NetFlow и Netstream - это инструменты для мониторинга, сбора статистики о трафике, и задачи они имеют одни и те же, но реализации имеют разные. Недавно мы рассматривали кейс, когда после интеграции нескольких железок Huawei в существующую сеть Cisco, на Huawei был настроен Netstream аналогично конфигурации NetFlow на Cisco, но трафик c Huawei считался в сто раз меньше того количества, которое ему отправлял Cisco:
----router Cisco --->100 пакетов ---> router Huawei AR6280 --->1 пакет----
Следили за этим явлением на месте в сети, где между Cisco и Huawei был прямой канал по оптике 100Mbps, то есть входящий трафик первого маршрутизатора был исходящим трафиком другого. Сетевым инженером было замечено: "Wireshark'ом смотрели пакеты с обеих сторон - все стандартно, протокол CFLOW, версия 5, поля идентичные, размер данных передавались количеством октетов, с той лишь разницей, что с Cisco приходили пакеты с одинаковым количеством PDU - 30 шт, а с Huawei в пакете могло быть 18,12, в общем, разное количество PDU. Никаких режимов агрегации на Huawei включено не было, Huawei слал ту же самую информацию, что и Cisco в октетах, но при этом при одинаковой нагрузке на каждые 5-7 пакетов (имеется ввиду пакетов NetFlow) с Cisco (с 30 pdu в каждом) приходит 1-2 пакета с Huawei с разным и меньшим количеством pdu".
Сначала была выдвинута версия настроить через полисер. Но известно, что полисер применяется для уменьшения количества пакетов в потоке, или для измерения только определенного трафика, в то время как требовалось мониторить сколько трафика гененируется в исходном количестве (exporting of ipv4 original flow statistics) с используемыми по умолчанию таймерами.
Дале, чтобы проверить, что Huawei не отбрасывал трафик, был проведен эксперимент, когда с одного из ПК был отправлен ISO файл размером 10GB на сервер через упомянутый канал Cisco-Huawei. Файл дошел в целостности. Это натолкнуло на мысль, что дело именно в настройках сбора статистики.
В документации Huawei по продукту есть упоминание, что по умолчанию на AR Huawei маршрутизаторах собирается только каждый 100-ый пакет.
"By default, the packet-based regular sampling is used. The default packet sampling ratio is 100. "
При этом на других продуктах это может быть и каждый 1000-ый пакет.
Чтобы изменить это - в представлении интерфейса на AR6280 указываем 1 вместо дефолтных 100:
undo ip netstream inbound
ip netstream sampler fix-packets 1 inbound
ip netstream inbound
Предположительно, такое поведение может быть связано с техническими особенностями чипов и процессоров, и рисками возникновения чрезмерной их утилизации в сценариях, о которых вендоры обычно не говорят открыто, или сами не знают, поэтому страхуются, устанавливая изначально такие пороговые значения.
---
Более подробно в расследовании от Astar - netflow analyzer данные с Cisco и Huawei отличаются на 2 порядка