Прошу помощи у всезнающего all.
Имею:
Шесть DGS-3627G (Build 2.84.B31) в стеке.
Аплинк - транк 5:21-5:24, 6:21-6:24 (все 1 Gb).
Требуется мониторить ИСХОДЯЩИЙ на этот аплинк, чтобы отслеживать хватит-ли пропускной способности транка и отлавливать аномальный трафик (UDP Flood например).
Естественно, выбран sFlow.
Настраиваю sFlow Sampler Settings, 5:21-5:24, 6:21-6:24:
Configured RX Rate = 0;
Configured TX Rate = 1024 (меньше сильно грузит DGS);
Max Header Size = 60 (вроде бы максимально возможный размер заголовка).
Собираю и анализирую sFlow с помощью nfdump (с поддержкой sFlow) и nfsen.
Все красиво и замечательно, вот только сильно много трафика получается. Более 20 Gb/sec. А транк исходящий всего 8 Gb/sec.
Начинаю разбираться и вижу, что дополнительно сыпется sFlow с ifout=0
Цитата:
** nfdump -M /var/nfsen/profiles-data/live/DGS -T -r 2012/06/20/nfcapd.201206201210 -n 10 -s outif/bytes
nfdump filter:
any
Top 10 Output If ordered by bytes:
Date first seen Duration Proto Output If Flows(%) Packets(%) Bytes(%) pps bps bpp
2012-06-20 12:10:01.850 298.098 any 0 1487(87.5) 389.8 M(87.5) 326.0 G(87.3) 1.3 M 157.9 M 836
2012-06-20 12:10:11.887 283.019 any 344 35( 2.1) 9.2 M( 2.1) 9.1 G( 2.4) 32418 257.1 M 991
2012-06-20 12:10:29.887 267.019 any 342 30( 1.8) 7.9 M( 1.8) 8.2 G( 2.2) 29452 246.4 M 1045
2012-06-20 12:10:01.887 296.021 any 341 28( 1.6) 7.3 M( 1.6) 6.4 G( 1.7) 24795 172.5 M 869
2012-06-20 12:10:07.938 287.014 any 279 27( 1.6) 7.1 M( 1.6) 6.2 G( 1.7) 24660 172.0 M 871
2012-06-20 12:10:23.935 268.009 any 277 23( 1.4) 6.0 M( 1.4) 5.4 G( 1.4) 22496 160.6 M 892
2012-06-20 12:10:18.925 240.015 any 280 22( 1.3) 5.8 M( 1.3) 5.1 G( 1.4) 24028 171.4 M 891
2012-06-20 12:10:01.887 293.019 any 343 34( 2.0) 8.9 M( 2.0) 4.2 G( 1.1) 30417 114.0 M 468
2012-06-20 12:10:24.939 231.002 any 278 13( 0.8) 3.4 M( 0.8) 2.6 G( 0.7) 14752 91.5 M 775
Summary: total flows: 1699, total bytes: 373.2 G, total packets: 445.4 M, avg bps: 10.0 G, avg pps: 1.5 M, avg bpp: 837
Time window: 2012-06-20 12:10:01 - 2012-06-20 12:14:59
Total flows processed: 1699, Blocks skipped: 0, Bytes read: 101968
Sys: 0.000s flows/second: 0.0 Wall: 0.000s flows/second: 4826704.5
Трафика с Output If = 0 более 80%.
Естественно, вся картина смазывается. Да и, как понимаю, лишняя нагрузка на коммутатор. Без этого можно было бы уменьшить TX Rate и иметь большую точность.
И вот теперь вопрос. Что это за трафик с Output If = 0 и как от таких sFlow избавиться?
PS. Стек участвует в раздаче мультикаста.
Вход
Регистрация
FAQ
Поиск
