Jump to content

Чем ловить и анализировать flow статистику с Juniper MX80?

Andrey1984
 Share

Recommended Posts

Andrey1984

Andrey1984

Posted
Posted

Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать?

Andrey1984

Andrey1984

Posted
  • Author
Posted

Не, собрать это на freebsd вряд-ли получится. Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX?

littlevik

littlevik

Posted
Posted

Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX?

Неправильно.

v5 получить можно, но только sampled.

Andrey1984

Andrey1984

Posted
  • Author
Posted (edited)

Если не добавлять

chassis {

tfeb {

slot 0 {

sampling-instance sample-ins1;

}

}

то никакого экспорта статистики нету. Ну а с ним только inline jflow (не совместимый с версией 5) или output interface для мирроринга. Вот мой тестовый конфиг:

 

interfaces xe-0/0/0 unit 2 family inet filter input/output flow (или sampling input/output)

forwarding-options {

sampling {

input {

rate 8192;

max-packets-per-second 10000;

}

family inet {

output {

flow-inactive-timeout 15;

flow-active-timeout 60;

flow-server 192.168.1.6 {

port 9995;

source-address 192.168.1.2;

version 5;

}

}

}

}

}

firewall {

family inet {

filter flow {

term sampling {

then {

sample;

accept;

}

}

}

Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos?

Edited by Andrey1984
littlevik

littlevik

Posted
Posted

Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos?

Да не вопрос - с рабочей MX80:

 

admin@MX80> show configuration forwarding-options sampling

sample-once;

input {

rate 100;

run-length 10;

}

family inet {

output {

flow-inactive-timeout 600;

flow-active-timeout 1800;

flow-server 1.2.3.4 {

port 666;

no-local-dump;

source-address 4.3.2.1;

version 5;

}

}

}

 

admin@MX80> show configuration firewall family inet filter sample

interface-specific;

term 1 {

then {

sample;

accept;

}

}

 

admin@MX80> show configuration dynamic-profiles myprofile

interfaces {

demux0 {

unit "$junos-interface-unit" {

proxy-arp restricted;

demux-options {

underlying-interface "$junos-underlying-interface";

}

family inet {

mac-validate loose;

demux-source {

$junos-subscriber-ip-address;

}

filter {

input "$junos-input-filter" precedence 100;

output "$junos-output-filter" precedence 100;

}

unnumbered-address lo0.0;

}

}

}

}

 

 

admin@MX80> show version

Hostname: MX80

Model: mx80

JUNOS Base OS boot [11.2R6.3]

JUNOS Base OS Software Suite [11.2R6.3]

JUNOS Kernel Software Suite [11.2R6.3]

JUNOS Crypto Software Suite [11.2R6.3]

JUNOS Packet Forwarding Engine Support (MX80) [11.2R6.3]

JUNOS Online Documentation [11.2R6.3]

JUNOS Routing Software Suite [11.2R6.3]

Andrey1984

Andrey1984

Posted
  • Author
Posted

Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня

JUNOS Base OS boot [11.4R1.14]

JUNOS Base OS Software Suite [11.4R1.14]

JUNOS Kernel Software Suite [11.4R1.14]

JUNOS Crypto Software Suite [11.4R1.14]

JUNOS Packet Forwarding Engine Support (MX80) [11.4R1.14]

JUNOS Online Documentation [11.4R1.14]

JUNOS Routing Software Suite [11.4R1.14]

littlevik

littlevik

Posted
Posted

Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня

JUNOS Base OS boot [11.4R1.14]

Фильтр на демукс вешается радиусом:

ERX-Ingress-Policy-Name := "sample",

ERX-Egress-Policy-Name := "sample"

Сами джуниперы настоятельно НЕ РЕКОМЕНДУЮТ 11.4R1, он получился страшно сырой и глючный, обещают все пофиксить в 11.4R3 (релиз намечен на 8 мая).

Пока самый правильный junos это 11.2R6.3, без сбоев работает 4 неделю с апдейта.

Tima

Tima

Posted
Posted

Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать?

 

 

ipfix умеют pmacctd и ntop.

dmvy

dmvy

Posted
Posted

уже 3 месяца стоит 11.4R1.14. глюков замечено не было. до этого текла память в snmpd и туго работала команда sh bgp sum. расстраивает, что не починили mac-statistics

  • 1 year later...
shicoy

shicoy

Posted
Posted

Апну старую тему. Нужно получить с mx80 статус по трафику с ASок.

Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт?

 

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

StSphinx

StSphinx

Posted
Posted

Апну старую тему. Нужно получить с mx80 статус по трафику с ASок.

Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт?

 

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

 

У нас так:

 

input {
   rate 700;
   run-length 10;
   max-packets-per-second 20000;
}
family inet {
   output {
       flow-server 192.168.0.1 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
   }
}

 

но у нас правда, льет в v8.

agr

agr

Posted
Posted

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

 

а на роутере full view таблица ?

pfexec

pfexec

Posted
Posted
Есть что-то под freebsd что сумеет такой поток ловить и анализировать?
inline jflow у них только ipfix. nfdump его понимат. да и большинство анализаторов тоже понимат. правда у анализаторов проблема с пониманием самплинга: сам не умножает на коэффициент.

автономки оно заполняет, но может обманывать если в bgp что-то часто меняется.

  • 2 years later...
Davion

Davion

Posted
Posted

подскажите несколько флоу серверов можно указать?

family inet {
   output {
       flow-server 192.168.0.1 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
flow-server 192.168.0.2 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
   }
}

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.