构建网络流量监控的最佳实践

Question

最近，我正在研究ip流监控的解决方案，并且遇到了很多关于网络流、sflow、IPFIX等之间的不同解决方案和权衡的页面。简而言之，netflow/IPFIX为微观或瞬态流量提供了更好的准确性，而sflow涵盖了更通用的流量模式，可以更好地扩展资源使用和采样灵活性。另外，在单个主机上增加ip流量监控也有趋势，就像Cumulus解决方案那样。鉴于这些令人毛骨悚然的信息，我想就这方面提出一些一般性的问题：

1. 通常，我们是完全锁定在sflow或netflow解决方案中，还是可以在交换机上执行sflow之类的混合解决方案，同时为服务器主机提供netflow。在这个意义上，数据聚合通常是如何工作的。
2. 对于与主机相关的ip流流量，我认为它的功能应该与LLDP这样的协议捆绑在一起，以收集它连接到的远程交换机上的哪个接口，哪个接口可以作为交换机流量监视的附加功能。不确定是否有任何现有的解决方案。

Answer 1

基本上，这取决于您的硬件支持什么，除非您计划续订无论如何。

NetFlow将您限制在思科硬件上(不管这是好事还是坏事)。IPFIX的支持仍然有点稀少。设备供应商之间的sFlow支持范围更广，因此这可能是最有希望的途径。

通常不需要在主机上/在主机上进行流监视，因为您可以在交换机上看到物理流量，并且可以轻松地深入到L3或L4级别。查看虚拟开关内部是它自己的猛兽，因此您可能需要查看那里的专门监视。

是否可以组合来自不同协议的数据取决于您的分析软件。有各种支持多协议的包(建议在这里显式地关闭-主题，对不起)。