Jump to content

netflow и потеря данных

ssk
 Share

Recommended Posts

ssk

ssk

Posted
Posted

Стоит cisco 7505, экспортирует данные по netflow, ios на ней

(RSP-JSV-M), Version 12.3(15a).

 

Все вообщем то хорошо, но последнее время мучают меня сомнения - а все ли данные о трафике она отдает.

 

за этой cisco на езернете стоит bsd с pcap сборщиком, и на некотрых адресах, не на всех, особенно где идет большое количество сессий, данные отличаются иногда более чем на 10% не в пользу netflow.

 

Хочу спросить уважаемых коллег, были ли прецедены подобного поведения, может быть ios поменять или еще чего подкрутить.

Nailer

Nailer

Posted
Posted
Стоит cisco 7505, экспортирует данные по netflow, ios на ней

(RSP-JSV-M), Version 12.3(15a).

 

Все вообщем то хорошо, но последнее время мучают меня сомнения - а все ли данные о трафике она отдает.

 

за этой cisco на езернете стоит bsd с pcap сборщиком, и на некотрых адресах, не на всех, особенно где идет большое количество сессий, данные отличаются иногда более чем на 10% не в пользу netflow.

 

Хочу спросить уважаемых коллег, были ли прецедены подобного поведения, может быть ios поменять или еще чего подкрутить.

 

За какой пероид вы сравниваете данные?

ssk

ssk

Posted
  • Author
Posted
Стоит cisco 7505, экспортирует данные по netflow, ios на ней

(RSP-JSV-M), Version 12.3(15a).

 

Все вообщем то хорошо, но последнее время мучают меня сомнения - а все ли данные о трафике она отдает.

 

за этой cisco на езернете стоит bsd с pcap сборщиком, и на некотрых адресах, не на всех, особенно где идет большое количество сессий, данные отличаются иногда более чем на 10% не в пользу netflow.

 

Хочу спросить уважаемых коллег, были ли прецедены подобного поведения, может быть ios поменять или еще чего подкрутить.

 

За какой пероид вы сравниваете данные?

 

Беру например с начала месяца, так, на адрес по pcap трафик в районе 8.9Г, по netflow в районе 6.7Г

Nailer

Nailer

Posted
Posted

Хм. Многовато :-)

 

Проверяйте, не перегружен ли коллектор, и особенно внимательно - не перегружен ли канал между роутером и коллектором, так как нетфлов по UDP ходит, зараза..

 

ЗЫ. PCAP не с L2-заголовками случаем считает?..

ssk

ssk

Posted
  • Author
Posted
Хм. Многовато :-)

 

Проверяйте, не перегружен ли коллектор, и особенно внимательно - не перегружен ли канал между роутером и коллектором, так как нетфлов по UDP ходит, зараза..

 

ЗЫ. PCAP не с L2-заголовками случаем считает?..

 

Коллектор не загружен совершенно, при сортировке данных в форкнутом процессе загрузка не более 25%, основной в это время собирает далее. Канал до коллектора выведен в отдельную карту на 7505

 

PCAP считает без L2 заголовков. да и на бОльшей части адресов все в порядке, расхождение в пределах 0.01%

ssk

ssk

Posted
  • Author
Posted
Тогда смотрите, не попадает ли траффик в Process-switching..

 

sh int switching

 

чего то видимо попадает

 

Serial3/0/0

Throttle count 281

Drops RP 382 SP 0

SPD Flushes Fast 948205 SSE 0

SPD Aggress Fast 0

SPD Priority Inputs 1087021 Drops 0

 

Protocol IP

Switching path Pkts In Chars In Pkts Out Chars Out

Process 122124748 3787085687 402362574 610522256

Cache misses 874277 - - -

Fast 1065580352 4266040109 933123563 1438456418

Auton/SSE 6727672 378155370 0 0

 

Protocol Other

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.