Перейти к содержимому
Калькуляторы

Не хватает трафика на Netflow

Есть каталист 7606 с RSP720-3CXL.

На нем включен MLS NDE.

На всех VLAN-интерфейсах включен ip flow ingress. Netflow экспортируется на коллектор, который считает в том числе и общий трафик по всем префиксам. Но по netflow получается на 1 гигабит меньше трафика, чем по SNMP (для всех Vlan интерфейсов, и для аплинков). Основной поток трафика идет на аплинк, между вланами почти ничего не ходит.

 

Вот что сконфигурировано:

ip flow-cache entries 524288

ip flow-cache timeout inactive 10

ip flow-cache timeout active 1

mls ip multicast flow-stat-timer 9

mls flow ip interface-full

mls nde sender

 

Со стороны принимающего сервера, судя по netstat, дропов по UDP нет.

 

В какую сторону копать, есть идеи?

Изменено пользователем Lexasoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть каталист 7606 с RSP720-3CXL.

На нем включен MLS NDE.

На всех VLAN-интерфейсах включен ip flow ingress. Netflow экспортируется на коллектор, который считает в том числе и общий трафик по всем префиксам. Но по netflow получается на 1 гигабит меньше трафика, чем по SNMP (для всех Vlan интерфейсов, и для аплинков). Основной поток трафика идет на аплинк, между вланами почти ничего не ходит.

 

Вот что сконфигурировано:

ip flow-cache entries 524288

ip flow-cache timeout inactive 10

ip flow-cache timeout active 1

mls ip multicast flow-stat-timer 9

mls flow ip interface-full

mls nde sender

 

Со стороны принимающего сервера, судя по netstat, дропов по UDP нет.

 

В какую сторону копать, есть идеи?

Общий объем траффика какой?

 

Netflow считает с заголовками IP, SNMP - IP + Ethernet. Расхождение в 5-7% вполне возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Общий — 5.9 гигабит

Показывается на нетфлоу — 5.2

 

700 мегабит это большая разница все-таки.

 

В аплинк ходит только IP, откуда там Ethernet-у взяться?

Изменено пользователем Lexasoft

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Общий — 5.9 гигабит

Показывается на нетфлоу — 5.2

 

700 мегабит это большая разница все-таки.

 

В аплинк ходит только IP, откуда там Ethernet-у взяться?

SNMP считает на втором уровне и всё, что проходит в порт/из порта.

То есть не только голое IP, но и для Ethernet ARP и прочий DHCP, для FR - всякие LMI и т.д., для X.25 - каждый RR. И т.д.

Смысл ясен? Netflow же считает голое IP.

При этом для случая Catalyst SNMP учитывает CRC-поле (FCS imho в стандарте?) для Ethernet-пакета, для рутеров не учитывает, а для сабинтерфейсов на рутере учитывает ISL или 802.1q заголовок.

Кроме того на рутере по SNMP учитывается паддинг второго уровня до минимального пакета. При мелкошинкованном трафике это актуально донельзя ;)

 

В общем выводов два:

1. У вас разница нормальная, она, бывает, доходит и до 10% при неблагоприятных условиях. Как правило в районе 2-4%. Мы раскапывали проблемы даже при разнице 1% и менее, находили причины, которые изложены выше.

2. Для правильного и качественного сравнения возьмите кол-во прошедших пакетов через пару-тройку-десяток интерфейсов за один и тот же период и оцените разницу уже в них.

Если при приходе netflow пробелов в потоке флоузов нет, и по SNMP прокрутка отработалась нормально и разница в количестве пакетов таки есть - берите Cisco за задницу, если есть контракт, конечно. Они реагируют медленно, но реагируют.

Но на 99% у Вас разница из-за изложенных выше причин.

Dixi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На RSP-720 ещё и количество потоков сильно ограничено.

ip flow-cache entries 524288

Это же не просто так...

 

Может, их не хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня был прецедент. Часть трафика (udp) упорно не попадала в флоу-кеш и соотв. не экспортировалась.

После разборок удалось выяснить что за трафик и откуда приходил.

Перезагрузки, изменения конфигураций - не помогало. Пришлось отказаться от флоу-экспорта и брать его с другого места.

Было это на 2851.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.