溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【5】-linux下數(shù)據(jù)采集器fprobe

發(fā)布時間:2020-05-15 12:32:00 來源:網(wǎng)絡(luò) 閱讀:428 作者:cnxhsy 欄目:系統(tǒng)運(yùn)維

網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【1】-基礎(chǔ)原理
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【2】-Cisco NetFlow 工作原理介紹及配置
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【3】-netflow版本5和版本9區(qū)別
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【4】-接收器nfdump簡介
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【5】-linux下數(shù)據(jù)采集器fprobe
網(wǎng)絡(luò)流量分析利器-可視化網(wǎng)絡(luò)-netflow【6】-生產(chǎn)網(wǎng)流量監(jiān)控架構(gòu)設(shè)計(jì)
fprobe參數(shù) -e
fprobe參數(shù) -n -k

交換機(jī)netflow的不足

首先要知道,交換機(jī)在處理數(shù)據(jù)包的時候是會額外消耗資源的,比如cpu和內(nèi)存,經(jīng)過我們長時間的測試,發(fā)現(xiàn)這個消耗非常高,如果采樣比為1:2的比例下,在一個萬兆網(wǎng)里,cpu直接上升10%,當(dāng)然這個上漲程度與網(wǎng)絡(luò)中的流量大小成正比,但很明顯,這個消耗,太大,如果選擇大采樣比,比如1:1024,那么在還原真實(shí)流量的時候,誤差會非常大,曾經(jīng)一次測試發(fā)現(xiàn),誤差高達(dá)20%。所以我們得另辟蹊徑,找一個替代產(chǎn)品。

有人說,我們只需要大概數(shù)據(jù)就好,但是在做成本核算的時候,如果只是大概,就會引起成本承擔(dān)者的不滿,他會認(rèn)為你多給他算成本了,所以采樣比1:1的工具才是我們尋找的目標(biāo)。

在linux下有個軟件叫fprobe,可以將接口下的數(shù)據(jù)包轉(zhuǎn)換成netflow格式并發(fā)送數(shù)據(jù)到指定的接收器中,默認(rèn)netflow v5。

安裝

環(huán)境:CentOS 6&7
軟件:
鏈接:百度云盤-fprobe下載 提取碼:ttkz
安裝命令:rpm -ivh fprobe-1.1-2.el7.lux.x86_64.rpm

參數(shù)

我也沒搞懂全部參數(shù)的含義,用了幾個參數(shù),就記錄下來。

-p:不要設(shè)置成混雜模式,默認(rèn)混雜模式,混雜模式可以監(jiān)聽所有到達(dá)比接口的數(shù)據(jù)包,比如鏡像數(shù)據(jù)。
-i:監(jiān)聽網(wǎng)卡。
-f:篩選規(guī)則。
-e:這個參數(shù)用于發(fā)送頻率,如果設(shè)置很大,會發(fā)現(xiàn)很久都沒有數(shù)據(jù)包發(fā)到采集器中。測試效果見:[fprobe參數(shù) -e](https://www.eazblog.com/fprobe%e5%8f%82%e6%95%b0-e/)
-n:指定netflow的版本
-a:指定發(fā)送源地址,在采集器上做數(shù)據(jù)篩選用
-b:內(nèi)存大?。ú惶?-m:flow緩存在內(nèi)存使用上限

實(shí)例

監(jiān)聽eth0網(wǎng)卡,將數(shù)據(jù)每10s一個周期發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -e 10 10.2.82.60:9999

監(jiān)聽eth0網(wǎng)卡,使用非混雜模式,并指定原地址為10.6.6.6,發(fā)送到10.2.82.60的9999端口

fprobe -i eth0 -p -a 10.6.6.6 10.2.82.60:9999

監(jiān)聽bond1,只截取關(guān)于10.10.10.10且端口為80的數(shù)據(jù)包,生成v7版本,發(fā)送到10.2.82.60的9999端口

fprobe -i bond1 -n 7 -f "host 10.10.10.10 && port 80" 10.2.82.60:9999

擴(kuò)展

思科交換機(jī)鏡像下來的數(shù)據(jù)包通過fprobe轉(zhuǎn)換成netflow數(shù)據(jù)正確,但是華為交換機(jī)鏡像下來的數(shù)據(jù)經(jīng)過fprobe轉(zhuǎn)換之后數(shù)據(jù)有錯誤,需要使用-k參數(shù)進(jìn)行VLAN heade的去除,詳見:fprobe參數(shù) -n -k

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI