[atnog] Netflow Best Practice

st at mynet.at st at mynet.at
Fri Apr 19 08:57:54 CEST 2024 

Hallo Klaus,

 

die Frage ist, ob ihr wirklich jeden Flow auf jedem Gerät braucht. Zumal
jedes Gerät durch die wahrscheinlich nötige samplingrate nicht die exakt
gleichen Flows exportieren wird.

 

Für die Analyse würde ich auch je nach Anwendungszweck oder Fokus
unterschiedliche tools ins  Auge fassen. Für eine Live Analyse auf Flow
Ebene ist nfsen glaub ich nicht schlecht.

Für traffic engineering, peering Optimierung usw. lohnt es sich evtl. einen
Blick auf akvorado [1] zu werfen, sofern open source in Frage kommt.

 

Schöne Grüße

Sebastian

 

[1] - https://github.com/akvorado/akvorado

 

Von: atnog <atnog-bounces at atnog.at> Im Auftrag von Klaus Darilion via atnog
Gesendet: Donnerstag, 18. April 2024 22:27
An: Klaus Darilion via atnog <atnog at atnog.at>
Betreff: [atnog] Netflow Best Practice

 

Hallo Leute!

 

Grob vereinfacht sieht unser Core Netzwerk so aus:

 

                   Serrver        Server

                     \  |  /       \  |  /

                      \ | /         \ | /

              /--------qfx-----------qfx----------\          

         --\ /          |             |            \  /---

Internet ---mx   VXLAN  |    VXLAN    |  VXLAN      mx---- Internet

         --/  \         |             |            /  \---

               \-------qfx-----------qfx----------/

                      / | \         / | \

                     /  |  \       /  |  \

                    Server          Server

 

 

Jetzt frage ich mich wo die Netflox Exporter sitzen sollen. Wenn ich auf
jedem Router/Switch jedes Interface in jeder Richtung exportiere, dann kann
ich genau nachverfolgen welchen Weg meine Trafficspitzen genommen haben.
Aber ich sehe dann jeden Flow mehrmals, in+out, auf mehreren Geräten, und
die Gesamtsumme ist immer falsch. Weiters weiß ich gar nicht ob das im VXLAN
funktioniert.

 

Ich könnte auch nur auf den Edge Interfaces (Upstream Provider + Server
Interfaces) entweder In oder Out exportieren. Dann sehe ich jeden Flow nur
genau 1x, sehe aber zB nicht wo ein eingehender Flow wieder rausgegangen ist
(bzw ob er rausgegangen ist).

 

Wie macht ihr das? Habt ihr Praxistipps?

 

Weiters netflow, sflow oder ipfix?

Nfdump/nfsen, Elastic, ...?

 

Es wäre super wenn ihr mir eure Praxistipps verraten könnt bevor ich zum
Bauen anfange.

 

Danke

Klaus

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://atnog.at/pipermail/atnog/attachments/20240419/e2ff3cba/attachment.htm>

More information about the atnog mailing list