Irish Опубликовано 9 июня, 2008 · Жалоба Добрый день! Подскажите, кто чем собирает и отображает трафик? Сейчас используем NetFlow Analyzer 6, но он врет и неправильно считывает ifindex. Задача: Имеется 50 филиалов, роутеры (cisco) которых экспортят netflow в головной офис. Имеется несколько площадок в пределах локальной сети. Итого, маршрутизаторов набирается порядка 60 штук. В общем в месяц одной статистики netflow набирается примерно 2.3-2.6 Гб. Интересует именно промышленное, взрослое решение, а не MySQL база с cflow и flowtools, чтобы не прописывать каждого клиента по отдельности, чтобы были отчеты и прочая красота. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 9 июня, 2008 · Жалоба хм. flow-tools+mysql+perl скрипты десятки терабайт обсчитывают в месяц и не жужжат. не взрослое решение? а отчеты и прочая красота - ну прикрутите веб морду, проблема в чем? или нетап какой-нить купите, если из коробки надо, но сильно сомневаюсь, что оно принципиально лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jovanotti Опубликовано 9 июня, 2008 · Жалоба Orion NetFlow Traffic Analyzer 3.0 пробовали ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irish Опубликовано 10 июня, 2008 · Жалоба хм. flow-tools+mysql+perl скрипты десятки терабайт обсчитывают в месяц и не жужжат. не взрослое решение? а отчеты и прочая красота - ну прикрутите веб морду, проблема в чем? или нетап какой-нить купите, если из коробки надо, но сильно сомневаюсь, что оно принципиально лучше. Уважаемый, Вы очевидно не до конца прочитали мой вопрос. Какую веб морду? Где точное название? Или она самописная? Perl это конечно круто, а скрипты тоже самому писать? Я рад, что у Вас было время увязать в кучу flow-tools+mysql+perl скрипты, но мне не нужно такой красоты, спасибо большое. Orion NetFlow Traffic Analyzer 3.0 пробовали ? Пробовал. К сожалению, он тоже врет (но меньше, чем ManageEngine) и у него начинаются проблемы с интерфейсами (путаются местами), когда цисок становится больше 30 (на каждой 4 туннеля и 3 эзернета/сериала) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартен Опубликовано 10 июня, 2008 · Жалоба да нет, вопрос-таки я прочитал до конца. просто время на написание этой связки не так велико как кажется. ну решать Вам, естественно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew Rogov Опубликовано 10 июня, 2008 · Жалоба Пробовал. К сожалению, он тоже врет (но меньше, чем ManageEngine) и у него начинаются проблемы с интерфейсами (путаются местами), когда цисок становится больше 30 (на каждой 4 туннеля и 3 эзернета/сериала) К вопросу о "начинаются проблемы с интерфейсами (путаются местами)". На устройствах, естественно, snmp-server ifindex persist сделано ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irish Опубликовано 11 июня, 2008 · Жалоба Да, конечно, snmp-server ifindex persist сделано, но при достижении какой-то определенной точки перестают браться имена и bandwith интерфейсов из description, начинают появляться и пропадать unmanaged интерфейсы... Все это начинает происходить где-то через полгода работы и/или 50 устройство. Посоветовали еще Fluke NetFlow Tracker - никто не работал? (http://www.flukenetworks.com/fnet/en-us/products/NetFlow+Tracker/) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 11 июля, 2008 · Жалоба У меня похожая ситуация. Пробовал и Analyzer, и PRTG, и Scrutinyzer. Больше всего понравился Fluke, но настроить на корректную работу пока что не получается никак. Irish, ты только на физических интерфейсах трафик меришь или еще логические есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irish Опубликовано 11 июля, 2008 · Жалоба Физические и ipsec туннели. Пока остановился на Fluke, он считает достаточно точно, но уж большно коряв web-интерфейс. Вроде и круговые диаграммы и графики, но в целом внешний вид ужасен :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 14 июля, 2008 · Жалоба ))) Точно, web-интерфейс слабоват, при этом у флюка есть много других положительных сторон. Можно поинтересоваться, какими командами ты активируешь NetFlow и на каких интерфейсах? С чем точность сверяешь? У меня ipsec over gre туннели. Если смотреть трафик на FastEthernet, с которого туннель построен, видно восновном GRE и ESP. Поэтому пытаюсь смотреть с туннельного интерфейса и сверяю с MRTG и Cacti (SNMP), расхождения большие :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irish Опубликовано 16 июля, 2008 · Жалоба Экспортю все с lo: ip flow-export source Loopback0 ip flow-export version 5 ip flow-export destination ххх.ххх.ххх.ххх 9996 Для удобства добавляю: ip flow-top-talkers top 20 sort-by bytes Собираю где как: ! interface Tunnel25 ip flow ingress ip flow egress ! .... ! interface GigabitEthernet0/1 ip route-cache flow ! .... ! interface GigabitEthernet0/0/0 mpls netflow egress mpls ip ! Проверяю ip accounting. На интерфейсах, которые служат source/destignation для туннелей не меряю вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 16 июля, 2008 · Жалоба Активирую теми же командами на всех интерфейсах, но графики не совпадают. Сначала прописывал ip route-cache flow - видел только исходящий трафик (неправильный) Потом ip flow ingress и ip flow egress - и входящий, и исходящий видно (но все равно гонит) Поставил tracker на другую машину в другую сеть, но результат тотже. Может есть еще какие-то тонкости настройки netflow на cisco? В Trackere, насколько я понимаю, только ip-адрес и порт указать для прослушивания и snmp community. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irish Опубликовано 17 июля, 2008 · Жалоба посмотри - совпадает ли количество полученных датаграмм с sh ip flow export, может пакетики теряются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 17 июля, 2008 · Жалоба Ничего критичного, помоему, нет: Exporting using source interface Loopback0 Version 5 flow records 148325131 flows exported in 4984656 udp datagrams 0 flows failed due to lack of export packet 367 export packets were sent up to process level 0 export packets were dropped due to no fib 5 export packets were dropped due to adjacency issues 0 export packets were dropped due to fragmentation failures 0 export packets were dropped due to encapsulation fixup failures Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ali_ajar Опубликовано 17 июля, 2008 · Жалоба Очень неплох flowc , я использую ужу несколько лет , точность :) 100% , поток ip около 50-60 мбит/с . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
b652pp Опубликовано 19 августа, 2008 · Жалоба У меня похожая ситуация. Пробовал и Analyzer, и PRTG, и Scrutinyzer. Больше всего понравился Fluke, но настроить на корректную работу пока что не получается никак. Irish, ты только на физических интерфейсах трафик меришь или еще логические есть? Могу помочь с настройкой NetFlow Tracker. Если тема еще интересна. Пишите в личку b652pp собака mail точка ru. Настройки отличаются от настроек для названных продуктов. Врет он меньше всех. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
b652pp Опубликовано 19 августа, 2008 · Жалоба Экспортю все с lo: ip flow-export source Loopback0 ip flow-export version 5 ip flow-export destination ххх.ххх.ххх.ххх 9996 Для удобства добавляю: ip flow-top-talkers top 20 sort-by bytes Собираю где как: ! interface Tunnel25 ip flow ingress ip flow egress ! .... ! interface GigabitEthernet0/1 ip route-cache flow ! .... ! interface GigabitEthernet0/0/0 mpls netflow egress mpls ip ! Проверяю ip accounting. На интерфейсах, которые служат source/destignation для туннелей не меряю вообще. Не совсем корректно для Tracker. Для Tracker нужно указывать или Ip flow ingress (на старых прошивках - ip route-cache flow) или ip egress. Ввод обеих команд приведет к удвоению трафика если собираем инфу со всех интерфейсов. Если интересуют один интерфейс, то можно вводить обе. Подробнее ниже. Вот нашел руководство по установке для разных версий прошивок и моделей www точка netflow-tracker точка ru/index.files/page0001.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 26 августа, 2008 (изменено) · Жалоба Я смотрю трафик на туннелях, используя сразу две команды на интерфейсе: ip flow engress ip flow ingress При этом заметил, что трафик удваивается, если одновременно собирать и с физических интерфейсов. Так же на статистике отражается ip mtu, прописанный на туннеле: если он меньше 1500 - трафика не видно. b652pp, известны ли тебе еще какие-нибудь детали, которые могут повлиять? Изменено 26 августа, 2008 пользователем q05t9n Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
q05t9n Опубликовано 14 октября, 2008 · Жалоба b652pp, Irish, какие версии IOS у вас? Говорят 12.4T плохо работают с NetFlow - что-то с фрагментацией пакетов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...