Re: [FRnOG] [TECH] sflow sur Arista
Un petit follow up sur mon problème sflow sur arista. On écrit souvent quand on a un problème, moins quand c'est résolu. Mon problème de flow était donc double. 1) les flows en ingress only. Ça c'est par design comme beaucoup me l'ont expliqué. Je ne suis toujours pas entièrement convaincu. Je comprends la logique technique moins la logique opérationnelle. 2) l'enrichissement des infos BGP dans mes flows qui ne marchait pas. La cause est que j'utilisais le mode "routing protocols model multi-agent". Dans ce mode la fonctionnalité n'est pas (encore) disponible. Comme je n'avais pas strictement besoin de ce mode, j'ai revert dans le mode par défaut et cela fonctionne bien maintenant. Je retiens deux choses sur ce case : 1) la documentation/littérature n'est pas encore complète (mais quel vendeur peut le prétendre ?) 2) le TAC Arista est franchement bon. Cela fait du bien de tomber sur des ingénieurs qui comprennent tes problématiques du premier coup et qui ne répondent pas à côté de la plaque. Arista s'il vous plaît conservez votre TAC/Support à ce niveau ;) Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On Thu, Sep 27, 2018, at 08:11, Radu-Adrian Feurdean wrote: > Tu n'a pas du passer par l'etape Brocade, qui avait exactement la meme > limitation pour le sflow. L'idee etait d'activer les sFlow surtous les > ports d'un edge, y compris les ports backbone. Ca marchait dans la > plupart de cas. Pour detailler un peu : Le fait d'activer le sflow sur toutes les interfaces edge implique une cretaine "discipline" dans l'archi, et a aussi quelques inconvenients. - Melanger sur un meme port physique edge et core = misere. Donc pas le backbone sur une porte de collecte. - les liens purement core - pas de sflow - le point d'entree dans le reseau pour le traffic qui est destine a l'exterieur (sur internet) peut ne pas avoir les informations concernant la partie AS. Il faut enrichir la donnee via un autre moyen, apres l'export sflow. - pas envie de savoir ce qui se passe quand ton reseau est un peu trop heterogene, genre des constructeurs qui utilisent divers types de *flow (Aieee melanger Cisco avec Brocade). - il est parfois necessaire de re-penser ou est la bordure du reseau afin d'avoir des stats corrects (c'etait le cas dans $job[-3] et $job[-2]) - dans des scenarios type MPLS avec du pop(label pour aggregate)-lookup-push(label pour more specific) -> encore une fois, misere si le in et/ou le out sont sur des interfaces avec du sflow. Vu comme ca, le netflow (mem en mode "sampled") a l'air d'etre tombe du pays des bisounours :) -- R-A.F. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Re, On 27/09/2018 12:43, Arnaud Fenioux wrote: Je n'ai pas eu de probleme pour les champs que tu mentionnes... As tu vérifié que tu as toutes les infos dans les paquets sFlow que tu recois (avec wireshark or sflowtool https://github.com/sflow/sflowtool) ? J'ai le même setup sur mon arista, modulo j'utilise l'interface de management pour envoyer mes flows, interface de management qui est dans une vrf séparée. Je vais essayer sans car pour le moment je ne vois pas d'information bgp avec sflowtool. Je dérive sur pmacct, si ca peut aider d'autres lecteurs : Le PEER_SRC_AS n'est pas toujour correct (si asymetrie de trafic), j'ai préféré générer le peers.map a avec mactopeer (un wrapper napalm) : https://github.com/pierky/mactopeer Oui c'est vrai. Merci pour le lien. Concernant pmacct, la doc n'est plus du tout a jour sur pmacct.net mieux vaut se baser sur https://github.com/pmacct/pmacct/wiki (et encore...) je comptais en parler avec Paolo au FRnOG. En effet mieux vaudrait virer toute doc de pmacct.net car c'est confusant. Parlons lui en :) Last but not least, j'ai rédigé un bout de doc sur pmacct / sfacct + influxdb + grafana avec l'aide de @CorsoAlexandre : http://afenioux.fr/blog/article/pmacct-sfacct-influxdb-grafana Marrant on a fait plus la moins même chose. Perso j'utilise bien sur pmacct/sfacct comme collecteur. Historiquement j'utilisais un exporter vers influxdb (avec de l'amqp au milieu). Mais maintenant j'ai fait un exporter prometheus qui scale mieux. Grafana pour la visualisation bien sur, mais je note superset que je ne connaissais pas et qui l'air bien sexy. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Dans le même esprit que ce que Arnaud à fait, j’ai aussi produit une stack avec PMACCT : http://www.pragma-innovation.fr/cas-dusage-telemetrie-ip/ En Front j’utilise superset (https://github.com/apache/incubator-superset), en backend influxdb va bien pour de petit besoin mais scale difficilement, j’utilise clickhouse (Yandex). Attention à mettre un Kafka entre ton ingest et ton backend, sinon tu risques aussi d’avoir de petits soucis. A voir en fonction du nombre de messages à traiter par seconde. Et comme toujours avec les systèmes et les open-sources, attention aux compatibilités notamment Kafka qui a changé son API, je déconseille la 2.0.0 pour l’instant ! Je vois avec plaisir que le sujet est toujours chaud et que nous devrions avoir de bonnes discussions pour le prochain FRnOG :-) ! Matt. Matthieu Texier, Founder, PRAGMA SECURITY/INNOVATION. Mob: +33 6 85 83 66 89. > On 27 Sep 2018, at 12:43, Arnaud Fenioux wrote: > > Je n'ai pas eu de probleme pour les champs que tu mentionnes... > As tu vérifié que tu as toutes les infos dans les paquets sFlow que tu > recois (avec wireshark or sflowtool > https://github.com/sflow/sflowtool) ? > > J'utilise aussi le lookup par pmacct, car il me donne plus d'info dans > certains cas, je donne la conf, si ca peut servir : > coté arista : > ``` > sflow sample > sflow destination 10.11.12.13 > sflow source-interface Loopback0 > sflow run > sflow extension bgp > > router bgp > neighbor 10.11.12.13 description PMACCT > neighbor 10.11.12.13 update-source Loopback0 > neighbor 10.11.12.13 route-reflector-client > # eviter add-path avec pmacct, ca marchait mal dans mes tests > no neighbor 10.11.12.13 additional-paths send any > ``` > > sfacctd.conf : > ``` > ! we need all of this to get the peer_map working (even if we do not > setup a BGP session) > bgp_daemon: true > bgp_daemon_ip: 10.11.12.13 > bgp_daemon_as: x > bgp_daemon_max_peers: 10 > bgp_peer_src_as_map: /etc/pmacct/peers.map > bgp_peer_src_as_type: map > > ! sfacctd populate 'src_as', 'dst_as', 'peer_src_as' and 'peer_dst_as' > primitives from information in bgp > ! 'longest' behaves : networks_file < sFlow/NetFlow < <= BGP > sfacctd_as: longest > sfacctd_net: longest > ``` > > Je dérive sur pmacct, si ca peut aider d'autres lecteurs : > Le PEER_SRC_AS n'est pas toujour correct (si asymetrie de trafic), > j'ai préféré générer le peers.map a avec mactopeer (un wrapper napalm) > : https://github.com/pierky/mactopeer > Concernant pmacct, la doc n'est plus du tout a jour sur pmacct.net > mieux vaut se baser sur https://github.com/pmacct/pmacct/wiki (et > encore...) je comptais en parler avec Paolo au FRnOG. > > Last but not least, j'ai rédigé un bout de doc sur pmacct / sfacct + > influxdb + grafana avec l'aide de @CorsoAlexandre : > http://afenioux.fr/blog/article/pmacct-sfacct-influxdb-grafana > > Arnaud > On Thu, Sep 27, 2018 at 11:53 AM Raphael Mazelier wrote: >> >> >> Bonjour, >> >> Merci pour ces retours constructifs. >> >> Je peux comprendre la logique même si cela me complique la vie dans le >> cas présent. >> >> En attendant en appliquant la configuration tel que présenté par Arnaud >> il me manque les informations as_src, as_dst et as_path :/ J'ai >> l'interface out donc c'est presque bon. >> >> >> Je me demande s'il n'y a pas un bug sur ces modèles en particulier. >> Dans le pire des cas je vais faire le boulot par pmactt en peerant mais >> c'est moins propre. >> >> Merci à tous. >> >> PS : je suis impatient de voir Paolo IRL, car online il est vraiment top. >> >> -- >> Raphael Mazelier >> >> >> >> On 26/09/2018 23:49, Matthieu Texier wrote: >>> Bonjour Raphael, >>> >>> Je me permets d’intervenir dans la discussion ayant quelques années de >>> pratique sur ces sujets. >>> >>> La “best practice” veut que l’on configure netflow ou sflow ingress sur >>> tous les ports de la machine. Cette "best practice" est essentiellement due >>> au fait que tu ne dois pas, à priori, configurer ton netflwo/sflow par >>> rapport aux résultats finals qui tu attends. Il faut le configurer pour que >>> tu es une vue fidèle de ton trafic dans tout ton routeur. La raison cachée >>> de cette best practice est qu’un routeur fait son IP lookup sur son port >>> ingress (calcul de la best route et port de sortie, etc ..). Demander à un >>> routeur, sur son port de sortie de savoir sur quel port le paquet est entré >>> est souvent (pour ne pas dire toujours) compliqué (d’autant plus lorsque tu >>> fais du link bundling). >>> >>> C’est le travail du collecteur de te donner les vues qui t’intéresse et qui >>> pourra, grace a cette best practice, te donner les vues auxquelles tu >>> n’aurais peut-être pas pensée initialement. C’est en particulier vrai >>> lorsque tu te sers de tes flow pour la detection d’anomalies. >>> >>> J’avais fait une petite video sur le sujet il y a quelques années à >>> l’assemblée FranceIX: https://www.youtube.com/watch?v=Vds3ibaCpIU >>>
Re: [FRnOG] [TECH] sflow sur Arista
Je n'ai pas eu de probleme pour les champs que tu mentionnes... As tu vérifié que tu as toutes les infos dans les paquets sFlow que tu recois (avec wireshark or sflowtool https://github.com/sflow/sflowtool) ? J'utilise aussi le lookup par pmacct, car il me donne plus d'info dans certains cas, je donne la conf, si ca peut servir : coté arista : ``` sflow sample sflow destination 10.11.12.13 sflow source-interface Loopback0 sflow run sflow extension bgp router bgp neighbor 10.11.12.13 description PMACCT neighbor 10.11.12.13 update-source Loopback0 neighbor 10.11.12.13 route-reflector-client # eviter add-path avec pmacct, ca marchait mal dans mes tests no neighbor 10.11.12.13 additional-paths send any ``` sfacctd.conf : ``` ! we need all of this to get the peer_map working (even if we do not setup a BGP session) bgp_daemon: true bgp_daemon_ip: 10.11.12.13 bgp_daemon_as: x bgp_daemon_max_peers: 10 bgp_peer_src_as_map: /etc/pmacct/peers.map bgp_peer_src_as_type: map ! sfacctd populate 'src_as', 'dst_as', 'peer_src_as' and 'peer_dst_as' primitives from information in bgp ! 'longest' behaves : networks_file < sFlow/NetFlow < <= BGP sfacctd_as: longest sfacctd_net: longest ``` Je dérive sur pmacct, si ca peut aider d'autres lecteurs : Le PEER_SRC_AS n'est pas toujour correct (si asymetrie de trafic), j'ai préféré générer le peers.map a avec mactopeer (un wrapper napalm) : https://github.com/pierky/mactopeer Concernant pmacct, la doc n'est plus du tout a jour sur pmacct.net mieux vaut se baser sur https://github.com/pmacct/pmacct/wiki (et encore...) je comptais en parler avec Paolo au FRnOG. Last but not least, j'ai rédigé un bout de doc sur pmacct / sfacct + influxdb + grafana avec l'aide de @CorsoAlexandre : http://afenioux.fr/blog/article/pmacct-sfacct-influxdb-grafana Arnaud On Thu, Sep 27, 2018 at 11:53 AM Raphael Mazelier wrote: > > > Bonjour, > > Merci pour ces retours constructifs. > > Je peux comprendre la logique même si cela me complique la vie dans le > cas présent. > > En attendant en appliquant la configuration tel que présenté par Arnaud > il me manque les informations as_src, as_dst et as_path :/ J'ai > l'interface out donc c'est presque bon. > > > Je me demande s'il n'y a pas un bug sur ces modèles en particulier. > Dans le pire des cas je vais faire le boulot par pmactt en peerant mais > c'est moins propre. > > Merci à tous. > > PS : je suis impatient de voir Paolo IRL, car online il est vraiment top. > > -- > Raphael Mazelier > > > > On 26/09/2018 23:49, Matthieu Texier wrote: > > Bonjour Raphael, > > > > Je me permets d’intervenir dans la discussion ayant quelques années de > > pratique sur ces sujets. > > > > La “best practice” veut que l’on configure netflow ou sflow ingress sur > > tous les ports de la machine. Cette "best practice" est essentiellement due > > au fait que tu ne dois pas, à priori, configurer ton netflwo/sflow par > > rapport aux résultats finals qui tu attends. Il faut le configurer pour que > > tu es une vue fidèle de ton trafic dans tout ton routeur. La raison cachée > > de cette best practice est qu’un routeur fait son IP lookup sur son port > > ingress (calcul de la best route et port de sortie, etc ..). Demander à un > > routeur, sur son port de sortie de savoir sur quel port le paquet est entré > > est souvent (pour ne pas dire toujours) compliqué (d’autant plus lorsque tu > > fais du link bundling). > > > > C’est le travail du collecteur de te donner les vues qui t’intéresse et qui > > pourra, grace a cette best practice, te donner les vues auxquelles tu > > n’aurais peut-être pas pensée initialement. C’est en particulier vrai > > lorsque tu te sers de tes flow pour la detection d’anomalies. > > > > J’avais fait une petite video sur le sujet il y a quelques années à > > l’assemblée FranceIX: https://www.youtube.com/watch?v=Vds3ibaCpIU > > > > Pour ce qui est du software et de la collecte: l’open source PMACCT offre > > de nombreuses options intéressantes. Paolo Lucente mon ami et partenaire > > (auteur du SW viendra au prochain FRnOG en parler). Il sera disponible > > aussi pour répondre aux questions et moi aussi :-). > > > > My 2 cents, > > Matthieu. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Bonjour, Merci pour ces retours constructifs. Je peux comprendre la logique même si cela me complique la vie dans le cas présent. En attendant en appliquant la configuration tel que présenté par Arnaud il me manque les informations as_src, as_dst et as_path :/ J'ai l'interface out donc c'est presque bon. Je me demande s'il n'y a pas un bug sur ces modèles en particulier. Dans le pire des cas je vais faire le boulot par pmactt en peerant mais c'est moins propre. Merci à tous. PS : je suis impatient de voir Paolo IRL, car online il est vraiment top. -- Raphael Mazelier On 26/09/2018 23:49, Matthieu Texier wrote: Bonjour Raphael, Je me permets d’intervenir dans la discussion ayant quelques années de pratique sur ces sujets. La “best practice” veut que l’on configure netflow ou sflow ingress sur tous les ports de la machine. Cette "best practice" est essentiellement due au fait que tu ne dois pas, à priori, configurer ton netflwo/sflow par rapport aux résultats finals qui tu attends. Il faut le configurer pour que tu es une vue fidèle de ton trafic dans tout ton routeur. La raison cachée de cette best practice est qu’un routeur fait son IP lookup sur son port ingress (calcul de la best route et port de sortie, etc ..). Demander à un routeur, sur son port de sortie de savoir sur quel port le paquet est entré est souvent (pour ne pas dire toujours) compliqué (d’autant plus lorsque tu fais du link bundling). C’est le travail du collecteur de te donner les vues qui t’intéresse et qui pourra, grace a cette best practice, te donner les vues auxquelles tu n’aurais peut-être pas pensée initialement. C’est en particulier vrai lorsque tu te sers de tes flow pour la detection d’anomalies. J’avais fait une petite video sur le sujet il y a quelques années à l’assemblée FranceIX: https://www.youtube.com/watch?v=Vds3ibaCpIU Pour ce qui est du software et de la collecte: l’open source PMACCT offre de nombreuses options intéressantes. Paolo Lucente mon ami et partenaire (auteur du SW viendra au prochain FRnOG en parler). Il sera disponible aussi pour répondre aux questions et moi aussi :-). My 2 cents, Matthieu. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On 27/09/2018 08:47, Romain Degez wrote: Huhu, pour le coup moi je suis passé par ladite étape Brocade ;-) Sûrement pour ça que ça m'a pas gêné plus que ça. J'avoue ne pas avoir eu cette chance... Remarquez qu'il y a une certaine continuité logique entre brocade et arista. Ceci expliquant peut être cela :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
bonjour Raphael Les infos sont en lignes sur la partie publique sur notre site….tout est clair et transparent https://www.arista.com/en/um-eos/eos-section-46-1-sflow-conceptual-overview#ww1152186 "46.1.2 Arista sFlow Implementation Arista switches provide a single sFlow agent instance that samples ingress traffic from all Ethernet and port channel interfaces. Pascal > Le 27 sept. 2018 à 08:46, Arnaud Fenioux a écrit : > > Salut Raphael, > > On a migré tout le réseau d'HOPUS.net avec du Arista (boxes > 7280SR-48C6 et chassis 7508N) et ca tourne super bien! > La cli est tres (trop...) IOS-XE like, mais l'import des prefix-list > par http/https/scp est un plaisir (surtout avec un "refresh ip > prefix-list" en schedule), > il ne manque plus que je le support de RTR pour RPKI/ROA :) > > Pour le sFlow, on ne fait que du ingress... mais pense a activer les > extentions BGP et enlever l'ECMP multipath-relax (ECMP sur des AS-PATH > différents mais de meme longeur, ca complique les stats sFLOW avec des > PEER_DST_ASN à 0) : > > sflow extension bgp > router bgp 44530 > maximum-paths 4 ecmp 4 > no bgp additional-paths receive > no bgp bestpath as-path multipath-relax > > A part ca, le tac est vraiment efficace et réactif, ils ne posent pas > des questions pour faire perdre du temps comme d'autres constructeurs > (pas de noms!) et généralement donnent la solution/workaround en 24h. > > Arnaud > On Thu, Sep 27, 2018 at 8:11 AM Radu-Adrian Feurdean > wrote: >> >> On Wed, Sep 26, 2018, at 22:24, Raphael Mazelier wrote: >>> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc >>> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une >> >> Tu n'a pas du passer par l'etape Brocade, qui avait exactement la meme >> limitation pour le sflow. L'idee etait d'activer les sFlow surtous les ports >> d'un edge, y compris les ports backbone. Ca marchait dans la plupart de cas. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On Thu, Sep 27, 2018 at 8:11 AM Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> wrote: > On Wed, Sep 26, 2018, at 22:24, Raphael Mazelier wrote: > > J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc > > très moche, c'est que je n'arrive pas à avoir de sample en egress d'une > > Tu n'a pas du passer par l'etape Brocade, qui avait exactement la meme > limitation pour le sflow. L'idee etait d'activer les sFlow surtous les > ports d'un edge, y compris les ports backbone. Ca marchait dans la plupart > de cas. Huhu, pour le coup moi je suis passé par ladite étape Brocade ;-) Sûrement pour ça que ça m'a pas gêné plus que ça. ++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Salut Raphael, On a migré tout le réseau d'HOPUS.net avec du Arista (boxes 7280SR-48C6 et chassis 7508N) et ca tourne super bien! La cli est tres (trop...) IOS-XE like, mais l'import des prefix-list par http/https/scp est un plaisir (surtout avec un "refresh ip prefix-list" en schedule), il ne manque plus que je le support de RTR pour RPKI/ROA :) Pour le sFlow, on ne fait que du ingress... mais pense a activer les extentions BGP et enlever l'ECMP multipath-relax (ECMP sur des AS-PATH différents mais de meme longeur, ca complique les stats sFLOW avec des PEER_DST_ASN à 0) : sflow extension bgp router bgp 44530 maximum-paths 4 ecmp 4 no bgp additional-paths receive no bgp bestpath as-path multipath-relax A part ca, le tac est vraiment efficace et réactif, ils ne posent pas des questions pour faire perdre du temps comme d'autres constructeurs (pas de noms!) et généralement donnent la solution/workaround en 24h. Arnaud On Thu, Sep 27, 2018 at 8:11 AM Radu-Adrian Feurdean wrote: > > On Wed, Sep 26, 2018, at 22:24, Raphael Mazelier wrote: > > J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc > > très moche, c'est que je n'arrive pas à avoir de sample en egress d'une > > Tu n'a pas du passer par l'etape Brocade, qui avait exactement la meme > limitation pour le sflow. L'idee etait d'activer les sFlow surtous les ports > d'un edge, y compris les ports backbone. Ca marchait dans la plupart de cas. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On Wed, Sep 26, 2018, at 22:24, Raphael Mazelier wrote: > J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc > très moche, c'est que je n'arrive pas à avoir de sample en egress d'une Tu n'a pas du passer par l'etape Brocade, qui avait exactement la meme limitation pour le sflow. L'idee etait d'activer les sFlow surtous les ports d'un edge, y compris les ports backbone. Ca marchait dans la plupart de cas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On 26/09/2018 22:55, Romain Degez wrote: Ou alors peut-être pour limiter le nombre de ports sur lesquels activer le sampling ? (actif uniquement sur des ports d'upstream/transit/peering et pas sur ceux du lan par exemple ?) Voila. Et avoir des stats in/out au même endroit (interface centric et non switch centric). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
On 26/09/2018 22:57, Romain Degez wrote: Si je dis pas de bêtises, tu peux tout à fait avoir ça en samplant en ingress puisque le switchs rajoute toutes les infos du ports de sortie : • next hop IP • AS numbers • AS system path to the destination • communities • local pref Alors tu as raison en théorie. Sauf qu'en pratique cela va être méga pénible. En effet ce sont des équipements edge qui vont recevoir du trafic in de 90% des ports (dont je me moque de stats) et qui vont sortir du traf sur 3 ports max, ports vers mes gentils peers (stats qui la m’intéressent in et out). Donc oui je vais tester (ai je le choix) de faire les choses à l'envers. Pmacct étant méga flexible je devrais pouvoir m'en sortir sans tout devoir recoder mes outils de flow. Enfin il y a un peu de logique à revoir mais ca doit pouvoir se faire. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] sflow sur Arista
> Raphael Mazelier a écrit : > Bon j'ai la réponse. C'est inbound only. C'est nul. > Résultat je suis bon pour recoder une bonne partie de mes outils de > visualisation de flow :( Quelle ch T'avais quoi, avant ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Si je dis pas de bêtises, tu peux tout à fait avoir ça en samplant en ingress puisque le switchs rajoute toutes les infos du ports de sortie : • next hop IP • AS numbers • AS system path to the destination • communities • local pref (cf https://www.arista.com/assets/data/pdf/user-manual/um-eos/Chapters/sFlow.pdf ) On Wed, Sep 26, 2018 at 10:55 PM Hugues Voiturier wrote: > Stats d’AS sur tes ports de transit/peering par exemple ! > > Sent from my iPhone > > > On 26 Sep 2018, at 22:51, Romain Degez wrote: > > > > Salut Raphael, > > > > Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton > > switch à priori :-o > > Il sera donc forcement "samplé" à ce moment la non ? (en te donnant > > d'ailleurs l'interface d'output dans les infos sflow du sample pour le > flux > > échantillonné en question). > > > > Du coup je dois rater un truc mais quel est l’intérêt de sampler en > egress > > ? (tentative de réponse à moi même : dans les cas de paquets > > broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant > > vite fait je vois sur certaines docs Juniper & Cisco qu'une des > limitation > > du sampling en egress est justement que les broadcast & le multicast ne > > sont pas supportés...) > > > > J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow > ne > > samples qu'en ingress ? > > > > Bref, je suis curieux du cas d'utilisation :-) > > > > ++ > > > >> On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier > wrote: > >> > >> > >> Soir la liste, > >> > >> > >> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs > >> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). > >> > >> Pour le moment le setup est plutôt smooth, la cli est quasi identique à > >> de l'IOS, le commit en plus. On peut même mettre l'interface dans une > >> VRF séparé (je ne vise personne). > >> > >> Évidement tout ne pouvait pas bien se passer du premier coup. > >> > >> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc > >> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une > >> interface. > >> > >> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si > >> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera > >> grandement et décidera du sort de ces équipements. (parce que bon un > >> truc qui ne sait pas faire du flow en 2018 c'est la benne direct). > >> > >> Je cross post sur le forum Arista, et je vais même tenter le tac Arista, > >> sait on jamais. On verra qui me fournira une réponse en 1er :) > >> > >> -- > >> Raphael Mazelier > >> > >> > >> --- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Ou alors peut-être pour limiter le nombre de ports sur lesquels activer le sampling ? (actif uniquement sur des ports d'upstream/transit/peering et pas sur ceux du lan par exemple ?) On Wed, Sep 26, 2018 at 10:51 PM Romain Degez wrote: > Salut Raphael, > > Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton > switch à priori :-o > Il sera donc forcement "samplé" à ce moment la non ? (en te donnant > d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux > échantillonné en question). > > Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress > ? (tentative de réponse à moi même : dans les cas de paquets > broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant > vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation > du sampling en egress est justement que les broadcast & le multicast ne > sont pas supportés...) > > J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne > samples qu'en ingress ? > > Bref, je suis curieux du cas d'utilisation :-) > > ++ > > On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier > wrote: > >> >> Soir la liste, >> >> >> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs >> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). >> >> Pour le moment le setup est plutôt smooth, la cli est quasi identique à >> de l'IOS, le commit en plus. On peut même mettre l'interface dans une >> VRF séparé (je ne vise personne). >> >> Évidement tout ne pouvait pas bien se passer du premier coup. >> >> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc >> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une >> interface. >> >> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si >> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera >> grandement et décidera du sort de ces équipements. (parce que bon un >> truc qui ne sait pas faire du flow en 2018 c'est la benne direct). >> >> Je cross post sur le forum Arista, et je vais même tenter le tac Arista, >> sait on jamais. On verra qui me fournira une réponse en 1er :) >> >> -- >> Raphael Mazelier >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Stats d’AS sur tes ports de transit/peering par exemple ! Sent from my iPhone > On 26 Sep 2018, at 22:51, Romain Degez wrote: > > Salut Raphael, > > Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton > switch à priori :-o > Il sera donc forcement "samplé" à ce moment la non ? (en te donnant > d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux > échantillonné en question). > > Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress > ? (tentative de réponse à moi même : dans les cas de paquets > broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant > vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation > du sampling en egress est justement que les broadcast & le multicast ne > sont pas supportés...) > > J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne > samples qu'en ingress ? > > Bref, je suis curieux du cas d'utilisation :-) > > ++ > >> On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier wrote: >> >> >> Soir la liste, >> >> >> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs >> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). >> >> Pour le moment le setup est plutôt smooth, la cli est quasi identique à >> de l'IOS, le commit en plus. On peut même mettre l'interface dans une >> VRF séparé (je ne vise personne). >> >> Évidement tout ne pouvait pas bien se passer du premier coup. >> >> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc >> très moche, c'est que je n'arrive pas à avoir de sample en egress d'une >> interface. >> >> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si >> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera >> grandement et décidera du sort de ces équipements. (parce que bon un >> truc qui ne sait pas faire du flow en 2018 c'est la benne direct). >> >> Je cross post sur le forum Arista, et je vais même tenter le tac Arista, >> sait on jamais. On verra qui me fournira une réponse en 1er :) >> >> -- >> Raphael Mazelier >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Salut Raphael, Avant de pouvoir espérer en sortir un paquet doit d'abord rentrer sur ton switch à priori :-o Il sera donc forcement "samplé" à ce moment la non ? (en te donnant d'ailleurs l'interface d'output dans les infos sflow du sample pour le flux échantillonné en question). Du coup je dois rater un truc mais quel est l’intérêt de sampler en egress ? (tentative de réponse à moi même : dans les cas de paquets broadcast/multicast dupliqués par le switch peut-être ? mais en cherchant vite fait je vois sur certaines docs Juniper & Cisco qu'une des limitation du sampling en egress est justement que les broadcast & le multicast ne sont pas supportés...) J'ai d'ailleurs l'impression qu'une grande majorité d'équipements sflow ne samples qu'en ingress ? Bref, je suis curieux du cas d'utilisation :-) ++ On Wed, Sep 26, 2018 at 10:24 PM Raphael Mazelier wrote: > > Soir la liste, > > > J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs > DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). > > Pour le moment le setup est plutôt smooth, la cli est quasi identique à > de l'IOS, le commit en plus. On peut même mettre l'interface dans une > VRF séparé (je ne vise personne). > > Évidement tout ne pouvait pas bien se passer du premier coup. > > J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc > très moche, c'est que je n'arrive pas à avoir de sample en egress d'une > interface. > > Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si > quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera > grandement et décidera du sort de ces équipements. (parce que bon un > truc qui ne sait pas faire du flow en 2018 c'est la benne direct). > > Je cross post sur le forum Arista, et je vais même tenter le tac Arista, > sait on jamais. On verra qui me fournira une réponse en 1er :) > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Moi qui réfléchissait à en acheter, tu viens de me vacciner ! Merci 😅 Sent from my iPhone > On 26 Sep 2018, at 22:45, Raphael Mazelier wrote: > > > Bon j'ai la réponse. > C'est inbound only. C'est nul. > > Résultat je suis bon pour recoder une bonne partie de mes outils de > visualisation de flow :( > > > -- > Raphael Mazelier > > >> On 26/09/2018 22:24, Raphael Mazelier wrote: >> Soir la liste, >> J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs >> DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). >> Pour le moment le setup est plutôt smooth, la cli est quasi identique à de >> l'IOS, le commit en plus. On peut même mettre l'interface dans une VRF >> séparé (je ne vise personne). >> Évidement tout ne pouvait pas bien se passer du premier coup. >> J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc très >> moche, c'est que je n'arrive pas à avoir de sample en egress d'une interface. >> Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si >> quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera >> grandement et décidera du sort de ces équipements. (parce que bon un truc >> qui ne sait pas faire du flow en 2018 c'est la benne direct). >> Je cross post sur le forum Arista, et je vais même tenter le tac Arista, >> sait on jamais. On verra qui me fournira une réponse en 1er :) >> -- >> Raphael Mazelier >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] sflow sur Arista
Bon j'ai la réponse. C'est inbound only. C'est nul. Résultat je suis bon pour recoder une bonne partie de mes outils de visualisation de flow :( -- Raphael Mazelier On 26/09/2018 22:24, Raphael Mazelier wrote: Soir la liste, J'ai donc acheté de l'Arista pour upgrader mon réseau, des switchs DCS-7050SX3-48YC12-F pour être précis (Trident3 inside a priori). Pour le moment le setup est plutôt smooth, la cli est quasi identique à de l'IOS, le commit en plus. On peut même mettre l'interface dans une VRF séparé (je ne vise personne). Évidement tout ne pouvait pas bien se passer du premier coup. J'essaye de faire du sflow. Et pour le moment je m’aperçois d'un truc très moche, c'est que je n'arrive pas à avoir de sample en egress d'une interface. Si quelqu'un a de l'Arista et qu'il fait du sflow avec succès, ou si quelqu'un sait si oui ou non c'est censé fonctionner cela m'aidera grandement et décidera du sort de ces équipements. (parce que bon un truc qui ne sait pas faire du flow en 2018 c'est la benne direct). Je cross post sur le forum Arista, et je vais même tenter le tac Arista, sait on jamais. On verra qui me fournira une réponse en 1er :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/