31、在 Linux 上收集 NetFlow 数据

在 Linux 上收集 NetFlow 数据

1. 流量收集实现概念

流量收集协议中的一个关键概念是采样。所有这些协议在配置中都有“每 y 个数据包采样 x 个数据包”的属性，不同的供应商和平台有不同的默认值。例如，较新的路由器通常带宽较低（通常低于 100 Mbps），并且有足够的 CPU 支持，因此默认采样率可能为 100%。但对于 1G、10G 或更高速度的交换机，以合理的速率采样就变得至关重要。

选择接口在实现中也很关键。就像在 SNMP 中一样，在大型交换机的所有端口上收集流量信息可能会严重影响交换机的 CPU（及其整体吞吐量）。不过，高端交换机可能会将遥测功能卸载到专用芯片上，从而减少对主机箱 CPU 的使用。

选择收集拓扑也很重要。例如，在数据中心/总部/分支机构的场景中，如果大部分流量是“中心辐射型”（即分支机构之间的通信很少），那么可能只需要在中心位置收集流量数据，并将流量收集器放在同一中心位置。因为分支机构的流量通常是总部流量的反向，通过广域网再次发送这些数据通常是不明智的，毕竟广域网带宽是需要付费的。

但 VoIP 是个例外。呼叫建立使用 SIP 协议，发生在手机和 PBX 之间，而呼叫本身使用 RTP 协议，直接在手机之间进行。如果分支机构之间有大量的 VoIP 通信，也可以选择监控分支机构路由器的广域网接口。

最后，要记住，虽然这些数据是经过采样和聚合的，但最终会到达服务器并存储在磁盘上，数据量会迅速增加。随着对生成有意义报告所需信息的了解，可能需要经常增加分区或数据库的大小。

随着数据量的增长，对内存和 CPU 的需求也会增加。可以在数据库中添加索引来加快报告或 Web 界面的速度，但添加索引