URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7633
[ Назад ]

Исходное сообщение
"Вопрос по netflow"
Отправлено kran , 02-Апр-05 09:54

Здравствуйте, коллеги. Исходные данные такие. С CISCO 2611 собирается трафик по netflow. Я собираю следующие поля: время начала сессии, время окончания сессии, адрес источника и назначения, порты и собственно размер пакетов. Время начала сессии собирается с точностью до десятитысячных долей секунды. Когда просматриваю результаты, встречаются записи с абсолютно одинаковым временем начала сессии и адресом источника. Вопрос: может ли такое быть в принципе, чтобы одна и та же машина инициировала две сессии в одно и тоже время, с точностью до десятитысячных долей секунды или это какой глюк?

Содержание

Вопрос по netflow,sh_, 13:14 , 02-Апр-05
- Вопрос по netflow,kran, 22:01 , 02-Апр-05
  - Вопрос по netflow,sh_, 23:09 , 02-Апр-05
    - Вопрос по netflow,kran, 23:24 , 02-Апр-05
      - Вопрос по netflow,sh_, 15:47 , 03-Апр-05
Вопрос по netflow,Samp, 07:32 , 05-Апр-05

Сообщения в этом обсуждении

"Вопрос по netflow"
Отправлено sh_ , 02-Апр-05 13:14

Чем собираешь?

"Вопрос по netflow"
Отправлено kran , 02-Апр-05 22:01

>Чем собираешь?
С маршрутизатора на netflowtools. Потом загружаю в Oracle.

"Вопрос по netflow"
Отправлено sh_ , 02-Апр-05 23:09

Ну по идее это один и тот же флов. Как только зафиксировался первый пакет, появилась запись со starttime, endtime и т.д. А дальше пакеты этого же типа будут учитываться там же и будут меняться только дата окончания (прохождения последнего пакета), и каунтеры...

"Вопрос по netflow"
Отправлено kran , 02-Апр-05 23:24

>Ну по идее это один и тот же флов. Как только зафиксировался
>первый пакет, появилась запись со starttime, endtime и т.д. А дальше
>пакеты этого же типа будут учитываться там же и будут меняться
>только дата окончания (прохождения последнего пакета), и каунтеры...
А что Вы подразумеваете под пакетами этого же типа?

"Вопрос по netflow"
Отправлено sh_ , 03-Апр-05 15:47

Одного типа - это с одинаковыми адресами SRC, DST, одинаковыми портами, одинаковым протоколом (и по-моему next-hop'ом). Посмотри, у этих записей flowindex должен совпадать.

"Вопрос по netflow"
Отправлено Samp , 05-Апр-05 07:32

Может. Дело не в глюке. С коллектора ты снимаешь данные с периодичностью допустим 10 мин. Может открыться сессия начавшаяся в первом съеме и закончившаяся во втором. Ты получишь два флова с одинаковыми flowindex и starttime, и разными endtime и размером (который нарастающий). Т.е. тебе нужно оставить флов с последним endtime, иначе клиенты не расчитаются за трафик:)