流聚合
JSA 将信息组合在一起,可为您提供有关单个流的更多信息,而无需发送更多流记录。此过程称为聚合。
该流通过将数据包属性规范化为包括以下信息的流记录来显示两个主机之间的通信会话:
-
源 IP 地址
-
源端口
-
目标 IP 地址
-
目标端口
-
协议
-
流 ID(与流源相关)
-
VLAN 字段(与流源相关)
-
VXLAN 字段(与流源相关)
随着主机继续通信,字节和数据包计数器以及有效负载捕获等信息会聚合到单个流记录中。对于跨度超过 1 分钟的通信, JSA 每 1 分钟间隔结束时报告流的当前指标。整个通信会话由多个流记录表示,这些流记录具有相同 的首次数据包时间,但 最后数据包时间 值是增量的。
如果属性相同,则流信息将更新。当一个或多个属性发生变化时,将假定流是唯一的,并会创建新的流记录。
流容量限制
流容量限制可确保 JSA 中的流处理器进程不会过载。
当 流处理器 进程收到的流量超过其处理能力时,会为在多余的流量中观察到的每个协议创建一个溢出记录。这些记录的源 IP 地址为 127.0.0.4,目标 IP 地址为 127.0.0.5,因此可以轻松识别。
例如, JSA 确定 流处理器的流 容量限制为 100,000 个流。在高峰时段,设备每分钟捕获 120,000 个流。不会解析超过 20,000 个流,而是会为在 20,000 个流中看到的每个协议创建一个溢出记录。溢出记录包括字节和数据包计数器,但不会收集和存储源或目标 IP 地址、端口和有效负载捕获等信息。
流容量限制
流量容量取决于多种不同的因素:
-
Deployment flow limit 此流限制基于整个部署中所有流许可证的总和。
Hardware flow limit 硬件流限制是基于可用 CPU 和内存计算的建议流数。
User flow limits 您可以设置希望 JSA 一次处理的最大流数。
如果设置了用户流限制,则优先于部署流限制和硬件限制。
如果未设置用户限制,则使用硬件限制或部署限制的最小限值。
为了确保每分钟流量 (FPM) 许可证发挥最大优势,聚合后会实施流量容量限制。在 1 分钟报告间隔内对现有流的更新不会导致您的 FPM 许可证限制。