Megas Posted July 23, 2014 · Report post Уважаемый All, а помогите просветится в правильной настройке Sflow на коммутаторах. В данный момент юзаю brocade 6610 и procure 5412, в качестве сборщика nfsen + sfcapd. Трафика пару гигабит. Брокад: sFlow version: 5sFlow services are enabled. sFlow agent IP address: * Collector IP *, UDP 6343 UDP source port: 8888 (Default) Polling interval is 10 seconds. Configured default sampling rate: 1 per 2000 packets. Actual default sampling rate: 1 per 2000 packets. The maximum sFlow sample size: 128. sFlow exporting cpu-traffic is disabled. 4022417948 UDP packets exported 4253959189 sFlow flow samples collected. sFlow ports: ethe 1/3/1 to 1/3/2 Module Sampling Rates --------------------- Slot 3 configured rate=2000, actual rate=2000 Port Sampling Rates Трафик более менее, но срет пакетами жестко. Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал. The maximum sFlow sample size: 128. изминение на 1300 приводит к 95 процентной загрузке CPU на коммутаторе. Смотрел сюда: http://blog.sflow.com/2009/06/sampling-rates.html также на сколько читал: Polling interval is 10 seconds. то есть инфа по каждому порту будет сбрасываться каждые 5ть секунд, если бы портов было 5ть в мониторинге, то каждый порт обрабатывался каждые 2е секунды. нужно более менеее подтянуть данные параметры, может кто имел более глобальное представление как это выкручивать. А вот с procurve все сложнее, там есть drop на Samples Port | Sampling Dropped | Polling | Enabled Rate Header Samples | Enabled Interval ----- + ------- -------- ------ ---------- + ------- -------- Trk1 Yes(1) 2000 128 -518602347 Yes(1) 20 Трафика тоже от 1Гб до 2х В общем интересует опыт people в данном отношении. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
0pl0pl Posted July 23, 2014 (edited) · Report post http://ftp.dlink.ru/pub/Trainings/SwitchWhitePapers/sFlow.pdf http://www.inmon.com/technology/sflowTools.php http://www.hilik.org.ua/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-sflow-%D0%BD%D0%B0-%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%82%D0%BE%D1%80%D0%B0%D1%85-extremenetworks-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C/ Edited July 23, 2014 by 0pl0pl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted July 23, 2014 · Report post Спасибо, но не одна из этих ссылок все таки не открывает подробностей внутреней работы и того как максимально приблизить снятие трафика к реалиям интерфейса. А также какие оптимальные значения должны быть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted July 28, 2014 · Report post Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал.в общем случае - никак. у свитчей оно однозначно подразумевает семплинк, а это каждый N-ый пакет. Соответственно в статистике будет отображаться только значительные потоки.трафика у вас не много, может эти два гигабита смиррорить на тазик с ng_netflow и снять 1:1 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted July 28, 2014 · Report post Да проблема когда дос лупит, там далеко не все варит этот трафик. Сейчас все таки procurve показывает максимально приблеженные к реальности, а вот brocade это не любит явно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 6, 2015 · Report post На D-Link'ах на доступе кто-нибудь использует sFlow? Какие параметры ставите? И главное, почему в дефолтовых настройках сервер удаляется через 400 секунд? То есть постоянное использование хоть и предусмотрено (infinity), но не рекомендуется? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 7, 2015 · Report post Сделал такие настройки: enable sflow create sflow analyzer_server 1 owner Pandora collectoraddress 10.200.201.181 timeout infinite create sflow counter_poller ports all analyzer_server_id 1 interval 20 create sflow flow_sampler ports 1-24 analyzer_server_id 1 rate 2 tx_rate 2 maxheadersize 128 Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке. На доступе безопасно включать на длительное время? На агрегации от netflow некоторым железкам плохеет, а sflow не пробовали еще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 7, 2015 · Report post А почему не SPAN? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 7, 2015 · Report post А почему не SPAN? Поподробнее, а то я начал изучать тему только вчера. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted July 7, 2015 · Report post Ну зеркало :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 8, 2015 · Report post Некуда приземлить столько десяток. :) Плюс у нас почти все сервера виртуальные, а в облаке это делать: 1) Страшно. 2) ХЗ как. :) DDoS, в принципе, видим через netflow с бордера. p.s. Кстати, не любая железка может миррорить десятки без ущерба для себя. Для СОРМ пришлось использовать оптические делители. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted July 9, 2015 · Report post Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке. Можете сгенерировать пару разных картинок в хорошем качестве? И подскажите какой программой-скриптом Вы это делали? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted July 9, 2015 · Report post Картинки сделал в Pandora FMS. Я эту систему мониторинга сейчас тестирую (нужна карта GIS), увидел, что умеет NetFlow/sFlow отображать, собрал чуть чуть трафика и отрисовал. Но вообще мне фильтры там не очень нравятся, многие вещи непонятно как сделать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...