使用Netflow监控流量:端口镜像还是流？

Question

我们有一个路由器，我们需要使用NetFlow来监视它。路由器是非常重要的，所以我们不允许在路由器上启用Netflow。相反，它将启用端口镜像，以便将流量镜像到另一个网络设备。

我们现在有两个选择：

( a)在Linux服务器(如nProbe )上使用软件Netflow探测器将镜像流量转换为Netflow

b)购买另一个路由器，并使另一个路由器上的Netflow能够将镜像的流量协调到Netflow中。

我们知道我们可以做(a)

问题是:是否可以这样做(b)？

哪一个更有效(a)或(b)？

Answer 1

购买另一个路由器将无法工作，因为路由器通常只为转发的流量生成Netflow记录。因为你只想让它看流量，而不实际转发任何东西，这是行不通的。

使用软件探测可能有效，但请记住，镜像通信量不包含流量本身以外的任何信息。Netflow可以包含接口信息(入站/出站接口)、路由数据(nexthop、ASN等)。和其他有用的东西，软件探测不能通过观察流量就知道。

如果您只需要做一些基本的流量核算，软件探测可能就足够了，但这实际上取决于您的用例。

Answer 2

您考虑过使用网络水龙头来代替端口镜像吗?就像爱夏的水龙头产品一样？

TAP是放置在2个网络设备之间并提供监视连接的被动分裂设备。TAP复制所有通信量并将其转发到监视设备，设备在内联时接收所有通信量，包括错误。

网络分路和端口镜像之间的主要区别是：

• 点击捕捉线路上的所有内容，包括错误，在端口镜像中，这些数据包将被删除。
• 抽头不受带宽饱和的影响。
• 水龙头安装简单，端口镜像需要工程师的干预。
• 水龙头更安全，不能被黑，端口镜像易受攻击。
• 端口镜像是一种在多个端口上同时捕获通信量的好方法。
• 端口镜像更便宜。