網絡流量分析利器-可視化網絡-netflow【5】-linux下數據采集器fprobe

網絡流量分析利器-可視化網絡-netflow【1】-基礎原理
網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置
網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別
網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介
網絡流量分析利器-可視化網絡-netflow【5】-linux下數據采集器fprobe
網絡流量分析利器-可視化網絡-netflow【6】-生產網流量監控架構設計
fprobe參數 -e
fprobe參數 -n -k

交換機netflow的不足

首先要知道，交換機在處理數據包的時候是會額外消耗資源的，比如cpu和內存，經過我們長時間的測試，發現這個消耗非常高，如果采樣比為1:2的比例下，在一個萬兆網里，cpu直接上升10%，當然這個上漲程度與網絡中的流量大小成正比，但很明顯，這個消耗，太大，如果選擇大采樣比，比如1:1024，那么在還原真實流量的時候，誤差會非常大，曾經一次測試發現，誤差高達20%。所以我們得另辟蹊徑，找一個替代產品。

有人說，我們只需要大概數據就好，但是在做成本核算的時候，如果只是大概，就會引起成本承擔者的不滿，他會認為你多給他算成本了，所以采樣比1:1的工具才是我們尋找的目標。

在linux下有個軟件叫fprobe，可以將接口下的數據包轉換成netflow格式并發送數據到指定的接收器中，默認netflow v5。

安裝

環境：CentOS 6&7
軟件：
鏈接：百度云盤-fprobe下載 提取碼：ttkz
安裝命令：rpm -ivh fprobe-1.1-2.el7.lux.x86_64.rpm

參數

我也沒搞懂全部參數的含義，用了幾個參數，就記錄下來。

-p：不要設置成混雜模式，默認混雜模式，混雜模式可以監聽所有到達比接口的數據包，比如鏡像數據。
-i：監聽網卡。
-f：篩選規則。
-e：這個參數用于發送頻率，如果設置很大，會發現很久都沒有數據包發到采集器中。測試效果見：[fprobe參數 -e](https://www.eazblog.com/fprobe%e5%8f%82%e6%95%b0-e/)
-n：指定netflow的版本
-a：指定發送源地址，在采集器上做數據篩選用
-b：內存大小（不太懂）
-m：flow緩存在內存使用上限

實例

監聽eth0網卡，將數據每10s一個周期發送到10.2.82.60的9999端口

fprobe -i eth0 -e 10 10.2.82.60:9999

監聽eth0網卡，使用非混雜模式，并指定原地址為10.6.6.6，發送到10.2.82.60的9999端口

fprobe -i eth0 -p -a 10.6.6.6 10.2.82.60:9999

監聽bond1，只截取關于10.10.10.10且端口為80的數據包，生成v7版本，發送到10.2.82.60的9999端口

fprobe -i bond1 -n 7 -f "host 10.10.10.10 && port 80" 10.2.82.60:9999

擴展

思科交換機鏡像下來的數據包通過fprobe轉換成netflow數據正確，但是華為交換機鏡像下來的數據經過fprobe轉換之后數據有錯誤，需要使用-k參數進行VLAN heade的去除，詳見：fprobe參數 -n -k