Jump to content

Cisco 4948e Netflow (Lite)

sirmax
 Share

Recommended Posts

sirmax

sirmax

Posted
Posted

Доброго дня!
Обнаружил что на 4948e есть  Netflow хоть и с семплингом

Коллеги, у кого-то работает?

настроил в лоб по бумажке,

  

netflow-lite exporter Exporter1
 transport udp 2055
 template data timeout 60
 options sampler-table timeout 60
 options interface-table timeout 60
 source 172.31.100.206
 destination 172.31.100.205
!
...
netflow-lite sampler Sampler1
 packet-rate 128

vlan configuration 3005
 netflow-lite monitor 1
  sampler Sampler1
  exporter Exporter1



Пакетики на коллектор летят - вижу  tcpdump 
  

18:35:17.977402 60:73:5c:d0:cf:7f > ac:1f:6b:ab:7a:26, ethertype IPv4 (0x0800), length 168: (tos 0x0, ttl 254, id 672, offset 0, flags [none], proto UDP (17), length 154)
    172.31.100.206.57460 > 172.31.100.205.2055: [no cksum] UDP, length 126


Однако nfcapd ничего не видит

При этом если стать strace то в момент прилета пакетов 
  

strace -p 2628216
strace: Process 2628216 attached
recvfrom(4, "\0\t\0\1\210d 'b\356\212\211\0\0\2\331\0\0\0\1\0\0\0004\1,\0\v\18\0\2"..., 65535, 0, {sa_family=AF_INET, sin_port=htons(57460), sin_addr=inet_addr("172.31.100.206")}, [16]) = 72
recvfrom(4, "\0\t\0\1\210d 'b\356\212\211\0\0\2\332\0\0\0\1\0\1\0,\1\0\0\4\0\34\0\1"..., 65535, 0, {sa_family=AF_INET, sin_port=htons(57460), sin_addr=inet_addr("172.31.100.206")}, [16]) = 64

Другими словам это не файрволл - до процесса данные доходят


Каталист при этом говорит
  

show netflow-lite monitor 1 vlan 3005
  Netflow-lite  Monitor-1:
    Active:               TRUE
    Sampler:              Sampler1
    Exporter:             Exporter1
    Average Packet Size:  0
  Statistics:
    Packets exported:     0
    Packets observed:     136955
    Packets dropped:      0


 

sirmax

sirmax

Posted
  • Author
Posted

С физического интерфейса данные идут 

interface TenGigabitEthernet1/50
... много вланов ...
 netflow-lite monitor 1
   sampler Sampler1
   exporter Exporter1
end


но nfcap считает что они не правильные
  

1970-01-01 03:00:00.001 INVALID  Ignore     0          0.0.0.0:0     ->          0.0.0.0:0              0.0.0.0:0     ->          0.0.0.0:0            0        0


Коллектор не умеет? или надо offset? 
Сходу не нагуглил ничего

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.