Helios Posted May 9, 2005 Posted May 9, 2005 Изначально была задача - заменить freebsd с 4 100 м/бит сетевками считающую локальный трафик по netflow (ибо только его кушает наш биллинг) на что-нибудь более производительное. Затея купить дешевый маршрутизатор Сisco была отклонена в силу невысокой производительности при малом кол-ве интерфейсов. Ну а те Cisco, что мощные и многоинтерфейсные в разумные деньги не укладывались. :( Ну и дернул меня черт за ногу - прочитав в FAQ Сisco, что Catalyst 2926G умеет neflow, купил этого монстрика б/у за 1200 убитых енотов. Первая радость быстро сменилась разочарованием. Neflow девайс отдавать не хотел - как я вокруг с бубном не плясал. Сisco2926GS> (enable) show mls Total packets switched = 0 Total Active MLS entries = 0 IP Multilayer switching enabled IP Multilayer switching aging time = 128 seconds IP Multilayer switching fast aging time = 32 seconds, packet threshold = 0 IP Current flow mask is Full flow Configured flow mask is Full flow Active IP MLS entries = 0 Netflow Data Export enabled Netflow Data Export configured for port 9996 on host xx.xx.115.228 Destination filter is xx.xx.115.0/255.255.255.0 Total packets exported = 0 вот ссылка на полный конфиг девайса http://cisco2926.sbn.bz/tech-support.txt Больше всего настораживало,что по show mls entry он загадочно говорил "No active MLS-RP." Путем долгого и тягостного изучения доков Cisco, а так же вопросов на opennet.ru была выяснена одна маааленькая такая деталь - любой (!)каталист сам по себе netflow _не_умеет_ , даже 2926G. Всем им надо в пару MLS-RP - а это самый что ни наесть маршрутизатор Cisco. Продавцы об этом не предупредили (скорее всего сами не знали) "Multilayer Switching-Route Processor (MLS-RP)—A Catalyst 5000 family Route Switch Module (RSM) or Route Switch Feature Card (RSFC), or an externally connected Cisco 7500, 7200, 4700, 4500, or 3600 series router with software that supports IP MLS. The MLS-RP provides Cisco IOS-based multiprotocol routing and network services." Все, круг замкнулся :-( Поскольку деньги уже вложенны, хочешь-нехочешь приходится думать о покупке этого-самого MLS-RP. Смотрю за 1200-1400у.е на 3602, 3604 роутеры но не уверен умеют ли они MLSRP а спросить не у кого :( Или обязательно брать 7200 - но тогда что _минимально_ нужно для MLS-RP взять? Народ, не дайте погибнут в неведеньи, подскажите pls, какую _минимально_ конфигурацию рутера нужно собрать, чтобы получить таки netflow c 2926G. Вставить ник Quote
builder Posted May 9, 2005 Posted May 9, 2005 На сколько я знаю, Cisco отдает netflow по своим интерфейсам, т.е. как это в связке с коммутатором делается не пойму, снимать netflow привязанный к нему маршрутизатор со всех его (коммутатора) интерфейсов все равно не будет, но если это тебя спасет, то netflow v.5 нормально отдают и SOHO-циски, а уж 36хх точно могут! Вставить ник Quote
SSD Posted May 9, 2005 Posted May 9, 2005 Изначально была задача - заменить freebsd с 4 100 м/бит сетевками считающую локальный трафик по netflow (ибо только его кушает наш биллинг) на что-нибудь более производительное. Затея купить дешевый маршрутизатор Сisco была отклонена в силу невысокой производительности при малом кол-ве интерфейсов. Ну а те Cisco, что мощные и многоинтерфейсные в разумные деньги не укладывались. :( Ну и дернул меня черт за ногу - прочитав в FAQ Сisco, что Catalyst 2926G умеет neflow, купил этого монстрика б/у за 1200 убитых енотов. Первая радость быстро сменилась разочарованием. Neflow девайс отдавать не хотел - как я вокруг с бубном не плясал. Сisco2926GS> (enable) show mls Total packets switched = 0 Total Active MLS entries = 0 IP Multilayer switching enabled IP Multilayer switching aging time = 128 seconds IP Multilayer switching fast aging time = 32 seconds, packet threshold = 0 IP Current flow mask is Full flow Configured flow mask is Full flow Active IP MLS entries = 0 Netflow Data Export enabled Netflow Data Export configured for port 9996 on host xx.xx.115.228 Destination filter is xx.xx.115.0/255.255.255.0 Total packets exported = 0 вот ссылка на полный конфиг девайса http://cisco2926.sbn.bz/tech-support.txt Больше всего настораживало,что по show mls entry он загадочно говорил "No active MLS-RP." Путем долгого и тягостного изучения доков Cisco, а так же вопросов на opennet.ru была выяснена одна маааленькая такая деталь - любой (!)каталист сам по себе netflow _не_умеет_ , даже 2926G. Всем им надо в пару MLS-RP - а это самый что ни наесть маршрутизатор Cisco. Продавцы об этом не предупредили (скорее всего сами не знали) "Multilayer Switching-Route Processor (MLS-RP)—A Catalyst 5000 family Route Switch Module (RSM) or Route Switch Feature Card (RSFC), or an externally connected Cisco 7500, 7200, 4700, 4500, or 3600 series router with software that supports IP MLS. The MLS-RP provides Cisco IOS-based multiprotocol routing and network services." Все, круг замкнулся :-( Поскольку деньги уже вложенны, хочешь-нехочешь приходится думать о покупке этого-самого MLS-RP. Смотрю за 1200-1400у.е на 3602, 3604 роутеры но не уверен умеют ли они MLSRP а спросить не у кого :( Или обязательно брать 7200 - но тогда что _минимально_ нужно для MLS-RP взять? Народ, не дайте погибнут в неведеньи, подскажите pls, какую _минимально_ конфигурацию рутера нужно собрать, чтобы получить таки netflow c 2926G. Думаю Cisco 1800 Series справится с этим, Вставить ник Quote
Helios Posted May 9, 2005 Author Posted May 9, 2005 Вот что мне ответили на форуме cisco.opennet.ru ----------------начало цитаты----------------------------- Батенька, вам для начала надо разобраться, как работает MLS. Попробую вкратце рассказать :-) В схеме обязательно присутствуют два компоненета - MLS-SE (свитч) и MLS-RP (роут-процессор). Роут-процессор подвязывается к свитчу обязательно через транк (все vlan-ы в одном логическом интерфейсе!). Транком может быть как ethernet-порт, так и etherchannel, но не два порта. На роутере конфигуряете подинтерфейсы для каждого вилана с ip-адресами, настраивате раутинг между вланами. Конфигуряете mls, включаете mls rp ip для каждого подинтерфейса. Настраиваете свитч для работы с mls-rp. Далее схема работы самого mls такая. Первый пакет проходит через свитч на роутер, маршрутизируется из влана во влан и возвращается обратно в свитч. В момент, когда пакет отправляется из свитча в роутер, свитч помечает его как пакет-кандидат на коммутацию mls. Когда пакет возвращается из роутера в свитч с переписанными заголовками второго уровня (новыми маками получателя-отправителя), иденитификация пакета завершается и в таблице mls на свитче создается запись о потоке (приходящая пара маков/выходящая пара маков). Второй пакет потока уже попадает в mls-коммутацию на свитче и на роутер не попадает, а его заголовки переписывает свитч, в соответствии с записью в таблице mls-коммутации. Аппаратно этим как раз занимается плата NetFlow. Таким образом, роутер все равно занимается маршуртизацией, пусть и 5-10% от всего траффика, но без него вы не обойдетесь. Далее, есть еще одна хитрость - маска потока. По умолчанию маска потока состоит из адреса получаетеля. Это позволяет создавать по две записи на все потоки данных между двумя хостами, независимо от их количества, что довольно актуально, так как число записей в mls-таблице ограниченно, по разным источникам, от 32000 дло 128000, а дальнейшие потоки будут полностью переданны роутеру на обработку. Но с такой маской в детализации netflow много данных вы не получите. Другой вариант маски потока - пара src/dest на поток - инфромации больше, но и записей больше. И, наконец, есть полная маска потока - src/dest/proto/srcport/destport, но таким образом можно довольно быстро вылететь из 32000 записей. ----------------конец цитаты----------------------------- В дополнение автор ответа (Nailer) пытался собрать у себя стенд с из Catalyst 5500+7206, но получить с Сatalyst netflow у него тоже не получилось - не отдает он статистику. Может потому, что пробовал со старым 10мбит модулем, может еще почемунибудь. Обнаружил только, что если порты устройства по sh port capabilities показывают отсутствие аппаратной поддержки реврайтинга заголовков (Rewrite no), то L3 тормозит. У него на 5500 + старый модуль 10МБ без реврайта получилось L3 рутинга 200-300К. У 2926G медные 100мбит порты эту фишку поддерживают. Весь вопрос - что гарантированно в пару 2926G поставить в качестве MLS-RP, чтобы Netflow "отдался".. Вставить ник Quote
Nag Posted May 9, 2005 Posted May 9, 2005 Думаю Cisco 1800 Series справится с этим, С чем? С маршрутизацией 4*100 мегабит? http://cisnet.ru/articles/router_speed_1.htm У 1841 - написаны 36 мегабит, и это при фастсвитчинге... Хотя это не мало конечно. В общем - тут надо сначала понять, что реально надо, а от этого и плясать... Снимать данные о трафике прямо со свитча конечно заманчиво... Но как-то не видел таких схем в реале пока. Может кто соберет. ;-) Вставить ник Quote
Helios Posted May 9, 2005 Author Posted May 9, 2005 Так должно же работать! В доках описанно, успешно продавалось десяток лет. Вот только подсказали бы знающие люди с каким железом 2926G скрещивать. Реально надо снять netflow c уже имеющейся железки. 5-10 % от общего трафика это 25-30 Мбит. Но дело даже не в мегабитах а в поддержке IOS маршрутизатора загадочной фишки MLSRP.. Вставить ник Quote
Nag Posted May 9, 2005 Posted May 9, 2005 В чем оно работает кроме 2926G? Если нет в 35-37 серии - в морг, проще не связываться... Если есть - очень интересно... Вставить ник Quote
Helios Posted May 9, 2005 Author Posted May 9, 2005 Если Вы имеете ввиду первый компонент в связке - MLS-SE то он у меня имеется. "Multilayer Switching-Switching Engine (MLS-SE)—Catalyst 5000 family switch with Supervisor Engine III or III F with the NetFlow Feature Card (NFFC) or NFFC II, or Supervisor Engine II G or III G, or a Catalyst 2926G series switch. The MLS-SE provides Layer 3 LAN-switching services." Второй компонент - MLS-RP (повторю немного от поста выше.) " or an externally connected Cisco 7500, 7200, 4700, 4500, or 3600 series router with software that supports IP MLS. The MLS-RP provides Cisco IOS-based multiprotocol routing and network services." Вот и интересно - 3600, 4500, 4700, 7200, 7500 - что выбрать? По кол-во железа имхо вполне достаточно будет шасси+одной платки 100мбит сетевого интерфейса. Вопрос в том какого шасси и с каким SUP.. Вот тут http://www.lexa.ru/inet-admins/msg06715.html утверждается, что достаточно будет 3640. Вставить ник Quote
SSD Posted May 10, 2005 Posted May 10, 2005 Думаю Cisco 1800 Series справится с этим, С чем? С маршрутизацией 4*100 мегабит? http://cisnet.ru/articles/router_speed_1.htm У 1841 - написаны 36 мегабит, и это при фастсвитчинге... Хотя это не мало конечно. В общем - тут надо сначала понять, что реально надо, а от этого и плясать... Снимать данные о трафике прямо со свитча конечно заманчиво... Но как-то не видел таких схем в реале пока. Может кто соберет. ;-) Если исходить из того что 4х100 мбит то тогда 7200 без вариантов :) Вставить ник Quote
Nailer Posted May 11, 2005 Posted May 11, 2005 Nag, классический mls работает на всех больших каталистах. Именно поэтому на них можно считать траффик. Схема с внешним процессором маршрутизации, конечно, самая корявая, пусть и самая старая, что немного ее оправдывает ;-) Уже на пятитонниках существовала внутренняя плата процессора маршрутизации, которая ставилась в один из модулей для портов. В шеститоннике эта плата перекочевала на супервайзор и стала называться MSFC, правда до относительно недавнего времени настраивалась отдельно от каталиста. И сравнительно недавно появился native IOS режим на каталистах, когда управление коммутатором осущевствляется через Cisco IOS, который сам управляет обеими платами и обеспечивает необходимый функционал. А вот на маленьких типа 3550, 3750 и иже с ними L3 свитчинг реалзован по-другому - через аппаратную поддержку L3-операций в асиках, как у 8500 серии каталистов. Так что на 3550 и 3750 траффик все-таки не посчитаешь ;-) SSD, 1800 циска не умеет быть MLS-RP. Только 3600, 4500, 4700, 7200, 7500. Причем в доке на cisco.com про подсчет траффика указаны только 4500, 4700, 7200, 7500 - непонятно, куда делать 3600 - не умеет считать, чтоли? ..Если исходить из того что 4х100 мбит то тогда 7200 без вариантов.. А вот тут вы неправы. На mls-rp роутится только первый пакет из потока, так что для внутренней сети 2926+3620 должно потянуть нормально. Вставить ник Quote
Guest Posted May 11, 2005 Posted May 11, 2005 Итак, MLS с Netflow я все-таки победил :-) Прилагаю отчет.. Итак, имеется следующие железяки: Cisco Catalyst 5500 с Supervisor III-NFFC (WS-X5530) c 4-х портовой платой WS-U5537-FETX (4 10/100 порта, с аппаратной поддержкой inline rewrite-а)+NFFC WS-F5521 Cisco 7206VXR (NPE-G1) processor (revision A) with 229376K/32768K bytes of memory, с IOS-ом c7200-jk9o3s-mz.123-10c.bin (3 10/100/1000 интерфейсов на плате процессора) Cisco 3640 3640 (R4700) processor (revision 0x00) with 56320K/9216K bytes of memory, с софтом c3640-ik9o3s-mz.122-27.bin Задача: собрать стенд с MLS, попробовать посчитать на каталисте траффик. Описание схемы подключения: каталист одним (1/1) портом был подключен к интерфейсу Gig0/1 роутера 7206, интерфейсы жестко поставлены в 100/full режим. С обоих сторон порты настроены на работу в режиме dot1q транка. Управляющие пакеты ходили по первому влану, на 7206 был адрес 10.0.0.1, на каталисте 10.0.0.2 Три оставшихся порта на модуле каталиста были запихнуты в три влана (10, 20, 30), которым соответствовали сети 10.0.10.0/24, 10.0.20.0/24, 10.0.30.0/24. В ходе тестирования использовались 10 и 20 сети, хосты получали адреса 10.0.10.50 и 10.0.20.50. В качетсве 10.0.10.50 был использован ноут с WinXP, на нем же работал сниффер, в качестве 10.0.20.50 был комп с FreeBSD 5.1. Gateway-ями были адреса 10.0.10.1 и 10.0.20.1 соответсвенно. Конфигурация 7206: mls rp nde-address 10.0.0.1 mls rp ip interface GigabitEthernet0/1 ip address 10.0.0.1 255.255.255.0 mls rp vtp-domain mashenka mls rp management-interface mls rp ip ! interface GigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 10.0.10.1 255.255.255.0 mls rp ip ! interface GigabitEthernet0/1.20 encapsulation dot1Q 20 ip address 10.0.20.1 255.255.255.0 mls rp ip ! interface GigabitEthernet0/1.30 encapsulation dot1Q 30 ip address 10.0.30.1 255.255.255.0 mls rp ip ! Конфигурация 5500: #mls set mls flow full set mls include 10.0.0.1 set mls nde enable set mls nde 10.0.10.50 5000 sw_5505> (enable) show port Port Name Status Vlan Level Duplex Speed Type ----- ------------------ ---------- ---------- ------ ------ ----- ------------ 1/1 connected trunk normal full 100 10/100BaseTX 1/2 connected 10 normal a-full a-100 10/100BaseTX 1/3 connected 20 normal a-full a-100 10/100BaseTX 1/4 notconnect 30 normal auto auto 10/100BaseTX Результат: 7206#show mls rp ip multilayer switching is globally enabled ipx multilayer switching is globally disabled ipx mls inbound acl override is globally disabled mls id is 0002.4a1d.b01b mls ip address 10.0.0.1 mls ip flow mask is destination mls ipx flow mask is unknown number of domains configured for mls 1 vlan domain name: mashenka current ip flow mask: destination ip current/next global purge: false/false ip current/next purge count: 0/0 current ipx flow mask: destination ipx current/next global purge: false/false ipx current/next purge count: 0/0 current sequence number: 247706616 current/maximum retry count: 0/10 current domain state: no-change domain uptime: 03:22:14 keepalive timer expires in 7 seconds retry timer not running change timer not running fcp subblock count = 4 1 management interface(s) currently defined: vlan 1 on GigabitEthernet0/1 4 mac-vlan(s) configured for multi-layer switching 4 mac-vlan(s) enabled for ip multi-layer switching: mac 0002.4a1d.b01b vlan id(s) 1 10 20 30 0 mac-vlan(s) enabled for ipx multi-layer switching: router currently aware of following 1 switch(es): switch id 0003.e49c.ebff sw_5505> (enable) show mls Total packets switched = 524 Total Active MLS entries = 0 IP Multilayer switching enabled IP Multilayer switching aging time = 256 seconds IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0 IP Current flow mask is Full flow Configured flow mask is Full flow Active IP MLS entries = 0 Netflow Data Export enabled Netflow Data Export configured for port 5000 on host 10.0.10.50 Total packets exported = 6 IP MLS-RP IP MLS-RP ID XTAG MLS-RP MAC-Vlans ---------------- ------------ ---- --------------------------------- 10.0.0.1 00024a1db01b 4 00-02-4a-1d-b0-1b 1,10,20,30 Для проверки функционирования MLS-коммутации и экспорта NetFlow я стучался телнетом с 10.0.10.50 на произвольные порты 10.0.20.50 (на 50, 53, 80 и еще какие-то). Соединения при этом не устанавливалось, так как на этих портах ничего не висело, поэтому каждый раз в сесси проходило по одному пакету. Результат: sw_5505> (enable) show mls entry Destination IP Source IP Prot DstPrt SrcPrt Destination Mac Vlan Port --------------- --------------- ---- ------ ------ ----------------- ---- ----- MLS-RP 10.0.0.1: 10.0.20.50 10.0.10.50 TCP WWW 4491 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4495 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4487 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4490 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4494 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4489 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4493 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4496 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4488 00-d0-b7-b6-91-da 20 1/3 10.0.20.50 10.0.10.50 TCP WWW 4492 00-d0-b7-b6-91-da 20 1/3 10.0.10.50 10.0.20.50 TCP 4496 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4492 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4493 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4494 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4495 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4488 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4489 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4490 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4491 WWW 00-50-04-ff-13-92 10 1/2 10.0.10.50 10.0.20.50 TCP 4487 WWW 00-50-04-ff-13-92 10 1/2 sw_5505> (enable) show mls nde Netflow Data Export enabled Netflow Data Export configured for port 5000 on host 10.0.10.50 Total packets exported = 6 Это при _полной_ маске потока. Такой подход больше всего расходует размер MLS-таблицы, а она может содержать всего-то 32000 записей, иначе остальное пойдет на роутер :-( В NetFlow полетело (отдавал каталист 7-ю версию нетфлова, без вариантов) следующее (показана часть пакета, отловленного Ethereal-ом): Frame 69 (1470 bytes on wire, 1470 bytes captured) Arrival Time: May 11, 2005 15:18:29.826040000 .. Ethernet II, Src: 00:02:4a:1d:b0:1b, Dst: 00:50:04:ff:13:92 Destination: 00:50:04:ff:13:92 (10.0.10.50) Source: 00:02:4a:1d:b0:1b (10.0.10.1) Type: IP (0x0800) Internet Protocol, Src Addr: 10.0.0.2 (10.0.0.2), Dst Addr: 10.0.10.50 (10.0.10.50) Version: 4 ... Protocol: UDP (0x11) Header checksum: 0x986f (correct) Source: 10.0.0.2 (10.0.0.2) Destination: 10.0.10.50 (10.0.10.50) User Datagram Protocol, Src Port: 1026 (1026), Dst Port: 5000 (5000) Source port: 1026 (1026) Destination port: 5000 (5000) Length: 1436 Checksum: 0xf057 (correct) Cisco NetFlow Version: 7 Count: 27 SysUptime: 10237180 Timestamp: May 11, 2005 18:22:10.000000000 CurrentSecs: 1115821330 CurrentNSecs: 0 FlowSequence: 380 reserved pdu 1/27 SrcAddr: 10.0.10.50 (10.0.10.50) DstAddr: 10.0.20.50 (10.0.20.50) NextHop: 0.0.0.0 (0.0.0.0) InputInt: 0 OutputInt: 163 Packets: 1 Octets: 66 StartTime: 9971.000000000 seconds EndTime: 9972.000000000 seconds SrcPort: 4430 DstPort: 53 Export Flags: 0x00 TCP Flags: 0x00 Protocol: 6 IP ToS: 0x00 SrcAS: 0 DstAS: 0 SrcMask: 0 (prefix: 10.0.10.50/32) DstMask: 0 (prefix: 10.0.20.50/32) padding Router Shortcut: 10.0.0.1 (10.0.0.1) pdu 2/27 SrcAddr: 10.0.10.50 (10.0.10.50) DstAddr: 10.0.20.50 (10.0.20.50) NextHop: 0.0.0.0 (0.0.0.0) InputInt: 0 OutputInt: 163 Packets: 1 Octets: 66 StartTime: 9969.000000000 seconds EndTime: 9970.000000000 seconds SrcPort: 4426 DstPort: 53 Export Flags: 0x00 TCP Flags: 0x00 Protocol: 6 IP ToS: 0x00 SrcAS: 0 DstAS: 0 SrcMask: 0 (prefix: 10.0.10.50/32) DstMask: 0 (prefix: 10.0.20.50/32) padding Router Shortcut: 10.0.0.1 (10.0.0.1) pdu 3/27 SrcAddr: 10.0.10.50 (10.0.10.50) DstAddr: 10.0.20.50 (10.0.20.50) NextHop: 0.0.0.0 (0.0.0.0) InputInt: 0 OutputInt: 163 Packets: 1 Octets: 66 StartTime: 9967.000000000 seconds EndTime: 9967.000000000 seconds SrcPort: 4421 DstPort: 53 Export Flags: 0x00 TCP Flags: 0x00 Protocol: 6 IP ToS: 0x00 SrcAS: 0 DstAS: 0 SrcMask: 0 (prefix: 10.0.10.50/32) DstMask: 0 (prefix: 10.0.20.50/32) padding Router Shortcut: 10.0.0.1 (10.0.0.1) pdu 4/27 .... И т.д., достаточно подробно. Если же маску потока поставить не full, а source-destination, то в NetFlow получится следующая картина: ... pdu 20/21 SrcAddr: 10.0.20.50 (10.0.20.50) DstAddr: 10.0.10.50 (10.0.10.50) NextHop: 0.0.0.0 (0.0.0.0) InputInt: 0 OutputInt: 162 Packets: 29 Octets: 1856 StartTime: 11557.000000000 seconds EndTime: 11565.000000000 seconds SrcPort: 0 DstPort: 0 Export Flags: 0x02 TCP Flags: 0x00 Protocol: 0 IP ToS: 0x00 SrcAS: 0 DstAS: 0 SrcMask: 0 (prefix: 10.0.20.50/32) DstMask: 0 (prefix: 10.0.10.50/32) padding Router Shortcut: 10.0.0.1 (10.0.0.1) pdu 21/21 SrcAddr: 10.0.10.50 (10.0.10.50) DstAddr: 10.0.20.50 (10.0.20.50) NextHop: 0.0.0.0 (0.0.0.0) InputInt: 0 OutputInt: 163 Packets: 29 Octets: 1914 StartTime: 11557.000000000 seconds EndTime: 11565.000000000 seconds SrcPort: 0 DstPort: 0 Export Flags: 0x02 TCP Flags: 0x00 Protocol: 0 IP ToS: 0x00 SrcAS: 0 DstAS: 0 SrcMask: 0 (prefix: 10.0.10.50/32) DstMask: 0 (prefix: 10.0.20.50/32) padding Router Shortcut: 10.0.0.1 (10.0.0.1) ... При этом на пару сервер-клиент в любом случае в MLS-таблице будет отведено всего две записи, но за счет этого страдает детализация вывода. В экспорте нетфлова с каталиста (а отдает нетфлов, кстати, именно он, а не роутер) есть две особенности. Во-первых, несмотря на то, что первый пакет маршрутизируется роуетром, он не пропадает из статисики каталиста, как я ожидал - это видно в примере с полной маской, где в перехваченном пакете указано в записи pdu число пакетов в потоке - 1. А во-вторых, в отличие от роутера, который может четко поймать конец tcp-сессии по признаку завершения, свитч считает сессию завершенной, когда по ней в течение времени, равного таймауту удаления из MLS-таблицы, не пролетает ни одного пакета. Таким образом, реальные сессии могут идти не совсем так, как вывалит в нетфлоу каталист. Кроме того, при MLS-коммутации с маской source-destination несколько сессий могут оказаться в экспорте одной, с просуммированным траффиком и количеством пакетов - смотрим pdu 20/21. Вывод. Несмортя на очевидное устаревание данной технологии, она может позволить выполнять подсчет траффика на каналах 100 мегабит и более с аппаратной L3 wire-speed коммутацией, с экспортом по NetFlow, динамической маршрутизацией посредством MLS-RP, при этом суммарная стоимость оборудования для связки 2926G + 3620 должна составить примерно 2500$, за эти деньги можно получить 24 10/100 порта, на которых теоретически можно считать траффик при полной загрузке. Примечание. Порты MLS-SP должны поддерживать аппаратный реврайтинг mac-адресов (inline rewrite или просто rewrite), иначе эту функицю модулю порта придется делать программно, при этом у меня на 10-мбит порту получилась скорость 200-300К при перекачивании файла через самбу. Вставить ник Quote
Дятел Posted May 11, 2005 Posted May 11, 2005 а я не въехал...на стенде работал 7206, а не 3640...почему? Вставить ник Quote
Nailer Posted May 11, 2005 Posted May 11, 2005 Дятел, потому что 3640 стоит в продакшне, на ней есть один свободный интерфейс, в принципе, можно проверить и на ней. Я начал ковырять MLS как раз на ней, потом пришло начальство и дало 7200 циску, чтобы я рабочую сетку не трогал. Вообще по идее на 3600 и 7200 с MLS все одинаково. Вставить ник Quote
Nag Posted May 11, 2005 Posted May 11, 2005 Хм... Перенесу в раздел "настроек". ;-) Вообще интересно - завтра выделю 3620 побаловаться - если заработает будет еще один бюджетный вариант... Вставить ник Quote
smsm Posted May 11, 2005 Posted May 11, 2005 а могешь потестить, сколько трафика переварит ? Вставить ник Quote
Helios Posted May 11, 2005 Author Posted May 11, 2005 Вроде договорился с NAGом о тестировании - буду для начала проверять схему на "заработает - нет". Если кто подскажет методику тестирования, как нагрузить свитч более разносторонне (самому кроме mikrotik bandswitch тестера + качать файло с http-ftp и обратно ничего в голову не приходит) - например какую-нибудь трафикогенерилку с возможностью "показа" получившейся пропуской способности - обязательно попробую. Уже предвижу следующий "косячок" - все известные мне биллинги (Cherry, Lanbilling ) понимают только Netflow V5. Придется списываться с разработчиками или самому переписывать скрипты.. Счас вот усиленно ищу чем бы Netflow V7 хотя-бы посмотреть во время тестирования - пока ничего не находится :( Вставить ник Quote
Igor Diakonov Posted May 12, 2005 Posted May 12, 2005 http://nfdump.sourceforge.net/ http://jnfc.sourceforge.net/ Вставить ник Quote
Igor Diakonov Posted May 12, 2005 Posted May 12, 2005 Если ничего не подойдёт - я могу за день-другой наваять на перле коллектор... тупой правда совсем - будет просто скидывать потоки в файл...и производительностью думаю тож блистать не будет =) Вставить ник Quote
aidmax Posted May 12, 2005 Posted May 12, 2005 Вроде договорился с NAGом о тестировании - буду для начала проверять схему на "заработает - нет". Если кто подскажет методику тестирования, как нагрузить свитч более разносторонне (самому кроме mikrotik bandswitch тестера + качать файло с http-ftp и обратно ничего в голову не приходит) - например какую-нибудь трафикогенерилку с возможностью "показа" получившейся пропуской способности - обязательно попробую. Уже предвижу следующий "косячок" - все известные мне биллинги (Cherry, Lanbilling ) понимают только Netflow V5. Придется списываться с разработчиками или самому переписывать скрипты.. Счас вот усиленно ищу чем бы Netflow V7 хотя-бы посмотреть во время тестирования - пока ничего не находится :( вот кстати тем же вопросом задавался http://forum.nag.ru/viewtopic.php?t=12597 там и метода есть но софта правда нет у меня Вставить ник Quote
Bushi Posted May 12, 2005 Posted May 12, 2005 Если ничего не подойдёт - я могу за день-другой наваять на перле коллектор...тупой правда совсем - будет просто скидывать потоки в файл...и производительностью думаю тож блистать не будет =) Есть же готовый flow-tools, в принципе можно свои патчи наложить, чтобы данные сразу в базу складировал. Вставить ник Quote
Nailer Posted May 12, 2005 Posted May 12, 2005 Смотрим http://www.splintered.net/sw/flow-tools/do...ow-capture.html -V pdu_version Use pdu_version format output. 1 NetFlow version 1 (No sequence numbers, AS, or mask) 5 NetFlow version 5 6 NetFlow version 6 (5+ Encapsulation size) 7 NetFlow version 7 (Catalyst switches) 8.1 NetFlow AS Aggregation 8.2 NetFlow Proto Port Aggregation 8.3 NetFlow Source Prefix Aggregation 8.4 NetFlow Destination Prefix Aggregation 8.5 NetFlow Prefix Aggregation 8.6 NetFlow Destination (Catalyst switches) 8.7 NetFlow Source Destination (Catalyst switches) 8.8 NetFlow Full Flow (Catalyst switches) 8.9 NetFlow ToS AS Aggregation 8.10 NetFlow ToS Proto Port Aggregation 8.11 NetFlow ToS Source Prefix Aggregation 8.12 NetFlow ToS Destination Prefix Aggregation 8.13 NetFlow ToS Prefix Aggregation 8.14 NetFlow ToS Prefix Port Aggregation 1005 Flow-Tools tagged version 5 Так что с этим проблем нет.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.