Чего-то flow-tools ругается строчками:

Или flow-tools не может ловить sFlow? Тогда чем?

естественно не может....
есть разные варианты....
но если вы уже пользуетесь flow-tools, то наверное для вас подойдет конвертировать sflow "налету" и отправлять на netflow коллектор http://www.inmon.com/technology/sflowTools.php

Спасибо, нашел уже его.
Вот только одного не пойму, раз в ~30 секунд приходит один пакет (или информация о одном потоке?), почему так мало? Я конечно понимаю что sFlow дает именно "обобщенную" картину текущего через порт трафика, но такое количество информации кажется ничтожно малым чтобы производить анализ.
Ну и раз в 20 сек сыпет информация по счетчикам с порта, вообще не интересно, с помощью snmp собирать получится не хуже.

Уважаемый ThreeDHead.

Было бы очень неплохо, знать чуть больше вводной информации, например, о каком оборудовании речь идет?
Увидеть версию ПО, что на нем настроено...и т.д.

Проблема описана другим человеком, вот
Бигаров Руслан в курсе проблемы, но помочь ничем не смог.

Хотели с помощью sFlow пролить свет на локальный трафик, для поиска проблем, но как оказалось sFlow тут не помощник. Либо делаем что-то не так...

перечитал тред по ссылке...
давайте все-таки определимся, если нужен детельный мониторинг трафика при возможной "атаке" со стороны абонента, то правильней использовать port mirroring или rspan, чтобы точно понимать характер проблемы.
функционал sFlow - предполагает повехностный мониторинг, без возможности детального рассмотрения трафика...
Что касается частоты генерации пакетов и точности, то на 3600 серии в документации описаны процедуры поллинга и семплинга.
Естественно нет смысла генерировать, пакет статистики на каждый проходящий пакет через оборудование для этого как я сказал выше есть функционал span.

Вы хотя-бы в теории представляете как (КУДА?) зеркалить _весь_ трафик, проходящий через стек?

в треде написано - "проблему создавал клиент, подключенный к одному из узлов, к порту FastEthernet (на узлах стоят d-link Des-3028)"
и еще - "Как защититься от таких проблем, и почему они в принципе возникают хотелось бы понять."

Если я сказал, что лучше использовать зеркалирование, это не значит, что я предлагаю его использовать на 10G или 40G портах.
я предлагаю его использовать на том же 3028 , чтобы точно понять, какой характер трафика нелигитимного клиент генерирует.

Проблема в том, что неизвестно где именно находится этот нехороший абонент, оттого и неизвестно в каком месте "нюхать" трафик.

опять возвращаемся в начала обоих тредов....
Для грубой оценки направления и источника избыточного трафика... (но никак не для его анализа)
достаточно посмотреть счетчики на интрефесах.
Либо воспользоваться sFlow, но он вас не устраивает, т.к. вы хотите получить полную картину сразу и только с его помощью, что невозможно...

Это не избыточный трафик, это паразитный трафик, и природа его неизвестна!


Недостаточно. Дропы на всех терминирующих L3 портах. Вариант только мониторить размеры пакетов на портах, но не факт что и это поможет.


Один семпл в 30 секунд не может рассказать вообще ни о чем. Может только о том, что факт захвата пакета состоялся.
Один семпл в секунду, или в миллисекунду - вот это другой разговор.

Чтобы какой-угодно вид трафика создавал проблемы характерные для DoS, его в подавляющем большинстве случаев должно быть МНОГО (ОЧЕНЬ МНОГО), т.е. искать надо именно избыточный трафик, термин "избыточный" = АНОМАЛЬНО МНОГО
Под интрефейсами, я имею ввиду, все типы интрефесов как l2 так и l3, надо смотреть все типы счетчиков, чтобы картина была полной.



Вы в мануал настройки посмотрели, про который я вам написал выше, или просто сознательно проигнорировали мои слова? Семплинг, в том числе обычного netflow, осуществялется на основании количества пакетов, а не основании секунд... а вот время, в течении которого коммутатор отправляет собранные им семплы на коллектор, измеряется в секундах, только это самое время никакого отношения к точности сбора статистики по трафику не имеет.

Список литературы для чтения:
http://www.lanbilling.ru/sflow_accuracy_article.html
ftp://ftp.dlink.ru/pub/Switch/DGS-3600%20Series/Description/DGS-3600%20Series%20A1_CLI_Manual_v2.5(WW).pdf