The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка сбора netflow в сети с vlan"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Учет трафика и статистика)
Изначальное сообщение [ Отслеживать ]

"Настройка сбора netflow в сети с vlan"  +/
Сообщение от denco (ok) on 20-Янв-10, 17:58 
Прошу совета, как правильно настроить съем статистики netflow на маршрутизаторе Циско.
Прошу прощения, что может быть немного сумбурно объясню -в этом пока еще не очень силен.
Есть сетка, поднятая на оборудовании Cisco: центральный маршрутизатор 6500 серии и пользовательские коммутаторы.
Маршрутизатор сконфигурирован следующим образом: на нем подняты 2 виртуальных интерфейса с публичным ip-адресом на одном и серым на другом. Они называются, соответственно, vlan2 и vlan3. Эти вланы через порты маршрутизатора прокинуты на коммутаторы, и в них распределен народ с соответствующими адресами на ПК. На физических интерфейсах маршрутизатора ip-адресов нет.
Народ подключенный к vlan2 (с публичными адресами компьютеров), соответственно, имеет свободный доступ к интернету (наш порт провайдера, имеет адрес, тоже входящий в vlan2). Пользователи vlan3 ходят в инет через НАТ.
Конфиг физического интерфейса, через который идет соединение с провайдером:

interface GigabitEthernet1/1
switchport
switchport trunk allowed vlan2
switchport mode trunk
udld port
no cdp enable
!

Виртуальный с публичным адресом:

interface Vlan2
ip address 83.x.x.x 255.255.255.240
ip access-group filter2 in
ip access-group filter1 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip flow egress
!


Вопрос в том, что в таком виде собирается статистика только по пользователям НАТ. Те, кто сидит с публичным адресом в нее не попадают. А настроить нетфлов на интерфейсе к провайдеру мешает отсутствие на нем адреса.  

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM (??) on 22-Янв-10, 20:54 
>[оверквотинг удален]
> ip nat outside
> ip flow ingress
> ip flow egress
>!
>
>
>Вопрос в том, что в таком виде собирается статистика только по пользователям
>НАТ. Те, кто сидит с публичным адресом в нее не попадают.
>А настроить нетфлов на интерфейсе к провайдеру мешает отсутствие на нем
>адреса.

1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
2. netflow зло. snmp counter 64-bit  на клиентском коммутаторе (клиентском порту) вам поможет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от denco (ok) on 25-Янв-10, 11:33 
>2. netflow зло. snmp counter 64-bit  на клиентском коммутаторе (клиентском порту)
>вам поможет.

На один порт клиентских коммутаторов может идти несколько ip-адресов, трафик по которым надо считать отдельно, так что этот вариант не проходит :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от Pve1 (ok) on 20-Мрт-10, 17:38 
>1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
>2. netflow зло.

А можно развернуто/аргументированно по данному тезису?
Для самого данный вопрос актуален.
В брошурке циски по netflow например написано, что на платформах сat4500/6500 netflow реализуется аппаратно на Asic-х. Почему он должен плохо работать?
А то я уже рассматриваю вопрос потенциальной миграции на указанные платформы для поддержки оного.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM email(??) on 21-Мрт-10, 08:53 
>>1. 6500 - коммутатор netflow работает плохо(если можно сказать что работает)
>>2. netflow зло.
>
>А можно развернуто/аргументированно по данному тезису?
>Для самого данный вопрос актуален.
>В брошурке циски по netflow например написано, что на платформах сat4500/6500 netflow
>реализуется аппаратно на Asic-х. Почему он должен плохо работать?
>А то я уже рассматриваю вопрос потенциальной миграции на указанные платформы для
>поддержки оного.

сам производитель подтверждает что на трафике близком к 1 Gbit/sec расхождение реального и собранного трафика приближается к 35% на данном железе(проверено на 7600 с платой для netflow). советуют либо собирать кластер из 7200 или пользоваться GSR,asr и тд.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от spunky (ok) on 23-Янв-10, 08:27 
Вполне разумное ограничение по расположению точки сбора статистики - IP-интерфейс. На нём всё равно происходит разбор кадра до пакета. Сбор статистики передаваемого трафика по коммутируемому интерфейсу можно в плане общей нагрузки собирать через SNMP, а для детализации использовать зеркалирование на какой-либо tcpdump-скрипт, общитывающий попадающий на него трафик.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от denco (ok) on 25-Янв-10, 11:37 
>Вполне разумное ограничение по расположению точки сбора статистики - IP-интерфейс. На нём
>всё равно происходит разбор кадра до пакета. Сбор статистики передаваемого трафика
>по коммутируемому интерфейсу можно в плане общей нагрузки собирать через SNMP,
>а для детализации использовать зеркалирование на какой-либо tcpdump-скрипт, общитывающий попадающий на
>него трафик.

Я так понял, что в таком виде трафик целиком не посчитать. Он нормально считается только при маршрутизации, а не коммутации, как в моем случае. Т.е. надо у провайдера брать еще одну подсеть из 4 адресов для стыковки между его и нашим маршрутизатором, создавая в нашем устройстве точку маршрутизации и считать трафик на ней.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от Gbyte email(ok) on 20-Мрт-10, 20:04 

>случае. Т.е. надо у провайдера брать еще одну подсеть из 4
>адресов для стыковки между его и нашим маршрутизатором, создавая в нашем
>устройстве точку маршрутизации и считать трафик на ней.

Если уже выделенных адресов с запасом - можно с провом договорится о выделении из этого диапазона адресов под линк.

можно даже поэкспериментировать с маской /31 - официально на сайте циско написано что ее можно и нужно применять на L3 линках. В лабах в УЦ пробовал - работает, но EIGRP на таких линках не поднимается, OSPF нормально отрабатывал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM email(??) on 21-Мрт-10, 08:56 
>[оверквотинг удален]
>>адресов для стыковки между его и нашим маршрутизатором, создавая в нашем
>>устройстве точку маршрутизации и считать трафик на ней.
>
>Если уже выделенных адресов с запасом - можно с провом договорится о
>выделении из этого диапазона адресов под линк.
>
>можно даже поэкспериментировать с маской /31 - официально на сайте циско написано
>что ее можно и нужно применять на L3 линках. В лабах
>в УЦ пробовал - работает, но EIGRP на таких линках не
>поднимается, OSPF нормально отрабатывал.

у нас построена сеть с линками /31. на моём сегменте работает BGP,OSPF на такой маске. в соседнем сегменте is-is. в регионах (по их заявлениям) EIGRP. так что в теории оно работает. попробую у них уточнить действительно ли у них EIGRP и префикс /31

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от Gbyte email(ok) on 21-Мрт-10, 12:12 

>попробую у них
>уточнить действительно ли у них EIGRP и префикс /31

давай, потом расскажешь - оченно интересно ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM email(??) on 22-Мрт-10, 11:50 
>
>>попробую у них
>>уточнить действительно ли у них EIGRP и префикс /31
>
>давай, потом расскажешь - оченно интересно ;)

у меня на стенде и у самого заработало с первого раза и без проблем, без всякой донастройки, иос C7200-ADVENTERPRISEK9-M Version 12.4(15)T3. Железка 7204 NPE400

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от Gbyte email(ok) on 22-Мрт-10, 07:53 
http://www.cisco.com/en/US/products/hw/switches/ps708/produc...

Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM email(??) on 22-Мрт-10, 11:40 
>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>
>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)

может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так накосячить:))))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от Gbyte email(ok) on 22-Мрт-10, 11:42 
>>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>>
>>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)
>
>может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так
>накосячить:))))

Все может быть... даже врачи ошибаются... и даже дипломы покупают.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Настройка сбора netflow в сети с vlan"  +/
Сообщение от KiM email(??) on 22-Мрт-10, 11:52 
>>>http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
>>>
>>>Cat6500 может весь трафик посчитать, только нужно Netflow правильно включить ;)
>>
>>может быть:) но я сомневаюсь что цисковский инженер на демонстрации способен так
>>накосячить:))))
>
>Все может быть... даже врачи ошибаются... и даже дипломы покупают.

спорить не буду, но тогда они проект потеряли:))))) вкусный

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру