Lexasoft Опубликовано 1 июня, 2008 (изменено) · Жалоба Есть каталист 7606 с RSP720-3CXL. На нем включен MLS NDE. На всех VLAN-интерфейсах включен ip flow ingress. Netflow экспортируется на коллектор, который считает в том числе и общий трафик по всем префиксам. Но по netflow получается на 1 гигабит меньше трафика, чем по SNMP (для всех Vlan интерфейсов, и для аплинков). Основной поток трафика идет на аплинк, между вланами почти ничего не ходит. Вот что сконфигурировано: ip flow-cache entries 524288 ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 mls ip multicast flow-stat-timer 9 mls flow ip interface-full mls nde sender Со стороны принимающего сервера, судя по netstat, дропов по UDP нет. В какую сторону копать, есть идеи? Изменено 1 июня, 2008 пользователем Lexasoft Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 1 июня, 2008 · Жалоба Есть каталист 7606 с RSP720-3CXL.На нем включен MLS NDE. На всех VLAN-интерфейсах включен ip flow ingress. Netflow экспортируется на коллектор, который считает в том числе и общий трафик по всем префиксам. Но по netflow получается на 1 гигабит меньше трафика, чем по SNMP (для всех Vlan интерфейсов, и для аплинков). Основной поток трафика идет на аплинк, между вланами почти ничего не ходит. Вот что сконфигурировано: ip flow-cache entries 524288 ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 mls ip multicast flow-stat-timer 9 mls flow ip interface-full mls nde sender Со стороны принимающего сервера, судя по netstat, дропов по UDP нет. В какую сторону копать, есть идеи? Общий объем траффика какой? Netflow считает с заголовками IP, SNMP - IP + Ethernet. Расхождение в 5-7% вполне возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lexasoft Опубликовано 1 июня, 2008 (изменено) · Жалоба Общий — 5.9 гигабит Показывается на нетфлоу — 5.2 700 мегабит это большая разница все-таки. В аплинк ходит только IP, откуда там Ethernet-у взяться? Изменено 1 июня, 2008 пользователем Lexasoft Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cae Опубликовано 2 июня, 2008 · Жалоба Общий — 5.9 гигабитПоказывается на нетфлоу — 5.2 700 мегабит это большая разница все-таки. В аплинк ходит только IP, откуда там Ethernet-у взяться? SNMP считает на втором уровне и всё, что проходит в порт/из порта. То есть не только голое IP, но и для Ethernet ARP и прочий DHCP, для FR - всякие LMI и т.д., для X.25 - каждый RR. И т.д. Смысл ясен? Netflow же считает голое IP. При этом для случая Catalyst SNMP учитывает CRC-поле (FCS imho в стандарте?) для Ethernet-пакета, для рутеров не учитывает, а для сабинтерфейсов на рутере учитывает ISL или 802.1q заголовок. Кроме того на рутере по SNMP учитывается паддинг второго уровня до минимального пакета. При мелкошинкованном трафике это актуально донельзя ;) В общем выводов два: 1. У вас разница нормальная, она, бывает, доходит и до 10% при неблагоприятных условиях. Как правило в районе 2-4%. Мы раскапывали проблемы даже при разнице 1% и менее, находили причины, которые изложены выше. 2. Для правильного и качественного сравнения возьмите кол-во прошедших пакетов через пару-тройку-десяток интерфейсов за один и тот же период и оцените разницу уже в них. Если при приходе netflow пробелов в потоке флоузов нет, и по SNMP прокрутка отработалась нормально и разница в количестве пакетов таки есть - берите Cisco за задницу, если есть контракт, конечно. Они реагируют медленно, но реагируют. Но на 99% у Вас разница из-за изложенных выше причин. Dixi. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 2 июня, 2008 · Жалоба На RSP-720 ещё и количество потоков сильно ограничено. ip flow-cache entries 524288 Это же не просто так... Может, их не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 июня, 2008 · Жалоба У меня был прецедент. Часть трафика (udp) упорно не попадала в флоу-кеш и соотв. не экспортировалась. После разборок удалось выяснить что за трафик и откуда приходил. Перезагрузки, изменения конфигураций - не помогало. Пришлось отказаться от флоу-экспорта и брать его с другого места. Было это на 2851. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...