Перейти к содержимому
Калькуляторы

Netflow коллектор

Добрый день! Подскажите, кто чем собирает и отображает трафик?

Сейчас используем NetFlow Analyzer 6, но он врет и неправильно считывает ifindex.

 

Задача: Имеется 50 филиалов, роутеры (cisco) которых экспортят netflow в головной офис. Имеется несколько площадок в пределах локальной сети. Итого, маршрутизаторов набирается порядка 60 штук. В общем в месяц одной статистики netflow набирается примерно 2.3-2.6 Гб.

 

Интересует именно промышленное, взрослое решение, а не MySQL база с cflow и flowtools, чтобы не прописывать каждого клиента по отдельности, чтобы были отчеты и прочая красота.

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. flow-tools+mysql+perl скрипты десятки терабайт обсчитывают в месяц и не жужжат. не взрослое решение?

а отчеты и прочая красота - ну прикрутите веб морду, проблема в чем?

или нетап какой-нить купите, если из коробки надо, но сильно сомневаюсь, что оно принципиально лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. flow-tools+mysql+perl скрипты десятки терабайт обсчитывают в месяц и не жужжат. не взрослое решение?

а отчеты и прочая красота - ну прикрутите веб морду, проблема в чем?

или нетап какой-нить купите, если из коробки надо, но сильно сомневаюсь, что оно принципиально лучше.

Уважаемый, Вы очевидно не до конца прочитали мой вопрос. Какую веб морду? Где точное название? Или она самописная? Perl это конечно круто, а скрипты тоже самому писать? Я рад, что у Вас было время увязать в кучу flow-tools+mysql+perl скрипты, но мне не нужно такой красоты, спасибо большое.

 

Orion NetFlow Traffic Analyzer 3.0 пробовали ?

Пробовал. К сожалению, он тоже врет (но меньше, чем ManageEngine) и у него начинаются проблемы с интерфейсами (путаются местами), когда цисок становится больше 30 (на каждой 4 туннеля и 3 эзернета/сериала)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да нет, вопрос-таки я прочитал до конца. просто время на написание этой связки не так велико как кажется. ну решать Вам, естественно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пробовал. К сожалению, он тоже врет (но меньше, чем ManageEngine) и у него начинаются проблемы с интерфейсами (путаются местами), когда цисок становится больше 30 (на каждой 4 туннеля и 3 эзернета/сериала)

К вопросу о "начинаются проблемы с интерфейсами (путаются местами)". На устройствах, естественно, snmp-server ifindex persist сделано ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, конечно, snmp-server ifindex persist сделано, но при достижении какой-то определенной точки перестают браться имена и bandwith интерфейсов из description, начинают появляться и пропадать unmanaged интерфейсы... Все это начинает происходить где-то через полгода работы и/или 50 устройство.

 

Посоветовали еще Fluke NetFlow Tracker - никто не работал? (http://www.flukenetworks.com/fnet/en-us/products/NetFlow+Tracker/)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня похожая ситуация. Пробовал и Analyzer, и PRTG, и Scrutinyzer. Больше всего понравился Fluke, но настроить на корректную работу пока что не получается никак. Irish, ты только на физических интерфейсах трафик меришь или еще логические есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Физические и ipsec туннели. Пока остановился на Fluke, он считает достаточно точно, но уж большно коряв web-интерфейс. Вроде и круговые диаграммы и графики, но в целом внешний вид ужасен :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

))) Точно, web-интерфейс слабоват, при этом у флюка есть много других положительных сторон.

Можно поинтересоваться, какими командами ты активируешь NetFlow и на каких интерфейсах? С чем точность сверяешь?

У меня ipsec over gre туннели. Если смотреть трафик на FastEthernet, с которого туннель построен, видно восновном GRE и ESP. Поэтому пытаюсь смотреть с туннельного интерфейса и сверяю с MRTG и Cacti (SNMP), расхождения большие :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Экспортю все с lo:

 

ip flow-export source Loopback0

ip flow-export version 5

ip flow-export destination ххх.ххх.ххх.ххх 9996

 

Для удобства добавляю:

 

ip flow-top-talkers

top 20

sort-by bytes

 

Собираю где как:

 

!

interface Tunnel25

ip flow ingress

ip flow egress

!

....

!

interface GigabitEthernet0/1

ip route-cache flow

!

....

!

interface GigabitEthernet0/0/0

mpls netflow egress

mpls ip

!

 

Проверяю ip accounting.

На интерфейсах, которые служат source/destignation для туннелей не меряю вообще.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Активирую теми же командами на всех интерфейсах, но графики не совпадают.

Сначала прописывал ip route-cache flow - видел только исходящий трафик (неправильный)

Потом ip flow ingress и ip flow egress - и входящий, и исходящий видно (но все равно гонит)

Поставил tracker на другую машину в другую сеть, но результат тотже.

Может есть еще какие-то тонкости настройки netflow на cisco? В Trackere, насколько я понимаю, только ip-адрес и порт указать для прослушивания и snmp community.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотри - совпадает ли количество полученных датаграмм с sh ip flow export, может пакетики теряются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего критичного, помоему, нет:

Exporting using source interface Loopback0

Version 5 flow records

148325131 flows exported in 4984656 udp datagrams

0 flows failed due to lack of export packet

367 export packets were sent up to process level

0 export packets were dropped due to no fib

5 export packets were dropped due to adjacency issues

0 export packets were dropped due to fragmentation failures

0 export packets were dropped due to encapsulation fixup failures

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Очень неплох flowc , я использую ужу несколько лет , точность :) 100% , поток ip около 50-60 мбит/с .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня похожая ситуация. Пробовал и Analyzer, и PRTG, и Scrutinyzer. Больше всего понравился Fluke, но настроить на корректную работу пока что не получается никак. Irish, ты только на физических интерфейсах трафик меришь или еще логические есть?

Могу помочь с настройкой NetFlow Tracker. Если тема еще интересна. Пишите в личку b652pp собака mail точка ru. Настройки отличаются от настроек для названных продуктов. Врет он меньше всех. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Экспортю все с lo:

 

ip flow-export source Loopback0

ip flow-export version 5

ip flow-export destination ххх.ххх.ххх.ххх 9996

 

Для удобства добавляю:

 

ip flow-top-talkers

top 20

sort-by bytes

 

Собираю где как:

 

!

interface Tunnel25

ip flow ingress

ip flow egress

!

....

!

interface GigabitEthernet0/1

ip route-cache flow

!

....

!

interface GigabitEthernet0/0/0

mpls netflow egress

mpls ip

!

 

Проверяю ip accounting.

На интерфейсах, которые служат source/destignation для туннелей не меряю вообще.

Не совсем корректно для Tracker. Для Tracker нужно указывать или Ip flow ingress (на старых прошивках - ip route-cache flow) или ip egress. Ввод обеих команд приведет к удвоению трафика если собираем инфу со всех интерфейсов. Если интересуют один интерфейс, то можно вводить обе. Подробнее ниже.

 

Вот нашел руководство по установке для разных версий прошивок и моделей www точка netflow-tracker точка ru/index.files/page0001.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я смотрю трафик на туннелях, используя сразу две команды на интерфейсе:

ip flow engress

ip flow ingress

При этом заметил, что трафик удваивается, если одновременно собирать и с физических интерфейсов.

Так же на статистике отражается ip mtu, прописанный на туннеле: если он меньше 1500 - трафика не видно.

b652pp, известны ли тебе еще какие-нибудь детали, которые могут повлиять?

 

 

Изменено пользователем q05t9n

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

b652pp, Irish, какие версии IOS у вас? Говорят 12.4T плохо работают с NetFlow - что-то с фрагментацией пакетов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.