Перейти к содержимому
Калькуляторы

Настройка sflow Правильные параметры на коммутаторах.

Уважаемый All, а помогите просветится в правильной настройке Sflow на коммутаторах.

 

В данный момент юзаю brocade 6610 и procure 5412, в качестве сборщика nfsen + sfcapd.

Трафика пару гигабит.

 

Брокад:

sFlow version: 5

sFlow services are enabled.

 

sFlow agent IP address: *

Collector IP *, UDP 6343

UDP source port: 8888 (Default)

Polling interval is 10 seconds.

Configured default sampling rate: 1 per 2000 packets.

Actual default sampling rate: 1 per 2000 packets.

The maximum sFlow sample size: 128.

sFlow exporting cpu-traffic is disabled.

4022417948 UDP packets exported

4253959189 sFlow flow samples collected.

sFlow ports: ethe 1/3/1 to 1/3/2

Module Sampling Rates

---------------------

Slot 3 configured rate=2000, actual rate=2000

Port Sampling Rates

 

Трафик более менее, но срет пакетами жестко. Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал.

The maximum sFlow sample size: 128. изминение на 1300 приводит к 95 процентной загрузке CPU на коммутаторе.

 

Смотрел сюда:

http://blog.sflow.com/2009/06/sampling-rates.html

 

также на сколько читал: Polling interval is 10 seconds.

то есть инфа по каждому порту будет сбрасываться каждые 5ть секунд, если бы портов было 5ть в мониторинге, то каждый порт обрабатывался каждые 2е секунды.

 

 

нужно более менеее подтянуть данные параметры, может кто имел более глобальное представление как это выкручивать.

 

 

 

А вот с procurve все сложнее, там есть drop на Samples

Port | Sampling Dropped | Polling

| Enabled Rate Header Samples | Enabled Interval

----- + ------- -------- ------ ---------- + ------- --------

Trk1 Yes(1) 2000 128 -518602347 Yes(1) 20

 

Трафика тоже от 1Гб до 2х

 

В общем интересует опыт people в данном отношении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, но не одна из этих ссылок все таки не открывает подробностей внутреней работы и того как максимально приблизить снятие трафика к реалиям интерфейса.

А также какие оптимальные значения должны быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересует как бы его подшаманить так чтобы он максимально приближенные к реальности данные выдавал.
в общем случае - никак. у свитчей оно однозначно подразумевает семплинк, а это каждый N-ый пакет. Соответственно в статистике будет отображаться только значительные потоки.

трафика у вас не много, может эти два гигабита смиррорить на тазик с ng_netflow и снять 1:1 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да проблема когда дос лупит, там далеко не все варит этот трафик.

Сейчас все таки procurve показывает максимально приблеженные к реальности, а вот brocade это не любит явно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На D-Link'ах на доступе кто-нибудь использует sFlow? Какие параметры ставите?

И главное, почему в дефолтовых настройках сервер удаляется через 400 секунд? То есть постоянное использование хоть и предусмотрено (infinity), но не рекомендуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал такие настройки:

enable sflow
create sflow analyzer_server 1 owner Pandora collectoraddress 10.200.201.181 timeout infinite
create sflow counter_poller ports all analyzer_server_id 1 interval 20
create sflow flow_sampler ports  1-24 analyzer_server_id 1 rate 2 tx_rate 2 maxheadersize 128

Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке.

 

На доступе безопасно включать на длительное время? На агрегации от netflow некоторым железкам плохеет, а sflow не пробовали еще.

circ_mesh_tp.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему не SPAN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему не SPAN?

Поподробнее, а то я начал изучать тему только вчера. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну зеркало :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Некуда приземлить столько десяток. :) Плюс у нас почти все сервера виртуальные, а в облаке это делать:

1) Страшно.

2) ХЗ как.

:)

 

DDoS, в принципе, видим через netflow с бордера.

 

p.s. Кстати, не любая железка может миррорить десятки без ущерба для себя. Для СОРМ пришлось использовать оптические делители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получил несколько забавных картинок. Вот одна из них, где отображены подключения SIP-клиентов техподдержки к АТС-ке.

 

Можете сгенерировать пару разных картинок в хорошем качестве?

И подскажите какой программой-скриптом Вы это делали?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Картинки сделал в Pandora FMS. Я эту систему мониторинга сейчас тестирую (нужна карта GIS), увидел, что умеет NetFlow/sFlow отображать, собрал чуть чуть трафика и отрисовал.

Но вообще мне фильтры там не очень нравятся, многие вещи непонятно как сделать.

sf1.png

sf2.png

sf3.png

sf4.png

sf5.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.