用于网络监控的路由/代理 SNMP 陷阱（或 Netflow、通用 UDP 等）的解决方案？

Question

我正在为一个非常大的网络（大约 5000 个网络设备）实施网络监控解决方案。我们希望网络上的所有设备都将 SNMP 陷阱发送到单个盒子（从技术上讲，这可能是一对 HA 盒子），然后让该盒子将 SNMP 陷阱传递到真正的处理盒子。这将允许我们有多个后端盒处理陷阱，并在这些后端盒之间分配负载。

我们需要的一个关键功能是能够根据陷阱的源地址将陷阱转发到特定的框。有关处理此问题的最佳方法的任何建议？

我们考虑过的事情包括：

• 使用 snmptrapd 接受陷阱，并将它们传递给自定义编写的 perl 处理程序脚本以重写陷阱并将其发送到适当的处理框
• 使用在 Linux 机器上运行的某种负载平衡软件来处理这个问题（很难找到许多处理 UDP 的负载平衡程序）
• 使用负载平衡设备（F5 等）
• 在 Linux 机器上使用 IPTables 通过 NATing 路由 SNMP 陷阱

我们目前已经实施并正在测试最后一个解决方案，使用一个配置了 IPTables 的 Linux 机器来接收陷阱，然后根据陷阱的源地址，用目标 nat (DNAT) 重写它，以便数据包被发送到合适的服务器。例如：

# Range: 10.0.0.0/19       Site: abc01    Destination: foo01
iptables -t nat -A PREROUTING -p udp --dport 162 -s 10.0.0.0/19 -j DNAT --to-destination 10.1.2.3
# Range: 10.0.33.0/21       Site: abc01    Destination: foo01
iptables -t nat -A PREROUTING -p udp --dport 162 -s 10.0.33.0/21 -j DNAT --to-destination 10.1.2.3
# Range: 10.1.0.0/16       Site: xyz01    Destination: bar01
iptables -t nat -A PREROUTING -p udp --dport 162 -s 10.1.0.0/16 -j DNAT --to-destination 10.3.2.1

对于基本的陷阱路由，这应该具有出色的效率，但它使我们完全受限于我们可以使用 IPTables 进行处理和过滤的内容，因此我们担心未来的灵活性。

我们非常喜欢但并非“必须”的另一个功能是复制或镜像 UDP 数据包的能力。能够获取一个传入的陷阱并将其路由到多个目的地将非常有用。

有没有人为 SNMP 陷阱（或 Netflow、通用 UDP 等）负载平衡尝试过上述任何可能的解决方案？或者任何人都可以想到任何其他替代方案来解决这个问题？

Answer 1

一位同事刚刚向我展示了采样器。这个工具看起来就是我一直在寻找的完美解决方案。来自该工具的网站：

这个简单的程序侦听网络端口上的 UDP 数据报，并将这些数据报的副本发送到一组目的地。或者，它可以执行采样，即不是转发每个数据包，而是仅转发 N 中的 1 个数据包。另一个选择是它可以“欺骗”IP 源地址，以便副本看起来来自原始源，而不是中继。目前仅支持 IPv4。

它可用于将 Netflow 数据包、SNMP 陷阱（但不通知）或 Syslog 消息分发到多个接收者。