Pull to refresh

Comments 19

Интересно, ждём продолжения по списку неразобранных тем.
Спасибо за подробное описание! Ждём с нетерпением разбора неразобранных тем.
Спасибо, познавательно.
А сталкивались ли вы там с фичей, которая называется bidirectional flow? Грубо говоря, счетчики входящего и исходящего трафика в одном потоке (flow record) валятся в одну кучу. И графики строить можно, качественно биллить — уже нет.
Боюсь, что ASA действительно не различает в NetFlow входящий и исходящий трафик. Известен только инициатор соединения.
В моем случае это было не критично, т.к. у меня, строго говоря, не биллинг, а просто учет трафика сотрудников. Любителям покачать мы режем скорость :)
Спасибо за статью. А протокол DIAMETER в учете трафика используется?
В теории да. Но на практике мы с вами с таким не столкнемся. Системы, использующие DIAMETER — обычно навороченные провайдерские масштаба страны. Работая в глобальном телеком операторе из первой пятерки (не нашем, конечно) я про его внедрение в компании не слышал.
Вы красиво расписали и разжевали в картинках.
Но забыли уточнить, что хранение информации, а тем более анализ большого потока очень ресурсоемкая задача.
Вот, например, при 1G канале и до 100kpps обычный роутер не справляется с этими функциями.
Приходится на свитчах миррорить траффик и загонять копию на отдельную машину.
Следующий вопрос чем анализировать и быстро находить статистику по конкретному юзеру. Доступ к этим данным нужен не только системным администраторам :)
Еще когда я крутил коллекторы netflow, я не смог добиться, чтоб заполнялись поля с ASN (автономными системами). Мне надо было строить графики нагрузки как по отдельными AS, так и по группам AS и направлениям.

Отчеты по AS:

Вот так пробовали?
flow-cat * | flow-nfilter -F as_report -f /etc/flow-tools/filter.cfg | flow-report -v TYPE=source-as -v SORT=+octets

flow-nfilter настроить можно так:

Еще описание настроек:

-F для указания фильтра в файле конфигурации filter.cfg

как пример:
filter-primitive as_reports
type as


-f для указания файла конфигурации фильтров т.е filter.cfg

Настройка ntop + flow-tools в картинках c web интерфейсом на lissyara
поля source-as пустые!
я так понял, надо netflow скрещивать с кошко-роутером, чтоб получать AS, но у меня все построено на квагге.
Вы не правы, роутер может гораздо больше. Поищите в интернете…

А по личному опыту скажу, что вполне обычный Linux роутер ( 2 x Xeon X5260@3GHz ) без напряга переваривает в пике 150kpps и 1,5 Гбит/сек в одну сторону. Плюс где-то 80% от этого в обратную сторону. И я уверен, что он может больше. Сервер делает NAT + ipt_netflow.

речь идет об роутинге со съемом статистики по netflow
Я понял, статью читал.
Прочитайте ещё раз мой коммент. Этот сервер не только роутит + снимает статистику по netflow, так ещё и NAT`ит.
А у себя в итоге какой способ использовали и почему?
Я разрабатываю систему биллинга NETAMS, которая поддерживает всё перечисленное. В задачах, которые приходилось решать для клиентов, используем то, что больше всего подходит — спойлер продолжения статьи это зависит от конфигурации сети, наличия оборудования, объёма трафика. У себя дома я _лично_ экспортирую NetFlow v5 с Cisco 1841.
Layer 2 — Ethernet — Frame
Layer 3 — IP -Packet
Layer 4 — TCP — Segment
Sign up to leave a comment.

Articles