>> 1) > единичную попытку чего? при успешном ТСП-конекте по любому больше одного пакета пройдет - дальше как агрегацию и последующую обработку данных организуете.
> Вася набирает telnet 192.168.217.100 3306. Допустим в сесии было всего 3-4 пакета,
> я увижу этот конект в netflow?Какаой смысл 3-4 пакета ловить? syn + syn-ack + rst/fin = 3-4 пакета. TCP-сессия без передачи данных.
Flow в терминах протокола - это пакеты с одинаковыми src_addr, dst_addr, src_port и dst_port. Как вы настроите агрегацию flow - так и будет. Хоть каждый пакет в отдельный flow пихайте (тут конечно от конкретной реализации софта зависит - ибо обычно нижний предел, в качестве "защиты от дурака", есть), если мощностей и накопителей хватит.
Просто задумайтесь над тем сколько пакетов за секунду пролетает ч/з сенсор - если не будет агрегации данных, то система просто захлебнется при сохранении информации по каждому отдельному пакету (да и анализ данных потом нереальное время займет).
>> 2) > протокол простейший. при желании свой демон написать (под конкретную реализацию протокола
>> дело 1-2-х дней - сам такое делал). будет хоть каждый пакет
>> в отдельный поток совать (готовьте терабайтные накопители для хранения этой лабуды)
> если бы все было так просто , то почему его до сих
> пор нет ни на одном из оборудований кроме cisco? ;)
Как это нет? Полно open-source решений для сенсоров+коллекторов netflow и сопуствующих им анализаторов. Благо данные по сети можно куда угодно отправлять. Кто мешает мирорить трафик на порт какого-нибуль свича (или сервер) и снимать там информацию полюбившимся софтом (без всяких cisco)?
А если Вы конкретно про оборудование, то посмотрите откуда у протокола netflow ноги растут и все станет ясно.
>> 3) можете предложить альтернативу?
> я нет, а вы?
Смысла для разработки алтернативных вариантов не вижу. Протокол netflow достаточно гибок. Если Вам не подходят сушествующие open-sourece коллекторы - напишите свой (я так в свое время и сделал в одном специфичном случае - за 2-а дня демон на C нашкрябал, как попутную задачу).
IPFIX? Суть дальнейшее развитие Netflow, так что в рамках поставленой задачи не вижу смысла рассмтривать.
>> 4) > о чем вообще вопрос если Вам L3 достаточно? виланами режем всех гадов
>> на L2 - они ходят по L3 (если разрешим), а мы
>> снимает статистику с flow и радуемся. на 300 клиентов дешево и
>> сердито.
> я так понимаю на dlink это называется protected ports? Но проблема в
> том, что у меня есть как HP (2510) так и Dlink
> (3028). И вот как это все реализовать на разном оборудовании?!
Какая разница, как производители железа в меню интерфейсов своих поделок это именуют? Протоколы 801 dot для кого писаны? Да - бывает, что иногда производители частично или коряво реализуют их на своем железе, но обычно особых заморочек с тем, чтобы подружить разное оборудование по этому протоколу проблем не представляет.
PS
3-4 пакета? тотальная слежка? это имеет смысл организовывать только за подозрительными лицами, а не за всеми клиентами - иначе никаких мощностей и времени на анализ собранных данных не хватит. да и вообще - это отдельная тема (другие подходы и другие методы).