我们有一台需要使用NetFlow进行监控的路由器。 路由器是非常重要的,所以我们不允许在路由器上启用Netflow。 相反,它将启用端口镜像,以便它可以将stream量镜像到另一个networking设备。
我们现在有两个select:
a)在Linux服务器(如nProbe)上使用软件Netflow探测器将镜像stream量转换为Netflow
b)购买另一台路由器,并在另一台路由器上启用Netflow,以将镜像stream量整合到Netflow中。
我们知道我们可以做(a)
问题是:是否有可能做(b)?
(a)或(b)更有效?
购买另一台路由器将无法工作,因为路由器通常只会为转发的stream量生成Netflowlogging。 既然你只是希望它看到的stream量没有实际转发任何东西,这是行不通的。
使用软件探测器可能会有效,但请记住,镜像stream量不包含stream量本身以外的任何信息。 Netflow可以包含接口信息(入站/出站接口),路由数据(nexthop,ASN等)和其他有用的东西,软件探测无法知道的只是看stream量。
如果您只需要进行一些基本的stream量统计,软件探测就足够了,但是这取决于您的使用情况。
你有没有考虑过使用networkingTaps,比如Ixia的TAP产品而不是端口镜像?
TAP是位于两个networking设备之间的被动分离设备,并提供监视连接。 TAP复制所有stream量并将其转发给监控设备,设备会收到所有stream量,包括错误。
networkingTAP和端口镜像之间的主要区别是:
一个TAP捕获线上的所有内容,包括错误,在端口镜像中,这些数据包将被丢弃。
TAP不受带宽饱和影响。
TAP安装简单,端口镜像需要工程师介入。
TAP更安全,不能被黑客攻击,端口镜像也是脆弱的。
端口镜像是同时捕获多个端口上的stream量的好方法。
端口镜像更便宜。