDP包将包含多个stream,1个stream将不会遍历多个包。
答:长寿命的stream可以分解成多个数据报(数据包)。 此外,一些高容量stream量(即IPFIX)输出设备将循环出口到多个收集器。 分布式NetFlow收集解决scheme的前端应该能够将跨多个收集器的stream量集中到一个报告中。
BTW:当我们在2014年2月份testingF5出口时 ,并没有提供破坏大多数报告解决scheme的octetDeltaCount。 也许他们已经添加了它。
这有帮助吗?
可靠的人