[Andrey1984]

Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать?

[nnm]

https://github.com/constcast/vermont/wiki

 

Говорят также, что v9 коллекторы тоже могут принять v10 поток.

[Andrey1984]

Не, собрать это на freebsd вряд-ли получится. Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX?

[littlevik]

Я правильно понимаю, что на МХ80 в отличие от всех старших моделей получить обычный netflow version 5 нереально - только IPFIX?

Неправильно.

v5 получить можно, но только sampled.

[Andrey1984]

Если не добавлять

chassis {

tfeb {

slot 0 {

sampling-instance sample-ins1;

}

}

то никакого экспорта статистики нету. Ну а с ним только inline jflow (не совместимый с версией 5) или output interface для мирроринга. Вот мой тестовый конфиг:

 

interfaces xe-0/0/0 unit 2 family inet filter input/output flow (или sampling input/output)

forwarding-options {

sampling {

input {

rate 8192;

max-packets-per-second 10000;

}

family inet {

output {

flow-inactive-timeout 15;

flow-active-timeout 60;

flow-server 192.168.1.6 {

port 9995;

source-address 192.168.1.2;

version 5;

}

}

}

}

}

firewall {

family inet {

filter flow {

term sampling {

then {

sample;

accept;

}

}

}

Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos?

Изменено 23 марта, 2012 пользователем Andrey1984

[littlevik]

Если возможно - можно взглянуть на реально работающий конфиг для МХ80 с последним junos?

Да не вопрос - с рабочей MX80:

 

admin@MX80> show configuration forwarding-options sampling

sample-once;

input {

rate 100;

run-length 10;

}

family inet {

output {

flow-inactive-timeout 600;

flow-active-timeout 1800;

flow-server 1.2.3.4 {

port 666;

no-local-dump;

source-address 4.3.2.1;

version 5;

}

}

}

 

admin@MX80> show configuration firewall family inet filter sample

interface-specific;

term 1 {

then {

sample;

accept;

}

}

 

admin@MX80> show configuration dynamic-profiles myprofile

interfaces {

demux0 {

unit "$junos-interface-unit" {

proxy-arp restricted;

demux-options {

underlying-interface "$junos-underlying-interface";

}

family inet {

mac-validate loose;

demux-source {

$junos-subscriber-ip-address;

}

filter {

input "$junos-input-filter" precedence 100;

output "$junos-output-filter" precedence 100;

}

unnumbered-address lo0.0;

}

}

}

}

 

 

admin@MX80> show version

Hostname: MX80

Model: mx80

JUNOS Base OS boot [11.2R6.3]

JUNOS Base OS Software Suite [11.2R6.3]

JUNOS Kernel Software Suite [11.2R6.3]

JUNOS Crypto Software Suite [11.2R6.3]

JUNOS Packet Forwarding Engine Support (MX80) [11.2R6.3]

JUNOS Online Documentation [11.2R6.3]

JUNOS Routing Software Suite [11.2R6.3]

[Andrey1984]

Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня

JUNOS Base OS boot [11.4R1.14]

JUNOS Base OS Software Suite [11.4R1.14]

JUNOS Kernel Software Suite [11.4R1.14]

JUNOS Crypto Software Suite [11.4R1.14]

JUNOS Packet Forwarding Engine Support (MX80) [11.4R1.14]

JUNOS Online Documentation [11.4R1.14]

JUNOS Routing Software Suite [11.4R1.14]

[littlesavage]

В nfdump 1.6.6 IPFIX в статусе бета.

[littlevik]

Т.е. один в один с моим, только не видно как именно фильтр вешается на интерфейс. Но у меня

JUNOS Base OS boot [11.4R1.14]

Фильтр на демукс вешается радиусом:

ERX-Ingress-Policy-Name := "sample",

ERX-Egress-Policy-Name := "sample"

Сами джуниперы настоятельно НЕ РЕКОМЕНДУЮТ 11.4R1, он получился страшно сырой и глючный, обещают все пофиксить в 11.4R3 (релиз намечен на 8 мая).

Пока самый правильный junos это 11.2R6.3, без сбоев работает 4 неделю с апдейта.

[Tima]

Поток идет, его видно tcpdump-ом а trafshow -u детектит поток с src ІР МХ80 и описанием как Netflow Version 10, декодировать не может. Есть что-то под freebsd что сумеет такой поток ловить и анализировать?

 

 

ipfix умеют pmacctd и ntop.

[Andrey1984]

Спасибо, каким-то чудом все заработало на 5-й версии без задействования инлайнов и tfeb.

[dmvy]

уже 3 месяца стоит 11.4R1.14. глюков замечено не было. до этого текла память в snmpd и туго работала команда sh bgp sum. расстраивает, что не починили mac-statistics

[littlevik]

22 марта вышел 11.4R2.14

[shicoy]

Апну старую тему. Нужно получить с mx80 статус по трафику с ASок.

Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт?

 

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

[StSphinx]

Апну старую тему. Нужно получить с mx80 статус по трафику с ASок.

Настроили ipfix v5, коллектор flow-tools. Статистика есть, но номера ASок пустые. Возможно есть какая-то хитрая команда добавляющая номер AS в экспорт?

 

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

 

У нас так:

 

input {
   rate 700;
   run-length 10;
   max-packets-per-second 20000;
}
family inet {
   output {
       flow-server 192.168.0.1 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
   }
}

 

но у нас правда, льет в v8.

[agr]

Обновлено: Номера ASок все таки есть, но часто попадаются пустые или со значением 0

 

а на роутере full view таблица ?

[shicoy]

У нас так:

autonomous-system-type origin;

помогло, спасибо.

[pfexec]

Есть что-то под freebsd что сумеет такой поток ловить и анализировать?

inline jflow у них только ipfix. nfdump его понимат. да и большинство анализаторов тоже понимат. правда у анализаторов проблема с пониманием самплинга: сам не умножает на коэффициент.

автономки оно заполняет, но может обманывать если в bgp что-то часто меняется.

[Davion]

подскажите несколько флоу серверов можно указать?

family inet {
   output {
       flow-server 192.168.0.1 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
flow-server 192.168.0.2 {
           port 9990;
           autonomous-system-type origin;
           aggregation {
               autonomous-system;
               source-destination-prefix;
           }
           no-local-dump;
           source-address 10.245.183.250;
           version 8;
       }
   }
}

[orlik]

Для inline только один флоу сервер

[dmvy]

У Вас действительно куплена лицензия на эту функцию? Или удалось запустить в обход?

[orlik]

У Вас действительно куплена лицензия на эту функцию? Или удалось запустить в обход?

Она же RTU вроде

[dmvy]

у нас просило inline-jflow

[Davion]

а можно как то копию потока слать хотя бы в v9 ?

Необходимо отдельно на fastnetmon сливать

[orlik]

а можно как то копию потока слать хотя бы в v9 ?

Необходимо отдельно на fastnetmon сливать

 

Можно , вот это почитайте http://forums.juniper.net/t5/Routing/inline-JFlow-two-Sampling-instances/td-p/272067