<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Aptos;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-ligatures:standardcontextual;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
span.E-MailFormatvorlage19
{mso-style-type:personal-reply;
font-family:"Aptos",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;
mso-ligatures:none;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE-AT link="#0563C1" vlink="#954F72" style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>Hallo Klaus,<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>die Frage ist, ob ihr wirklich jeden Flow auf jedem Gerät braucht. Zumal jedes Gerät durch die wahrscheinlich nötige samplingrate nicht die exakt gleichen Flows exportieren wird.<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>Für die Analyse würde ich auch je nach Anwendungszweck oder Fokus unterschiedliche tools ins Auge fassen. Für eine Live Analyse auf Flow Ebene ist nfsen glaub ich nicht schlecht.<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>Für traffic engineering, peering Optimierung usw. lohnt es sich evtl. einen Blick auf akvorado [1] zu werfen, sofern open source in Frage kommt.<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>Schöne Grüße<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>Sebastian<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'>[1] - <a href="https://github.com/akvorado/akvorado">https://github.com/akvorado/akvorado</a><o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Aptos",sans-serif'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=DE style='mso-ligatures:none;mso-fareast-language:DE-AT'>Von:</span></b><span lang=DE style='mso-ligatures:none;mso-fareast-language:DE-AT'> atnog <atnog-bounces@atnog.at> <b>Im Auftrag von </b>Klaus Darilion via atnog<br><b>Gesendet:</b> Donnerstag, 18. April 2024 22:27<br><b>An:</b> Klaus Darilion via atnog <atnog@atnog.at><br><b>Betreff:</b> [atnog] Netflow Best Practice<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-US style='font-family:"Courier New"'>Hallo Leute!<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'>Grob vereinfacht sieht unser Core Netzwerk so aus:<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> Serrver Server<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> \ | / \ | /<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> \ | / \ | /<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> /--------qfx-----------qfx----------\ <o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> --\ / | | \ /---<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'>Internet ---mx VXLAN | VXLAN | VXLAN mx---- Internet<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> --/ \ | | / \---<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> \-------qfx-----------qfx----------/<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> / | \ / | \<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> / | \ / | \<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'> Server Server<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New"'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Jetzt frage ich mich wo die Netflox Exporter sitzen sollen. Wenn ich auf jedem Router/Switch jedes Interface in jeder Richtung exportiere, dann kann ich genau nachverfolgen welchen Weg meine Trafficspitzen genommen haben. Aber ich sehe dann jeden Flow mehrmals, in+out, auf mehreren Geräten, und die Gesamtsumme ist immer falsch. Weiters weiß ich gar nicht ob das im VXLAN funktioniert.<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Ich könnte auch nur auf den Edge Interfaces (Upstream Provider + Server Interfaces) entweder In oder Out exportieren. Dann sehe ich jeden Flow nur genau 1x, sehe aber zB nicht wo ein eingehender Flow wieder rausgegangen ist (bzw ob er rausgegangen ist).<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Wie macht ihr das? Habt ihr Praxistipps?<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Weiters netflow, sflow oder ipfix?<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Nfdump/nfsen, Elastic, ...?<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Es wäre super wenn ihr mir eure Praxistipps verraten könnt bevor ich zum Bauen anfange.<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'><o:p> </o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Danke<o:p></o:p></span></p><p class=MsoNormal><span lang=DE style='font-family:"Courier New";mso-ligatures:none'>Klaus</span><span lang=DE style='font-family:"Courier New"'><o:p></o:p></span></p></div></body></html>