Я планирую развернуть сервер NetFlow (с использованием NfSen / NfDump) для сбора данных с устройств Cisco;
Существуют ли стандартные расчеты или рекомендации, которые я могу использовать для расчета требований к серверу, в частности, мне нужно спланировать хранение. Есть ли способ узнать, сколько данных я буду собирать в день, например, для N потоков?
Допустим, одно устройство имеет 10 тыс. Потоков в день, обычно это XYZ МБ, поэтому я могу масштабировать это?
Если нет, сколько потоков вы, парни и девушки, записываете в день и сколько данных это генерирует? Надеюсь, мы сможем сделать оценку на основе цифр всех остальных!
P.S. Если это имеет значение, я буду собирать данные с <= 50 устройств максимум (не более 50 Мбит / с каждое).
Это может сильно различаться и почти не коррелирует с пропускной способностью, которую вы видите на интерфейсе. Один 50-мегабайтный поток (который будет составлять одно из ваших устройств) может использоваться постоянно и в результате будет генерировать потоки только тогда, когда вы достигнете естественного тайм-аута (так, каждые 5 минут или около того - 288 потоков в день). В то же время DoS-атака может генерировать 50 Мбит / с 64-байтовых пакетов, каждый с разными кортежами src / dst L3 и L4, и вы будете смотреть вниз 1M потоков в секунду.
Очевидно, что это крайние примеры, но дело в том, что характер сети и тип передаваемого вами трафика будут иметь большое значение. Другие переменные - это версия Netflow - старый стиль V1 / V5 / V7 по сравнению с V9, последний из которых имеет возможности для агрегирования, суммирования и настройки. Другой потенциальный момент - это использование выборки Netflow (на стороне более высокого уровня / SP Cisco).
Что я жестяная банка советую, что масштабирование Netflow обычно довольно линейно. Лучше всего было бы просто собрать некоторые эмпирические данные о том, что происходит прямо сейчас, и определить размер вашей инфраструктуры, чтобы обеспечить значительную маржу сверх этого. Я могу сказать вам, что я был в корпоративных средах на меньшей стороне среды, которые использовали такое же количество устройств и видели ~ 120–150 миллионов потоков в неделю.
Я могу вам сказать, что во многих средах, где Netflow извлекается из такого же количества устройств в довольно разных корпоративных сетях (на меньшей стороне среды), что я был в магазинах, где я был