The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Мониторинг сетевого трафика используя NetFlow

19.08.2005 14:49

В статье "Monitoring Network Traffic with Netflow" рассмотрена тема анализа и мониторинга трафика используя Netflow.

Для прослушивания трафика и генерации Netflow потока используется softflowd. Далее поток обрабатывается коллектором flow-tools и на основе полученной информации строятся отчеты при помощи утилит из пакета Cflow.

  1. Главная ссылка к новости (http://www.onlamp.com/pub/a/bs...)
Лицензия: CC-BY
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/5942-netflow
Ключевые слова: netflow, monitor, traffic
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, McLone (?), 15:41, 19/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще NeTAMS неплох, хотя требует напильника всё-же.
    http://netams.com/doc/serv_ds.html
     
  • 1.2, McLone (?), 15:45, 19/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему softflowd? Ааа, они на линуксе наверное?
    Под любую новую BSD есть http://www.mindrot.org/pfflowd.html (берет срэйты из PF'a), а под пятую-шестую фрю есть ng_netflow(4) в базовой поставке.
     
     
  • 2.7, Dig (?), 17:19, 20/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Не угадал. Ты хоть статью прочитал бы, а потом лез сюда коментировать.
    "My demonstration will be on FreeBSD." - ищи по тексту.
     
     
  • 3.9, McLone (?), 18:43, 20/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно туманно илъясняюсь?
     
  • 2.8, Алексей (??), 17:53, 20/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    под 4.x тоже. но в портах.
     
     
  • 3.17, Sem (??), 15:00, 23/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Но он "not supported anymore".
    То есть он рабочий, но замечания в /dev/null, поскольку разработчик 4.* уже давно не поддерживает.
     

  • 1.3, kba (??), 19:43, 19/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    лучше бы описали как снимать трафик с цисок, с несколькими VLAN'ами..... куда полезнее я думаю...
     
     
  • 2.4, Nefer (?), 21:33, 19/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Года три или четыре назад появилось.
     
  • 2.5, llelik (?), 11:44, 20/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    netams вроде умеет
     
  • 2.6, larrikin (ok), 13:45, 20/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а в чем собственно проблема?
     
  • 2.19, Любитель (?), 17:30, 24/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Не плохой девайс для мониторинга за трафиком используя NetFlow до 2500 может поддерживать

    http://www.fluke-networks.ru/reporteranalyzer/index.php

     

  • 1.10, edwin (??), 11:25, 21/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > лучше бы описали как снимать трафик с цисок, с
    > несколькими VLAN'ами..... куда полезнее я думаю...

    А в чем проблема ? по моему все достачно прозрачно

     
     
  • 2.20, kba (??), 18:19, 25/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >> лучше бы описали как снимать трафик с цисок, с
    >> несколькими VLAN'ами..... куда полезнее я думаю...
    >
    >А в чем проблема ? по моему все достачно прозрачно

    на самом деле это довольно-таки нетривиальная задача...
    кстати на сайте netams - объясняется эта проблема, про использование двойного loopback'а и т. д.

     

  • 1.11, stalker (??), 14:49, 21/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ipcad+flow-tools более правильное решение
     
     
  • 2.12, Алексей (??), 14:57, 21/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а что bpf based решения не загружают комп при большом PPS ?
     
     
  • 3.13, McLone (?), 17:31, 21/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    эти решения не только загружают комп, но и происзодит потеря траффикав пакетном фильтре, не все пакеты видит. Кстати, у NetFlow'а тоже был баг - на стримах продолжительностью больше 2 гигабайт обнуляло счетчик... В старших версиях пофиксили, вроде...
     
     
  • 4.14, Алексей (??), 21:52, 21/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Переод скидывания flow ставить меньше чем наберется 2Г и все будет нормально.
     
  • 4.15, stalker (??), 22:44, 21/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >эти решения не только загружают комп, но и происзодит потеря траффика
    >в пакетном фильтре, не все пакеты видит.

    pcap-based теряют, а ULOG, насколько я ничего не понимаю, нет.

    ULOG 20mbit/s вполне себе тянет pII-500.
    А уж если у вас что-либо вроде сотки или выше (магистральной) тут уж с cisco лучше заморочиться.

     
     
  • 5.16, Алексей (??), 08:48, 22/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Угу. ULOG некоторое подобие Divert sockets..
    Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество пакетов в секунду).
    20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.
     
     
  • 6.22, Slimm (??), 12:26, 17/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Угу. ULOG некоторое подобие Divert sockets..
    >Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество
    >пакетов в секунду).
    >20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.
    >
    если анализируются заголовки, то какая разница что записано в поле длинна пакета?


     
     
  • 7.23, larrikin (ok), 22:03, 18/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Угу. ULOG некоторое подобие Divert sockets..
    >>Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество
    >>пакетов в секунду).
    >>20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.
    >>
    >если анализируются заголовки, то какая разница что записано в поле длинна пакета?

    В том то и дело что количество пакетов на каждый Мб/сек. разное при разной длине пакета.

     

  • 1.18, Abu (?), 08:46, 24/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А может ли кто посоветовать что-нибудь приличное для линуксового шлюза среднего офиса?
     
  • 1.21, Аноним (21), 01:54, 13/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    stargazer (первая версия) - проще не придумать...
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру