Jump to content
Калькуляторы

Настройка sflow Правильные параметры на коммутаторах.

Уважаемый All, а помогите просветится в правильной настройке Sflow на коммутаторах.

 

В данный момент юзаю brocade 6610 и procure 5412, в качестве сборщика nfsen + sfcapd.

Трафика пару гигабит.

 

Брокад:

sFlow version: 5

sFlow services are enabled.

 

sFlow agent IP address: *

Collector IP *, UDP 6343

UDP source port: 8888 (Default)

Polling interval is 10 seconds.

Configured default sampling rate: 1 per 2000 packets.

Actual default sampling rate: 1 per 2000 packets.

The maximum sFlow sample size: 128.

sFlow exporting cpu-traffic is disabled.

4022417948 UDP packets exported

4253959189 sFlow flow samples collected.

sFlow ports: ethe 1/3/1 to 1/3/2

Module Sampling Rates

---------------------

Slot 3 configured rate=2000, actual rate=2000

Port Sampling Rates

 

Трафик более менее, но срет пакетами жестко. Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал.

The maximum sFlow sample size: 128. изминение на 1300 приводит к 95 процентной загрузке CPU на коммутаторе.

 

Смотрел сюда:

http://blog.sflow.com/2009/06/sampling-rates.html

 

также на сколько читал: Polling interval is 10 seconds.

то есть инфа по каждому порту будет сбрасываться каждые 5ть секунд, если бы портов было 5ть в мониторинге, то каждый порт обрабатывался каждые 2е секунды.

 

 

нужно более менеее подтянуть данные параметры, может кто имел более глобальное представление как это выкручивать.

 

 

 

А вот с procurve все сложнее, там есть drop на Samples

Port | Sampling Dropped | Polling

| Enabled Rate Header Samples | Enabled Interval

----- + ------- -------- ------ ---------- + ------- --------

Trk1 Yes(1) 2000 128 -518602347 Yes(1) 20

 

Трафика тоже от 1Гб до 2х

 

В общем интересует опыт people в данном отношении.

Share this post


Link to post
Share on other sites

Спасибо, но не одна из этих ссылок все таки не открывает подробностей внутреней работы и того как максимально приблизить снятие трафика к реалиям интерфейса.

А также какие оптимальные значения должны быть.

Share this post


Link to post
Share on other sites

Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал.
в общем случае - никак. у свитчей оно однозначно подразумевает семплинк, а это каждый N-ый пакет. Соответственно в статистике будет отображаться только значительные потоки.

трафика у вас не много, может эти два гигабита смиррорить на тазик с ng_netflow и снять 1:1 ?

Share this post


Link to post
Share on other sites

Да проблема когда дос лупит, там далеко не все варит этот трафик.

Сейчас все таки procurve показывает максимально приблеженные к реальности, а вот brocade это не любит явно.

Share this post


Link to post
Share on other sites

На D-Link'ах на доступе кто-нибудь использует sFlow? Какие параметры ставите?

И главное, почему в дефолтовых настройках сервер удаляется через 400 секунд? То есть постоянное использование хоть и предусмотрено (infinity), но не рекомендуется?

Share this post


Link to post
Share on other sites

Сделал такие настройки:

enable sflow
create sflow analyzer_server 1 owner Pandora collectoraddress 10.200.201.181 timeout infinite
create sflow counter_poller ports all analyzer_server_id 1 interval 20
create sflow flow_sampler ports  1-24 analyzer_server_id 1 rate 2 tx_rate 2 maxheadersize 128

Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке.

 

На доступе безопасно включать на длительное время? На агрегации от netflow некоторым железкам плохеет, а sflow не пробовали еще.

circ_mesh_tp.png

Share this post


Link to post
Share on other sites

Некуда приземлить столько десяток. :) Плюс у нас почти все сервера виртуальные, а в облаке это делать:

1) Страшно.

2) ХЗ как.

:)

 

DDoS, в принципе, видим через netflow с бордера.

 

p.s. Кстати, не любая железка может миррорить десятки без ущерба для себя. Для СОРМ пришлось использовать оптические делители.

Share this post


Link to post
Share on other sites

Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке.

 

Можете сгенерировать пару разных картинок в хорошем качестве?

И подскажите какой программой-скриптом Вы это делали?

Спасибо.

Share this post


Link to post
Share on other sites

Картинки сделал в Pandora FMS. Я эту систему мониторинга сейчас тестирую (нужна карта GIS), увидел, что умеет NetFlow/sFlow отображать, собрал чуть чуть трафика и отрисовал.

Но вообще мне фильтры там не очень нравятся, многие вещи непонятно как сделать.

sf1.png

sf2.png

sf3.png

sf4.png

sf5.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.