设置HP 5130 EI的sFlow(流量监控)传至inMon sFlowTrend

  近日公司外点发生VPN异常,经厂商协助查询后,乃因外点特定user占据频宽所导致。在发生问题的当下,其实已经透过厂商的MRTG报表看出是流量问题,但并无法进一步厘清是什么原因造成流量异常,便思考着是不是有什么方式可以自己做个简单的流量监控,待发生问题时,可以查出是哪个IP造成,甚至能查出所使用的服务为何。

  思索着公司的网路架构后,感觉应该可以从Core Switch下手。查了HP 5130 EI资料,这台针对流量资讯使用的是sFlow标准,至于资料获取端(集电极),我原先是想采用ntopng,但不知為何,windows新版装好启用后,并无出现udp 6343有在Listening的情形,在主控台里也没看到相关设置,上网爬文也都只看到旧版的预设就是会监听udp 6343,为了避免待会设好sFlow却没得到资料,还要查是哪一端的问题,便改使用inMon的sFlowTrend。

  sFlowTrend免费的限制为最多监听5台Switch,纪录也只能呈现近1个小时的流量,但这对我来说已经够用了。装好后就可以看到”sflowtrend-SERVER.EXE”这支主程式在listening udp 6343。进到主画面后,只要在「Tools」-「Configure agents」新增Swtich的IP,再记得设定防火墙例外即可。

  接下来就是用telnet连进HP 5130,依照下面指令设定:

  # 如進入enable模式  system-view    # 設定此Switch本身要發送資料的IP(就是Switch的IP)  [Device] sflow agent ip 3.3.3.1    ########## 新增 sFlow collector ##########  # 新增一個 ID 為 1 的 sFlow collector (collector可以有多個)  # IP 為 3.3.3.2, port 預設為 6343,  # 另註明這台名稱為netserver.  [Device] sflow collector 1 ip 3.3.3.2 description netserver    ########## 為每個 port 設定監控參數 ##########  # 進入要監控的介面  [Device] interface gigabitethernet 1/0/1    # 設定取樣間隔時間為20秒(網路上的文件多是說設20或30秒,  # HP官方文件範例是設120秒)  [Device-GigabitEthernet1/0/1] sflow counter interval 20    # 設定至 sFlow collector 1  [Device-GigabitEthernet1/0/1] sflow counter collector 1    # 設定取樣模式為"隨機取樣" (HP官方文件很妙,  # 指出另外一個模式為determine,但你也不用設,  # 因為目前的版本都不支援)  [Device-GigabitEthernet1/0/1] sflow sampling-mode random    # 設定取樣數為1000  # sFlow官方文件建議取樣值:  # 10Mb/s: 200  # 100Mb/s: 500  # 1Gb/s: 1000  # 10Gb/s: 2000  # HP官方文件範例為4000  [Device-GigabitEthernet1/0/1] sflow sampling-rate 1000    # 設定至 sFlow collector 1  [Device-GigabitEthernet1/0/1] sflow flow collector 1    # 離開此介面,換下一個,直到全部要監控的介面都設好  # 如果有做Link Aggregation,切到該LAG介面後,  # 會有沒有 sFlow 指令可用,所以只能認命的一個一個介面設。  [Device] quit  [Device] interface gigabitethernet 1/0/2    ########## 檢視設定 ##########  # 確認 sFlow 運作情形  [Device-GigabitEthernet1/0/1] display sflow  

  设好后,将Switch设定save,接着就可在sFlowTrend看到流量资讯进来了

【參考連結】

发表评论

请注意:: 评论审核已启用,可能会耽误您的评论. 有没有必要重新提交您的评论.