форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"CISCO 2610XM, NetFlow и NetFlowMet"
Сообщение от harlan (ok) on 23-Авг-05, 08:20  (MSK)
Есть следующая связка. CISCO 2610 XM. Информация о трафике снимается через NetFlow и собирается на коллекторе на базе Linux + NetFlowMet (P-IV, 1Гб памяти. Средняя загрузка процессора ~9%). Конфиг CISCO: ... ip subnet-zero no ip rcmd domain-lookup ip flow-cache entries 10000 ip flow-cache feature-accelerate ip cef ! ... ! interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow no ip mroute-cache speed auto full-duplex ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address A.B.C.1 255.255.255.248 ! interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address D.E.F.233 255.255.255.248 ! interface FastEthernet0/0.3 encapsulation dot1Q 3 ip address D.E.F.242 255.255.255.240 ! interface Serial0/0 ip address X.Y.Z.1 255.255.255.252 ip route-cache flow no ip mroute-cache no fair-queue ! ip flow-export source FastEthernet0/0.1 ip flow-export version 5 ip flow-export destination A.B.C.4 9996 ip classless ... C интерфейса F0/0 выход поступает на CISCO CATALIST 2519, который разруливает VLAN. При "большой" нагрузке (порядка 1 mbps) начинает "теряться" информация в NetFlowMet. Разница между статистикой провайдера и моей может разнится на порядок. Отсюда два вопроса: 1. Как узнать, где теряются пакеты? CISCO не успевает их передавать, или NetFlowMet, не успевает их обрабатывать? 2. Как правильно настроить QoS, что бы пакеты NetFlow пролетали в первую очередь? P.S. Огромная просьба: пожалуйста, не отвечайте "RTFM". Дайте подробный ответ.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "CISCO 2610XM, NetFlow и NetFlowMe"
Сообщение от Сайко on 23-Авг-05, 09:47  (MSK)
А с чего ты взял что у тебя теряются пакеты? Действительно у каждого сгенеренного cisco'й flows'а есть порядковый номер - ты их проверял? Я думаю узкое место - catalyst-server! У тебя какой там duplex выставлен? жестко? а также speed! А также может и сам daemon не справляться. - Можно настроить на свитче SPAN(правда я не знаю поддерживает его 2519) и установить еще один коллектор - flow-tools например, а затем посмотреть есть ли там потери по flows. flows - это udp поток по тому порту, который ты указал в настройках. Из-за UDP все вытекающие. Соответсвенно настрой и QoS!
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от sh_ (??) on 23-Авг-05, 09:54  (MSK)
	Я не думаю, что из-за потери нескольких пакетов из флова траффик может расходиться на порядок. Скорее всего собиралка офигевает от большого количества информации. Действительно, как сказал Сайко, попробуйте другой коллектор.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от harlan (ok) on 23-Авг-05, 10:16  (MSK)
	>Действительно, как сказал Сайко, попробуйте другой коллектор. На каталистовском порте выставлено 100mbps, full-duplex 1. А не могли бы предложить что-нибудь (другую считалку)? 2. К слову, а на cisce всё нормально включено (по приведённому куску конфига)? 3. Приведу свои рулесы на NetFlowMet. Может там что не так накрутил? ========== flow.srl ============ # Мои подсети DEFINE mynets = (D.E.F.232/29,D.E.F.240/28,A.B.C.0/24); # Порты моего сервера. Не используется, но не убрал. Может быть зря? DEFINE srv = (53,161,20,21,22,23,69,80,110,25,143,443,119,139); IF SourcePeerType == IP SAVE; ELSE IGNORE; STORE SourceClass := 0; STORE DestClass := 0; IF SourcePeerAddress == mynets {     STORE SourceClass := 1; } IF DestPeerAddress == mynets {     STORE DestClass := 1; } # Локальные пакеты отбрасываем. Логируем только те, которые пришли из- или ушли во-вне. IF SourceClass == 0 || DestClass == 0 {     SAVE SourcePeerAddress/32;     SAVE SourceTransAddress;     SAVE DestPeerAddress/32;     SAVE DestTransAddress;     SAVE SourceTransType;     SAVE SourceInterface;     SAVE DestInterface; } ELSE IGNORE; COUNT; FORMAT FlowRuleSet FlowIndex FirstTime SourceTransType SourceInterface SourcePeerAddress SourceTransAddress DestInterface DestPeerAddress DestTransAddress ToOctets FromOctets; STATISTICS; SET 5; =============== End Flow.srl ============== Подскажите, как проверить номера пакетов?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от Nailer (??) on 23-Авг-05, 10:33  (MSK)
	>>Действительно, как сказал Сайко, попробуйте другой коллектор. > >На каталистовском порте выставлено 100mbps, full-duplex > Ошибок на порте нету? Поток в 1 мегабит - слишком мало, чтобы что-то захлебывалось. Скорее где-то несогласование скорости/дуплекса. С другой стороны линка так же или авто?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от sh_ (??) on 23-Авг-05, 10:34  (MSK)
	>Подскажите, как проверить номера пакетов? Не номера пакетов, а номера flows. Их можно посмотреть в файле, в который весь обработанный флов сыпется. Поле flowindex. >1. А не могли бы предложить что-нибудь (другую считалку)? flow-tools, cflowd... первая проще в настройке и понятнее... NeTraMet достаточно замороченная штука. Чтобы заставить ее работать, как тебе хочется, можно на кучу граблей наступить... :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от Сайко on 23-Авг-05, 10:52  (MSK)
	>flow-tools, cflowd... первая проще в настройке и понятнее... к слову... меня недавно один джуниперист(типа как цыскарь, но говорят люди просто ужас - в хорошем смысле слова, причем он реальный juniper инженер) уверял что flow-tools это типа продолжение caida'вского(http://www.caida.org/) cflowd. А сам проект от caida более не поддерживается. О как! Правда судя по тому, что и у flow-tools последняя версия 0.66 уже года так 3, то осмелюсь предположить что и это тоже не поддерживается...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от citrin (ok) on 23-Авг-05, 11:14  (MSK)
	>в хорошем смысле слова, причем он реальный juniper инженер) уверял что >flow-tools это типа продолжение caida'вского(http://www.caida.org/) cflowd. А сам проект от caida >более не поддерживается. О как! >Правда судя по тому, что и у flow-tools последняя версия 0.66 уже >года так 3, то осмелюсь предположить что и это тоже не >поддерживается... Насколько я знаю так оно и есть. А последняя версия flow-tools сейчас 0.68 и выпущена она 5-11-2005.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от Сайко on 23-Авг-05, 11:33  (MSK)
	>Насколько я знаю так оно и есть. А последняя версия flow-tools сейчас >0.68 и выпущена она 5-11-2005. Конечно я имел ввиду Latest Stable Version (0.66)!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "CISCO 2610XM, NetFlow и NetFlowMe"
	Сообщение от harlan (ok) on 23-Авг-05, 13:34  (MSK)
	А что скажет многоуважаемый All на счёт пакетов 1. NetAMS; 2. NetFlTools. Не яляется ли NetFlTools другим названием Flow-Tools?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.