Netflow与采样网络流

Question

我在做一个需要Nexus 5600的项目。这些开关支持采样网络流，而不支持网络流。我想使用netflow来做统计，并在特定的时间分析贸易。

在我遇到问题的时候，采样的网络流量对观看交易有好处吗？我的意思是，因为它出口的只是一个速率的包，我不会有一个很好的看法，数量的贸易，真的通过？

我在抽样网络流和SPAN之间使用netflow 3000设备。这也是一个很好的解决方案，但是这个开关可以处理两个会话吗？

你有什么建议吗？

Answer 1

对于流量分析，通常使用抽样网络流，因为1:1采样(或非采样)网络流对发送流数据的路由器和流接收方都是相当大的负担。我见过的大多数设置都使用1:100到1:4000之间的采样率(取决于网络大小和流量推送量)，而且它们完全能够进行流量异常分析(DDoS检测)，甚至可以对客户使用情况进行计费。

Answer 2

抽样有利于确定顶级应用程序。如果您需要执行调查，您可能希望100%的流量收集。当你从一个特定的主机上查看流量时，它可能会令人沮丧，而且它没有被足够的采样，或者根本没有被采样。如果您只是想克服所有的流量利用率，如果它是一个选项，使用SNMP。将采样流乘以以确定实际利用率会产生一些非常疯狂的结果，这往往会产生误导。

我读到5000只能示例NetFlow，这意味着您可能没有太多的选项。如果您还没有购买该开关，您可能需要考虑一个允许您避免抽样的开关。