nProbe™
适用于IPv4 / v6的可扩展NetFlow v5 / v9 / IPFIX探针
在商业环境中,NetFlow可能是网络流量统计的事实标准。nProbe包括NetFlow v5 / v9 / IPFIX探针和收集器,可用于处理NetFlow流。这意味着可以使用nProbe™:
- 收集并导出边界网关/交换机/路由器或任何其他可以在NetFlow v5/v9中导出的设备生成的NetFlow流。
- 作为可能已部署的嵌入式低速NetFlow探测器的替代产品。
- 在没有(或非常中等)丢包的情况下全速分析数Gbit网络。
- 向收集器(例如开源ntopng或商用收集器)发送监视的流(例如Cisco NetFlow Collector或Plixer)
目前,nProbe™是一个软件应用程序,可以独立使用,也可以作为名为nBox的嵌入式系统使用。
nProbe™的主要功能
- 适用于Linux,Windows和嵌入式环境ARM和MIPS / MIPSEL。
- 第7层应用程序可见性(包括Skype,BitTorrent和Citrix在内的250多个应用程序)。
- 第7层应用程序在导出的流中传播,以实现准确的计费。
- NetFlow v5 / v9 / IPFIX支持高效的流处理。
- 思科NetFlow-Lite支持。
- 完整的IPFIX支持:PEN(Private Enterprise Numbers)和可变长度编码。
- 完全支持IPv4和IPv6。
- 有限的内存占用空间(无论网络大小如何,均小于2 MB的内存),CPU感知。
- 能够将流本地导出到Apache™,Syslog,MySQL / MariaDB,Splunk(通过TCP流)。
- 能够将流本地导出到Kafka和ElasticSearch(使用导出插件)。
- 能够将流转储为准备导入的列式数据库的格式。
- 本机支持技术PF_RING和用于超高速数据包捕获的最新的绕过内核的PF_RING Zero copy(ZC)。
- 能够充当流收集器和代理。支持所有组合。
- 能够收集sFlow流并将其透明转换为NetFlow v5 / v9 / IPFIX。
- 能够基于MAC / IP地址伪造NetFlow接口标识符。
- 收集Cisco ASA流并转换为NetFlow v5 / v9 / IPFIX。
- 用于开发多处理器,多核精化系统的多线程架构。
- 支持隧道(包括GRE,PPP,VXLAN和 GTP)流量,并能够导出内部/外部信封/数据包信息。
- 支持流和数据包采样。
- 支持Flexible Netflow,用于创建自定义NetFlow模板,并带有可选的PEN支持。
- VoIP(SIP和RTP)流量分析,包括语音质量和(伪)MOS。
- HTTP,MySQL / Oracle,DNS协议分析:除了流导出外,还可以生成Web,MySQL / Oracle和DNS活动的日志。
- BGP插件,用于与路由器建立BGP会话并使用AS和AS路径信息生成流。
- 插件架构,可通过自定义V9 / IPFIX标签轻松扩展。
- 与IsarFlow,Fluke,Cisco,Dartware,Arbor Networks,Plixer,NetFlow Auditor,SolarWinds Orion NTA和Andrisoft等商业收集器完全可互操作。
- 设计用于在资源有限(nProbe™二进制文件<100 Kb)和嵌入式系统(例如,基于ARM和MIPSEL的设备)的环境中运行。
- 它可用于使用商用硬件构建便宜的NetFlow探针。
- 能够将流保存在磁盘上以供以后分析或集成到现有监控应用程序中。
- 完全可由用户配置。
- 高性能探针:商业探针包括嵌入在路由器和交换机中的探针,通常跟不上高速。
- 可以与ntopng配合使用以可视化,收集和分析受监控的流量。
使用nProbe™
当前的nProbe™版本远不只是一个简单的netflow探针。
探针模式
nprobe -i eth0 –collector 127.0.0.1:2055
收集器模式
nprobe –collector-port 2055
代理模式
nprobe –collector-port 2055 –collector 127.0.0.1:2055 -V 9
它可以是探针,探针+ 收集器,收集器或代理。在代理模式下,可以从IPFIX / NetFlow v5 / v9转换为IPFIX / NetFlow v5 / v9,以便平稳地升级到较新的NetFlow协议版本,同时可以利用以前的协议版本。因此,例如,您可以将来自v5路由器的流量转换为IPFIX,反之亦然。请注意,使用某些组合(例如,从v9到v5),您可能会丢失一些流量信息。
性能
探针模式
许多人意识到,并非所有可用的NetFlow探针都是可扩展的。nProbe™旨在跟上通用硬件上的数千兆位速度。使用双核CPU,nProbe™可以使用普通PF_RING(无ZC)来捕获1 Gbit的数据包,而不会丢失/很少(<1%)数据包。使用PF_RING ZC内核旁路技术,可以更快地捕获数据包,因为可以在下面读取。请注意,性能数据是单个内核算的。这意味着,例如,通过利用PF_RING ZC,与单核CPU相比,四核CPU可以实现4倍的性能提升。
包大小(字节) |
每核 nProbe™持续吞吐量,无丢包 |
PF_RING ZC |
固定的64 |
3.32 Mpps,2.15 Gb /秒 |
固定512 |
线速 |
固定1500 |
随机64-1500 |