Re: [FRnOG] [TECH] sflow sur Arista

Thu, 27 Sep 2018 02:54:45 -0700 


Bonjour,

Merci pour ces retours constructifs.


Je peux comprendre la logique même si cela me complique la vie dans le 
cas présent.



En attendant en appliquant la configuration tel que présenté par Arnaud 
il me manque les informations as_src, as_dst et as_path :/ J'ai 
l'interface out donc c'est presque bon.



Je me demande s'il n'y a pas un bug sur ces modèles en particulier.

Dans le pire des cas je vais faire le boulot par pmactt en peerant mais 
c'est moins propre.


Merci à tous.

PS : je suis impatient de voir Paolo IRL, car online il est vraiment top.

--
Raphael Mazelier



On 26/09/2018 23:49, Matthieu Texier wrote:

Bonjour Raphael,

Je me permets d’intervenir dans la discussion ayant quelques années de pratique 
sur ces sujets.

La “best practice” veut que l’on configure netflow ou sflow ingress sur tous les ports de 
la machine. Cette "best practice" est essentiellement due au fait que tu ne 
dois pas, à priori, configurer ton netflwo/sflow par rapport aux résultats finals qui tu 
attends. Il faut le configurer pour que tu es une vue fidèle de ton trafic dans tout ton 
routeur. La raison cachée de cette best practice est qu’un routeur fait son IP lookup sur 
son port ingress (calcul de la best route et port de sortie, etc ..). Demander à un 
routeur, sur son port de sortie de savoir sur quel port le paquet est entré est souvent 
(pour ne pas dire toujours) compliqué (d’autant plus lorsque tu fais du link bundling).

C’est le travail du collecteur de te donner les vues qui t’intéresse et qui 
pourra, grace a cette best practice, te donner les vues auxquelles tu n’aurais 
peut-être pas pensée initialement. C’est en particulier vrai lorsque tu te sers 
de tes flow pour la detection d’anomalies.

J’avais fait une petite video sur le sujet il y a quelques années à l’assemblée 
FranceIX: https://www.youtube.com/watch?v=Vds3ibaCpIU

Pour ce qui est du software et de la collecte: l’open source PMACCT offre de 
nombreuses options intéressantes. Paolo Lucente mon ami et partenaire (auteur 
du SW viendra au prochain FRnOG en parler). Il sera disponible aussi pour 
répondre aux questions et moi aussi :-).

My 2 cents,
Matthieu.




---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
























					Répondre à