IPFIX -只考虑流的前n秒钟

Question

是否可以通过IPFIX考虑流(统计数据)的前n秒钟？如果可能的话，如何在OpenVSwitch中设置它？

Answer 1

因此，您需要了解给定的切换设备是如何定义流的。有明显的识别信息--源和目的地端口/地址的元组、IP协议号等。显然还有一个开始时间，当然还有结束时间。

一开始很简单。这是观察识别元组的第一个点。然而，结局却要复杂得多。在TCP会话中，看到FIN序列可能会触发停止时间，但通常情况下，流结束时间将由超时(即在n秒内未看到数据包的UDP会话)或--更有可能在实践中--通过触发旧流的清除和导出来填充流缓存和为新流创建空间。

问题是，流(正如我们已经定义的)可能实际上还没有结束。事实上，一个长期存在的流实际上可以用许多连续的流记录来表示.这是分析工具的工作，将所有这些单独的记录绑定到某种理智的整体中。

正因为如此，你的问题才没有真正的意义。实际的流收集器/导出程序可能不知道它工作的流缓存条目是表示连线上实际流的开始还是结束。基于流的收集机制的一个令人讨厌的事实是，缓存的相对有限的大小意味着，在识别线路上的元组方面，适当的大变化可能导致一种退化的情况，即流记录在被推开之前只看到几个数据包。这就是为什么在大规模互联网核心盒上使用这类分析往往是相当有限的，而且在基于流的测量(聚合/边缘平台)几乎完全抽样的地方。

因此-如果您只想查看流的前几秒钟，那么将收集设备上的老化时间设置为非常短。这将导致大量的流记录被导出(以及更多的资源消耗)，但是会在很短的时间内给出数据。反过来，在分析的时候，您可以选择忽略生成的第一条记录以外的所有记录。我看不出这种方法的成功之处，但它至少在名义上符合你的要求。