Здравствуйте.
Ситуация такая:
internet---cisco5350---модем1---(8км)---модем---сервер(Linux)
Информация о трафике собирается на cisco (c помощью ip accounting) и на Linux (trafd и ifconfig eth1).
Проблема в том, .. что показания trafd  и ifconfig eth1 в целом сходятся, ... а ip accounting - больше в 1.5-2 раза.
Может подскажите, ... в чем может быть дело ?

• Расходждения в обсчете трафика,retro, 13:18 , 20-Авг-04
  • Расходждения в обсчете трафика,YuryD, 13:40 , 20-Авг-04
    • Расходждения в обсчете трафика,retro, 14:10 , 20-Авг-04
      • Расходждения в обсчете трафика,YuryD, 14:18 , 20-Авг-04
• Расходждения в обсчете трафика,uldus, 14:20 , 20-Авг-04
  • Расходждения в обсчете трафика,Chris, 14:58 , 20-Авг-04
    • Расходждения в обсчете трафика,retro, 15:11 , 20-Авг-04
  • Расходждения в обсчете трафика,retro, 15:09 , 20-Авг-04
    • Расходждения в обсчете трафика,lalala, 15:42 , 20-Авг-04
      • Расходждения в обсчете трафика,A Clockwork Orange, 15:52 , 20-Авг-04
      • Расходждения в обсчете трафика,YuryD, 15:54 , 20-Авг-04
        • Расходждения в обсчете трафика,lalala, 19:23 , 20-Авг-04
      • Расходждения в обсчете трафика,retro, 15:59 , 20-Авг-04
      • Расходждения в обсчете трафика,uldus, 16:51 , 20-Авг-04
    • Расходждения в обсчете трафика,uldus, 17:01 , 20-Авг-04
      • Расходждения в обсчете трафика,retro, 14:20 , 21-Авг-04

Конфигурация на cisco:
!
ip accounting-threshold 50000
!
interface FastEthernet0/0
ip accounting output-packets
..
!
interface FastEthernet0/1
ip accounting output-packets
..
!
interface Serial0/1 (сюда приходит интернет)
ip accounting output-packets

>ip accounting output-packets

Возьмите файл ip accounting м сравните с trafd.
Варианты - кривая маршрутизация, фильтрация траффика на вашей стороне...

>>ip accounting output-packets
>
> Возьмите файл ip accounting м сравните с trafd.
Файл не сходится.
> Варианты - кривая маршрутизация,
Например?
>>фильтрация траффика на вашей стороне...
Cisco фильтрует только 135,139,137 и 445 порты. Из за этого не может быть расхождений в 2 раза
А не могут случайно теряться пакеты между модемами?

>> Возьмите файл ip accounting м сравните с trafd.
>Файл не сходится.

И сильно ? У меня расхождения были небольшие, и еще - trafd мелкие/битые пакеты не учитывает.

>> Варианты - кривая маршрутизация,
>Например?

Например на вас /24 подают а у вас /28 только настроено, вот и будут
по каналу бегать icmp unreach/redirect туда-сюда, увеличивая счетчики  киски.

>А не могут случайно теряться пакеты между модемами?

Sho int se0 - там видно все.

>целом сходятся, ... а ip accounting - больше в 1.5-2 раза.

Если в два раза, то очень похоже что один пакет считается на cisco 2 раза. NAT или loopback интерфейсы на cisco используются ?

если trafd не патченый, то он имеет привычку терять трафик

>если trafd не патченый, то он имеет привычку терять трафик
trafd-3.0.3-b1
Его показания сходятся с показаниями трафика,  прошедшего через интерфейс
(ifconfig eth1)

>>целом сходятся, ... а ip accounting - больше в 1.5-2 раза.
>
>Если в два раза, то очень похоже что один пакет считается на
>cisco 2 раза. NAT или loopback интерфейсы на cisco используются ?
>
С маршрутизацией все нормально.
sh int говорит что ошибок не было (но может они были на модемах).
Есть нат, и есть loopback.
Еще такая ситуация: подключаю к cisco напрямую машину (без модемов). Статистика сходится.

если модемы используют HLDC протокол передачи данных, то это оверхед так называемый :) сами сталкивались.

А с провайдером какая сходится?

>если модемы используют HLDC протокол передачи данных, то это оверхед так >называемый >:) сами сталкивались.

Он небольшой, не 2 раза. Что мешает за 10-15 минут снять ip acco и trafd
и сравнить ? Т.к киска считает только то, что к вам, соотвесттвенно и из
trafd выбрать только к вам. Ну и прирост счетчиков на Se0 и eth вашем сравнить.

>>если модемы используют HLDC протокол передачи данных, то это оверхед так >называемый >:) сами сталкивались.
>
> Он небольшой, не 2 раза. Что мешает за 10-15 минут снять
>ip acco и trafd
> и сравнить ? Т.к киска считает только то, что к вам,
>соотвесттвенно и из
> trafd выбрать только к вам. Ну и прирост счетчиков на Se0
>и eth вашем сравнить.

да не в два раза, в месяц получается <10% расхождение, статистика снимается ipacctd'ом каждые 5 минут.

>если модемы используют HLDC протокол передачи данных, то это оверхед так называемый
>:) сами сталкивались.
Да, ... есть такое. И как с этим бороться? (FlexDsl FG-PAM-ETH Nateks)
А во сколько раз разница ?

>если модемы используют HLDC протокол передачи данных, то это оверхед так называемый

ip accounting считает только IP трафик, поэтому он обязан быть на несколько процентов меньше показания счетчика на интерфейсе.

>Есть нат, и есть loopback.

На loopback нет включенного учета ip accounting ?

ip acc считает по внутренним IP или внешнему после NAT ?
Может быть у тебя в кошке гуляют пакеты с тем же внутренним адресом клиента, пришедшие с других интерфейсов.

>Еще такая ситуация: подключаю к cisco напрямую машину (без модемов). Статистика сходится.

Возьми одни IP и посмотри сколько пакетов посчитал trafd и сколько ip acc. Сравни не трафик, а именно число пакетов.

>>Есть нат, и есть loopback.
>
>На loopback нет включенного учета ip accounting ?
ip accounting отсутствует на loopback
>ip acc считает по внутренним IP или внешнему после NAT ?
по внутренним и по внешним.
для клиентов с реальными адресами и с теми, кто выходит через нат опыт показывает одно и тоже.
>Может быть у тебя в кошке гуляют пакеты с тем же внутренним
>адресом клиента, пришедшие с других интерфейсов.
>
сильно сомневаюсь. на всякий случий был настроен arp для защиты от подмены адресов или маков
>>Еще такая ситуация: подключаю к cisco напрямую машину (без модемов). Статистика сходится.
>

>Возьми одни IP и посмотри сколько пакетов посчитал trafd и сколько ip
>acc. Сравни не трафик, а именно число пакетов.
ок, ... попробую

...
И еще, ... ошибочка небольшая вышла: между модемами не hdlc, а shdsl