[hicks]

День добрый.

 

Есть локалка на 4к абонентов. Необходимо организовать подсчет исходящего трафика.

 

На cisco 3750 делаю копию tx пакетов в порт сервака (em1).

 

Собственно вопрос в том, как теперь его подсчитать ?

 

Делаю так:

 

#!/bin/sh

ipfw='/sbin/ipfw -q'

counter=em1

$ipfw flush
$ipfw -q pipe flush

netgraph='netgraph.sh'

# NetGraph -
$netgraph stop
$netgraph start
$ipfw add 11 ngtee 30 ip from any to any in recv $counter
# ==========

 

и так (netgraph.sh):

 

#!/bin/sh

case "$1" in
    start)
        /usr/sbin/ngctl mkpeer ipfw: netflow 30 iface0
        /usr/sbin/ngctl name ipfw:30 netflow

        /usr/sbin/ngctl msg netflow: setdlt {iface=0 dlt=12}
        /usr/sbin/ngctl msg netflow: setifindex {iface=0 index=5}
                            
        /usr/sbin/ngctl mkpeer netflow: ksocket export inet/dgram/udp
        /usr/sbin/ngctl msg netflow:export connect inet/127.0.0.1:9996
   ;;
    stop)
        /usr/sbin/ngctl shutdown netflow:
   ;;
    restart)
        sh $0 stop
        sleep 5
        sh $0 start
   ;;
    *)
        echo ""
        echo "Usage: `basename $0` { start | stop | restart }"
        echo ""
    exit 64
;;
esac

 

Проблема в том, что трафф от циски не ходит через интерфейс и правило ipfw 11 не заворачивает трафф на нужную ноду для последующего экспорта его в дебиллинг.

 

Бридж между em1 и lo0 не поднять, с циски слать сразу же netflow не реально, ибо ляжет она. Биллинг и резалка канала разнесены на два сервака для надежности. Если слать нетфлоу в с сервака с резалкой, то возникают задержки по 3-4мс при прохождении пакетов через файерволл, что не айс.

 

Подскажите как быть тут мне ?

[TiFFolk]

Я конечно сам не пробовал, но карточка должна откидывать все пакеты, котроые не адресованы ей, поэтому она должна стоять в режиме "слушать все".

Пакетики можно было посмотреть tcpdump'ом.

 

Потом, с циски слать netflow не реально не потому, что она ляжет, а потому, что 3750 не умеет его.

[hicks]

Прослушку ставил так: ngctl msg em1: setpromisc 1

 

Разницы не заметил. Кроме tcpdump вариантов нет ?

 

Я сам на циску не лазил, так сказал мне специально обученный человек

Изменено 18 ноября, 2009 пользователем hicks

[dsk]

Если поток не очень большой, то запустите ipcad.

[TiFFolk]

Прослушку ставил так: ngctl msg em1: setpromisc 1

 

Разницы не заметил. Кроме tcpdump вариантов нет ?

 

Я сам на циску не лазил, так сказал мне специально обученный человек

tcpdump для того, чтобы проверить ходят ли пакеты с циски на этот интерфейс, а не считать траффик tcpdump'ом.

[nevzorofff]

А на резалке нетфлоу нетграфом делали?

[hicks]

А на резалке нетфлоу нетграфом делали?

На резалке делали точно так же, как и несколькими постами выше пример.

 

tcpdump для того, чтобы проверить ходят ли пакеты с циски на этот интерфейс, а не считать траффик tcpdump'ом.

ААА :)

 

Конечно проверили, первым же делом. Все прекрасно доходит, а вот дальше уже пустота.

 

Если поток не очень большой, то запустите ipcad.

Поток порядка 700Mbit/s и будет только расти.

[TiFFolk]

 ifconfig em1 promisc

 

А так пробовали? В ifconfige показано что интерфейс в promiscuos mode?