NetFlow v5 / v9 / IPFIX探针nProbe

其他 2020-08-04 10:11:37 阅读次数: 0

nProbe™

适用于IPv4 / v6的可扩展NetFlow v5 / v9 / IPFIX探针

在商业环境中,NetFlow可能是网络流量统计的事实标准。nProbe包括NetFlow v5 / v9 / IPFIX探针和收集器,可用于处理NetFlow流。这意味着可以使用nProbe™:

  • 收集并导出边界网关/交换机/路由器或任何其他可以在NetFlow v5/v9中导出的设备生成的NetFlow流。
  • 作为可能已部署的嵌入式低速NetFlow探测器的替代产品。
  • 在没有(或非常中等)丢包的情况下全速分析数Gbit网络。
  • 向收集器(例如开源ntopng或商用收集器)发送监视的流(例如Cisco NetFlow Collector或Plixer)

目前,nProbe™是一个软件应用程序,可以独立使用,也可以作为名为nBox的嵌入式系统使用。

nProbe™的主要功能

  • 适用于Linux,Windows和嵌入式环境ARM和MIPS / MIPSEL。
  • 第7层应用程序可见性(包括Skype,BitTorrent和Citrix在内的250多个应用程序)。
  • 第7层应用程序在导出的流中传播,以实现准确的计费。
  • NetFlow v5 / v9 / IPFIX支持高效的流处理。
  • 思科NetFlow-Lite支持。
  • 完整的IPFIX支持:PEN(Private Enterprise Numbers)和可变长度编码。
  • 完全支持IPv4和IPv6。
  • 有限的内存占用空间(无论网络大小如何,均小于2 MB的内存),CPU感知。
  • 能够将流本地导出到Apache™,Syslog,MySQL / MariaDB,Splunk(通过TCP流)。
  • 能够将流本地导出到Kafka和ElasticSearch(使用导出插件)。
  • 能够将流转储为准备导入的列式数据库的格式。
  • 本机支持技术PF_RING和用于超高速数据包捕获的最新的绕过内核的PF_RING Zero copy(ZC)
  • 能够充当流收集器和代理。支持所有组合。
  • 能够收集sFlow流并将其透明转换为NetFlow v5 / v9 / IPFIX。
  • 能够基于MAC / IP地址伪造NetFlow接口标识符。
  • 收集Cisco ASA流并转换为NetFlow v5 / v9 / IPFIX。
  • 用于开发多处理器,多核精化系统的多线程架构。
  • 支持隧道(包括GREPPPVXLAN和  GTP)流量,并能够导出内部/外部信封/数据包信息。
  • 支持流和数据包采样。
  • 支持Flexible Netflow,用于创建自定义NetFlow模板,并带有可选的PEN支持。
  • VoIP(SIP和RTP)流量分析,包括语音质量和(伪)MOS。
  • HTTP,MySQL / Oracle,DNS协议分析:除了流导出外,还可以生成Web,MySQL / Oracle和DNS活动的日志。
  • BGP插件,用于与路由器建立BGP会话并使用AS和AS路径信息生成流。
  • 插件架构,可通过自定义V9 / IPFIX标签轻松扩展。
  • IsarFlowFlukeCiscoDartwareArbor NetworksPlixerNetFlow AuditorSolarWinds Orion NTAAndrisoft等商业收集器完全可互操作。
  • 设计用于在资源有限(nProbe™二进制文件<100 Kb)和嵌入式系统(例如,基于ARM和MIPSEL的设备)的环境中运行。
  • 它可用于使用商用硬件构建便宜的NetFlow探针。
  • 能够将流保存在磁盘上以供以后分析或集成到现有监控应用程序中。
  • 完全可由用户配置。
  • 高性能探针:商业探针包括嵌入在路由器和交换机中的探针,通常跟不上高速。
  • 可以与ntopng配合使用以可视化,收集和分析受监控的流量。

使用nProbe™

当前的nProbe™版本远不只是一个简单的netflow探针。

探针模式

nprobe -i eth0 –collector 127.0.0.1:2055

收集器模式

nprobe –collector-port 2055

代理模式

nprobe –collector-port 2055 –collector 127.0.0.1:2055 -V 9

它可以是探针,探针+ 收集器,收集器或代理。在代理模式下,可以从IPFIX / NetFlow v5 / v9转换为IPFIX / NetFlow v5 / v9,以便平稳地升级到较新的NetFlow协议版本,同时可以利用以前的协议版本。因此,例如,您可以将来自v5路由器的流量转换为IPFIX,反之亦然。请注意,使用某些组合(例如,从v9到v5),您可能会丢失一些流量信息。

性能

探针模式

许多人意识到,并非所有可用的NetFlow探针都是可扩展的。nProbe™旨在跟上通用硬件上的数千兆位速度。使用双核CPU,nProbe™可以使用普通PF_RING(无ZC)来捕获1 Gbit的数据包,而不会丢失/很少(<1%)数据包。使用PF_RING ZC内核旁路技术,可以更快地捕获数据包,因为可以在下面读取。请注意,性能数据是单个内核算的。这意味着,例如,通过利用PF_RING ZC,与单核CPU相比,四核CPU可以实现4倍的性能提升。

包大小(字节) 每核 nProbe™持续吞吐量,无丢包
PF_RING ZC
固定的64 3.32 Mpps,2.15 Gb /秒
固定512 线速
固定1500
随机64-1500

猜你喜欢

转载自blog.csdn.net/HongkeTraining/article/details/107400018
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
女程序员是这样被恶搞的
B/S 和 C/S 的优缺点
vector一直申请会怎样?
座头鲸识别比赛(Humpback Whale Identification)总结
Linux高性能服务器编程——I/O复用 select
Mysql连接数据库(当包使用)
通过URI获取的文件路径为null的解决方法
1022-Primes on Interval(素数筛选+二分查找) ZCMU
Python出现: TypeError: expected string or buffer
bzoj2434: [Noi2011]阿狸的打字机 ac自动机+树状数组
每日归档
更多
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022