Создание высокой доступности коллектор Netflow
Я в настоящее время работаю над заменой нашего существующего коллектора Netflow, который является EOL с новым. Цель состоит в том, чтобы поддерживать приблизительно 4 миллиона потоков/минута и иметь возможности HA. Ниже моя мысль начальной буквы:
Сетевые устройства-> Подсистема балансировки нагрузки F5-> 3 сервера Linux, выполняющие коллектор->, Передают Netflow другим устройствам по мере необходимости
С этой установкой я могу легко вырастить сумму потоков на конце сервера, пока F5 может поддерживать его. Я также не должен волновать приблизительно 1 сервер, понижающийся, поскольку F5 вынул бы его из цикла.
Моя основная озабоченность по поводу этого является серверами, которым передают эти 3 сервера. Если бы я передаю 20 устройств X.X.X.X, я не предположил бы, что были бы любые проблемы о бэкенде, поскольку каждый пакет UDP будет содержать несколько потоков, и 1 поток не пересечет несколько пакетов. Мысли?
Кроме того, я - планирование или использующий samplicator или инструменты потока в качестве коллектора/средства передачи Netflow. Первоначально я хотел нам nfdump, но это, кажется, не имеет опцию имитировать исходный IP-адрес. Есть ли какие-либо другие инструменты, Вы рекомендовали бы, чтобы я использовал вместо этого?
Заранее спасибо.
Относительно вашего вопроса: каждый пакет UDP будет содержать несколько потоков, и один поток не будет проходить через несколько пакетов.
Ответ: длительный поток может быть разбит на несколько дейтаграмм (пакетов ). Кроме того, некоторые устройства экспорта с большим объемным потоком (например, IPFIX) будут выполнять циклический экспорт в несколько коллекторов. Внешний интерфейс распределенного решения сбора NetFlow должен иметь возможность объединять потоки между несколькими сборщиками в один отчет.
Кстати: когда мы тестировали экспорт F5 еще в феврале 2014 года , это не так. не предоставляет octetDeltaCount, который не работает в большинстве решений для отчетности. Возможно, они это добавили.
Это поможет?
Джейк