web-dev-qa-db-ja.com

NetFlowストレージ計算機

Ciscoデバイスからデータを収集するために(NfSen/NfDumpを使用して)NetFlowサーバーを展開することを計画しています。

サーバー要件の計算に使用できる標準的な計算またはガイドラインはありますか。具体的には、ストレージの計画を立てる必要があります。たとえば、Nフローの場合、1日に収集するデータの量を知る方法はありますか?

1つのデバイスに1日あたり10kのフローがあるとしましょう。これは通常、XYZ MBなので、これをスケールアップできますか?

そうでない場合、あなたたちは1日にいくつのフローを記録していますか、そしてこれはどのくらいのデータを生成していますか?うまくいけば、他のみんなの数字から見積もりを生成することができます!

P.S.違いが出る場合は、最大50台以下のデバイスから収集します(それぞれ50Mbps以下)。

1
jwbensley

これは-大幅に-変化する可能性があり、インターフェイスに表示されている帯域幅の量とはほとんど相関関係がありません。単一の50Mフロー(デバイスの1つを占める)が常に使用されている可能性があり、その結果、自然なタイムアウトに達した場合にのみフローが生成されます(つまり、5分ごとに-1日あたり288フロー)。同時に、DoS攻撃は50Mbpsの64バイトパケットを生成する可能性があり、それぞれが異なるsrc/dst L3およびL4タプルを持ち、1秒あたり100万フローを見つめていることになります。

明らかにこれらは極端な例ですが、重要なのは、ネットワークの性質と伝送するトラフィックの種類が大きな違いを生むということです。他の変数はNetflowバージョンです-古いスタイルのV1/V5/V7とV9で、後者には集約、要約、カスタマイズの機能があります。もう1つの潜在的なポイントは、Netflowサンプリングの使用です(ハイエンド/ SP Cisco側)。

私がcanアドバイスするのは、Netflowのスケーリングは通常かなり線形であるということです。最善の策は、現在何が推進されているかについての経験的データを収集し、それを超える健全なマージンに対応できるようにインフラストラクチャのサイズを決定することです。私は、メディアの小さい側のエンタープライズ環境にいて、同じ数のデバイスからプルしていて、1週間に約1億2000万から1億5000万のフローが見られたと言えます。

Netflowが、かなり多様なエンタープライズネットワーク(メディアの小さい側)にある同数のデバイスからプルされている多くの環境で、私がいた場所にいたことをお伝えできます。

3
rnxrx