Netflow на всех интерфейсах?

Я читаю Netflow и играю в PacketTracer. В настоящее время я использую входящий /исходящий IP-поток только на моем маршрутизаторе gigabitEthernet. Сколько накладных расходов требуется, Netflow должен быть измерен на всех интерфейсах даже на коммутационных магистралях?

3 голоса | спросил watez 4 Maypm16 2016, 19:52:34

1 ответ


4

Если у вас только один маршрутизатор, вы прекрасно контролируете оба направления или оба интерфейса. Если вы контролируете оба направления и оба интерфейса, вы будете отслеживать дублированные потоки.

Решение о том, где и в каком направлении контролировать, становится немного более возбужденным, когда задействовано больше Router. Возьмем этот простой пример:

Host X <----> Router A <----> Router B <----> Host Y

Пакет, идущий от хоста X к хосту Y, пересечет четыре общих интерфейса:

  • Левый интерфейс Ingress Router A
  • Правильный интерфейс Egress Router.
  • Левый интерфейс Ingress Router B
  • Правый интерфейс Egress Router.

Если вы захватывали каждый из этих пунктов, вы получали бы те же данные потока, которые дублировались бы четыре раза. Это, очевидно, не очень полезно.

Простое решение состоит в том, чтобы просто выбрать один из них для мониторинга, но тогда как из обратного трафика? Представьте, что пакет, идущий от хоста Y к хосту X, этот пакет также пересечет четыре возможных (что я буду называть) точек захвата Netflow:

  • Исходный интерфейс Ingress Router B
  • Линейный интерфейс Egress Router.
  • Интерфейс Ingress Router A
  • Выходной интерфейс Egress Router.

Очевидно, что захват во всех четырех этих точках также создаст 4-кратное дублирование трафика. Таким образом, захват одного из них будет достаточным.

Общей практикой является развертывание netflow на входных интерфейсах всех ваших маршрутизаторов доступа. Что в приведенном выше примере (опять же, упрощенном) означало бы создание захвата в этих точках:

  • Левый интерфейс Ingress Router A
  • Исходный интерфейс Ingress Router B

Это учитывает выбор из одной из четырех точек захвата сетевого потока для покрытия прямого трафика (хост X до узла Y), а также обратный трафик (хост-код Y-хост-Х) без захвата дублированного трафика в процессе.

Это говорит о том, что большинство производственных сетей значительно сложнее (и справедливо!), чем то, что изображено выше. Но вы все равно можете применить ту же концепцию, чтобы определить лучшее место для настройки ваших захватов Netflow с целью захвата как прямого, так и обратного трафика, а не дублирования каких-либо пакетов.

ответил Eddie 5 Mayam16 2016, 01:30:14

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132