Andrey1984 Опубликовано 22 марта, 2012 · Жалоба Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 23 марта, 2012 · Жалоба https://github.com/constcast/vermont/wiki Говорят также, что v9 коллекторы тоже могут принять v10 поток. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey1984 Опубликовано 23 марта, 2012 · Жалоба Не, собрать это на freebsd вряд-ли получится. Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 23 марта, 2012 · Жалоба Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX? Неправильно. v5 получить можно, но только sampled. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey1984 Опубликовано 23 марта, 2012 (изменено) · Жалоба Если не добавлять chassis { tfeb { slot 0 { sampling-instance sample-ins1; } } то никакого экспорта статистики нету. Ну а с ним только inline jflow (не совместимый с версией 5) или output interface для мирроринга. Вот мой тестовый конфиг: interfaces xe-0/0/0 unit 2 family inet filter input/output flow (или sampling input/output) forwarding-options { sampling { input { rate 8192; max-packets-per-second 10000; } family inet { output { flow-inactive-timeout 15; flow-active-timeout 60; flow-server 192.168.1.6 { port 9995; source-address 192.168.1.2; version 5; } } } } } firewall { family inet { filter flow { term sampling { then { sample; accept; } } } Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos? Изменено 23 марта, 2012 пользователем Andrey1984 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 23 марта, 2012 · Жалоба Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos? Да не вопрос - с рабочей MX80: admin@MX80> show configuration forwarding-options sampling sample-once; input { rate 100; run-length 10; } family inet { output { flow-inactive-timeout 600; flow-active-timeout 1800; flow-server 1.2.3.4 { port 666; no-local-dump; source-address 4.3.2.1; version 5; } } } admin@MX80> show configuration firewall family inet filter sample interface-specific; term 1 { then { sample; accept; } } admin@MX80> show configuration dynamic-profiles myprofile interfaces { demux0 { unit "$junos-interface-unit" { proxy-arp restricted; demux-options { underlying-interface "$junos-underlying-interface"; } family inet { mac-validate loose; demux-source { $junos-subscriber-ip-address; } filter { input "$junos-input-filter" precedence 100; output "$junos-output-filter" precedence 100; } unnumbered-address lo0.0; } } } } admin@MX80> show version Hostname: MX80 Model: mx80 JUNOS Base OS boot [11.2R6.3] JUNOS Base OS Software Suite [11.2R6.3] JUNOS Kernel Software Suite [11.2R6.3] JUNOS Crypto Software Suite [11.2R6.3] JUNOS Packet Forwarding Engine Support (MX80) [11.2R6.3] JUNOS Online Documentation [11.2R6.3] JUNOS Routing Software Suite [11.2R6.3] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey1984 Опубликовано 23 марта, 2012 · Жалоба Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня JUNOS Base OS boot [11.4R1.14] JUNOS Base OS Software Suite [11.4R1.14] JUNOS Kernel Software Suite [11.4R1.14] JUNOS Crypto Software Suite [11.4R1.14] JUNOS Packet Forwarding Engine Support (MX80) [11.4R1.14] JUNOS Online Documentation [11.4R1.14] JUNOS Routing Software Suite [11.4R1.14] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 23 марта, 2012 · Жалоба В nfdump 1.6.6 IPFIX в статусе бета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 24 марта, 2012 · Жалоба Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня JUNOS Base OS boot [11.4R1.14] Фильтр на демукс вешается радиусом: ERX-Ingress-Policy-Name := "sample", ERX-Egress-Policy-Name := "sample" Сами джуниперы настоятельно НЕ РЕКОМЕНДУЮТ 11.4R1, он получился страшно сырой и глючный, обещают все пофиксить в 11.4R3 (релиз намечен на 8 мая). Пока самый правильный junos это 11.2R6.3, без сбоев работает 4 неделю с апдейта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tima Опубликовано 24 марта, 2012 · Жалоба Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать? ipfix умеют pmacctd и ntop. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey1984 Опубликовано 25 марта, 2012 · Жалоба Спасибо, каким-то чудом все заработало на 5-й версии без задействования инлайнов и tfeb. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 25 марта, 2012 · Жалоба уже 3 месяца стоит 11.4R1.14. глюков замечено не было. до этого текла память в snmpd и туго работала команда sh bgp sum. расстраивает, что не починили mac-statistics Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 26 марта, 2012 · Жалоба 22 марта вышел 11.4R2.14 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 9 октября, 2013 · Жалоба Апну старую тему. Нужно получить с mx80 статус по трафику с ASок. Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт? Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 9 октября, 2013 · Жалоба Апну старую тему. Нужно получить с mx80 статус по трафику с ASок. Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт? Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0 У нас так: input { rate 700; run-length 10; max-packets-per-second 20000; } family inet { output { flow-server 192.168.0.1 { port 9990; autonomous-system-type origin; aggregation { autonomous-system; source-destination-prefix; } no-local-dump; source-address 10.245.183.250; version 8; } } } но у нас правда, льет в v8. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 9 октября, 2013 · Жалоба Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0 а на роутере full view таблица ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 9 октября, 2013 · Жалоба У нас так: autonomous-system-type origin; помогло, спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 9 октября, 2013 · Жалоба Есть что-то под freebsd что сумеет такой поток ловить и анализировать?inline jflow у них только ipfix. nfdump его понимат. да и большинство анализаторов тоже понимат. правда у анализаторов проблема с пониманием самплинга: сам не умножает на коэффициент.автономки оно заполняет, но может обманывать если в bgp что-то часто меняется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 8 августа, 2016 · Жалоба подскажите несколько флоу серверов можно указать? family inet { output { flow-server 192.168.0.1 { port 9990; autonomous-system-type origin; aggregation { autonomous-system; source-destination-prefix; } no-local-dump; source-address 10.245.183.250; version 8; } flow-server 192.168.0.2 { port 9990; autonomous-system-type origin; aggregation { autonomous-system; source-destination-prefix; } no-local-dump; source-address 10.245.183.250; version 8; } } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 8 августа, 2016 · Жалоба Для inline только один флоу сервер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 9 августа, 2016 · Жалоба У Вас действительно куплена лицензия на эту функцию? Или удалось запустить в обход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 9 августа, 2016 · Жалоба У Вас действительно куплена лицензия на эту функцию? Или удалось запустить в обход? Она же RTU вроде Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 9 августа, 2016 · Жалоба у нас просило inline-jflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 9 августа, 2016 · Жалоба а можно как то копию потока слать хотя бы в v9 ? Необходимо отдельно на fastnetmon сливать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 9 августа, 2016 · Жалоба а можно как то копию потока слать хотя бы в v9 ? Необходимо отдельно на fastnetmon сливать Можно , вот это почитайте http://forums.juniper.net/t5/Routing/inline-JFlow-two-Sampling-instances/td-p/272067 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...