Создание коллектора Netflow высокой доступности
В настоящее время я работаю над заменой нашего существующего сборщика Netflow, который является EOL, новым. Цель состоит в том, чтобы поддерживать около 4 миллионов потоков в минуту и иметь возможности HA. Ниже моя первоначальная мысль:
Сетевые устройства -> F5 Load Balancer -> 3 сервера Linux с коллектором -> Переадресация Netflow на другие устройства по мере необходимости
С помощью этой настройки я могу легко увеличить количество потоков на стороне сервера, если F5 может поддерживать его. Мне также не нужно беспокоиться о том, что 1 сервер выйдет из строя, так как F5 выведет его из цикла.
Мое главное беспокойство об этом - серверы, к которым перенаправляют 3 сервера. Если я перенаправлю 20 устройств в XXXX, я бы не предположил, что возникнут какие-либо проблемы с бэкэндом, поскольку каждый пакет UDP будет содержать несколько потоков, а один поток не будет проходить через несколько пакетов. Мысли?
Кроме того, я планирую использовать сэмпликатор или инструменты потока в качестве сборщика / перенаправителя Netflow. Первоначально я хотел использовать nfdump, но, похоже, у него нет возможности подделать IP-адрес источника. Есть ли другие инструменты, которые вы бы порекомендовали использовать вместо этого?
Заранее спасибо.
1 ответ
Относительно вашего вопроса: каждый пакет UDP будет содержать несколько потоков, и один поток не будет проходить через несколько пакетов.
Ответ: долгоживущий поток может быть разбит на несколько дейтаграмм (пакетов). Кроме того, некоторые устройства экспорта с большими объемами потока (например, IPFIX) будут округлять процесс экспорта на несколько сборщиков. Внешний интерфейс распределенного решения для сбора NetFlow должен иметь возможность связывать потоки между несколькими сборщиками в один отчет.
Кстати, когда мы тестировали экспорт F5 еще в феврале 2014 года, он не предоставил octetDeltaCount, который нарушает большинство решений для создания отчетов. Возможно, они добавили это.
Это помогает?
Джейк