URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 12039
[ Назад ]

Исходное сообщение
"OpenNews: Мониторинг сетевого трафика используя NetFlow"
Отправлено opennews , 19-Авг-05 15:41

В статье "Monitoring Network Traffic with Netflow (http://www.onlamp.com/pub/a/bsd/2005/08/18/Big_Scary_Daemons...)" рассмотрена тема анализа и мониторинга трафика используя Netflow.

Для прослушивания трафика и генерации Netflow потока используется softflowd (http://www.mindrot.org/softflowd.html). Далее поток обрабатывается коллектором flow-tools (http://www.splintered.net/sw/flow-tools/) и на основе полученной информации строятся отчеты при помощи утилит из пакета Cflow (http://www.caida.org/tools/measurement/cflowd/).
URL: http://www.onlamp.com/pub/a/bsd/2005/08/18/Big_Scary_Daemons...
Новость: http://www.opennet.me/opennews/art.shtml?num=5942

Содержание

Мониторинг сетевого трафика используя NetFlow,McLone, 15:41 , 19-Авг-05
BSD is faster!,McLone, 15:45 , 19-Авг-05
- BSD is faster!,Dig, 17:19 , 20-Авг-05
  - Мы - не они, мы не здесь. Они - это Вы. Большинство. Толпа.,McLone, 18:43 , 20-Авг-05
- BSD is faster!,Алексей, 17:53 , 20-Авг-05
  - BSD is faster!,Sem, 15:00 , 23-Авг-05
Мониторинг сетевого трафика используя NetFlow,kba, 19:43 , 19-Авг-05
- Оне уже не первый год показывает влан как терфейс...,Nefer, 21:33 , 19-Авг-05
- Мониторинг сетевого трафика используя NetFlow,llelik, 11:44 , 20-Авг-05
- Мониторинг сетевого трафика используя NetFlow,larrikin, 13:45 , 20-Авг-05
- Мониторинг сетевого трафика используя NetFlow,Любитель, 17:30 , 24-Авг-05
Мониторинг сетевого трафика используя NetFlow,edwin, 11:25 , 21-Авг-05
- Мониторинг сетевого трафика используя NetFlow,kba, 18:19 , 25-Авг-05
Мониторинг сетевого трафика используя NetFlow,stalker, 14:49 , 21-Авг-05
- Мониторинг сетевого трафика используя NetFlow,Алексей, 14:57 , 21-Авг-05
  - bpf, libpcap, etc,McLone, 17:31 , 21-Авг-05
    - bpf, libpcap, etc,Алексей, 21:52 , 21-Авг-05
    - bpf, libpcap, etc,stalker, 22:44 , 21-Авг-05
      - bpf, libpcap, etc,Алексей, 08:48 , 22-Авг-05
        
        bpf, libpcap, etc,Slimm, 12:26 , 17-Сен-05
        
        bpf, libpcap, etc,larrikin, 22:03 , 18-Сен-05
Мониторинг сетевого трафика используя NetFlow,Abu, 08:46 , 24-Авг-05
Мониторинг сетевого трафика используя NetFlow,Аноним, 01:54 , 13-Сен-05

Сообщения в этом обсуждении

"Мониторинг сетевого трафика используя NetFlow"
Отправлено McLone , 19-Авг-05 15:41

Еще NeTAMS неплох, хотя требует напильника всё-же.
http://netams.com/doc/serv_ds.html

"BSD is faster!"
Отправлено McLone , 19-Авг-05 15:45

А почему softflowd? Ааа, они на линуксе наверное?
Под любую новую BSD есть http://www.mindrot.org/pfflowd.html (берет срэйты из PF'a), а под пятую-шестую фрю есть ng_netflow(4) в базовой поставке.

"BSD is faster!"
Отправлено Dig , 20-Авг-05 17:19

Не угадал. Ты хоть статью прочитал бы, а потом лез сюда коментировать.
"My demonstration will be on FreeBSD." - ищи по тексту.

"Мы - не они, мы не здесь. Они - это Вы. Большинство. Толпа."
Отправлено McLone , 20-Авг-05 18:43

Достаточно туманно илъясняюсь?

"BSD is faster!"
Отправлено Алексей , 20-Авг-05 17:53

под 4.x тоже. но в портах.

"BSD is faster!"
Отправлено Sem , 23-Авг-05 15:00

Но он "not supported anymore".
То есть он рабочий, но замечания в /dev/null, поскольку разработчик 4.* уже давно не поддерживает.

"Мониторинг сетевого трафика используя NetFlow"
Отправлено kba , 19-Авг-05 19:43

лучше бы описали как снимать трафик с цисок, с несколькими VLAN'ами..... куда полезнее я думаю...

"Оне уже не первый год показывает влан как терфейс..."
Отправлено Nefer , 19-Авг-05 21:33

Года три или четыре назад появилось.

"Мониторинг сетевого трафика используя NetFlow"
Отправлено llelik , 20-Авг-05 11:44

netams вроде умеет

"Мониторинг сетевого трафика используя NetFlow"
Отправлено larrikin , 20-Авг-05 13:45

а в чем собственно проблема?

"Мониторинг сетевого трафика используя NetFlow"
Отправлено Любитель , 24-Авг-05 17:30

Не плохой девайс для мониторинга за трафиком используя NetFlow до 2500 может поддерживать
http://www.fluke-networks.ru/reporteranalyzer/index.php

"Мониторинг сетевого трафика используя NetFlow"
Отправлено edwin , 21-Авг-05 11:25

> лучше бы описали как снимать трафик с цисок, с
> несколькими VLAN'ами..... куда полезнее я думаю...
А в чем проблема ? по моему все достачно прозрачно

"Мониторинг сетевого трафика используя NetFlow"
Отправлено kba , 25-Авг-05 18:19

>> лучше бы описали как снимать трафик с цисок, с
>> несколькими VLAN'ами..... куда полезнее я думаю...
>
>А в чем проблема ? по моему все достачно прозрачно
на самом деле это довольно-таки нетривиальная задача...
кстати на сайте netams - объясняется эта проблема, про использование двойного loopback'а и т. д.

"Мониторинг сетевого трафика используя NetFlow"
Отправлено stalker , 21-Авг-05 14:49

ipcad+flow-tools более правильное решение

"Мониторинг сетевого трафика используя NetFlow"
Отправлено Алексей , 21-Авг-05 14:57

а что bpf based решения не загружают комп при большом PPS ?

"bpf, libpcap, etc"
Отправлено McLone , 21-Авг-05 17:31

эти решения не только загружают комп, но и происзодит потеря траффикав пакетном фильтре, не все пакеты видит. Кстати, у NetFlow'а тоже был баг - на стримах продолжительностью больше 2 гигабайт обнуляло счетчик... В старших версиях пофиксили, вроде...

"bpf, libpcap, etc"
Отправлено Алексей , 21-Авг-05 21:52

Переод скидывания flow ставить меньше чем наберется 2Г и все будет нормально.

"bpf, libpcap, etc"
Отправлено stalker , 21-Авг-05 22:44

>эти решения не только загружают комп, но и происзодит потеря траффика
>в пакетном фильтре, не все пакеты видит.
pcap-based теряют, а ULOG, насколько я ничего не понимаю, нет.
ULOG 20mbit/s вполне себе тянет pII-500.
А уж если у вас что-либо вроде сотки или выше (магистральной) тут уж с cisco лучше заморочиться.

"bpf, libpcap, etc"
Отправлено Алексей , 22-Авг-05 08:48

Угу. ULOG некоторое подобие Divert sockets..
Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество пакетов в секунду).
20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.

"bpf, libpcap, etc"
Отправлено Slimm , 17-Сен-05 12:26

>Угу. ULOG некоторое подобие Divert sockets..
>Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество
>пакетов в секунду).
>20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.
>
если анализируются заголовки, то какая разница что записано в поле длинна пакета?

"bpf, libpcap, etc"
Отправлено larrikin , 18-Сен-05 22:03

>>Угу. ULOG некоторое подобие Divert sockets..
>>Ток одно "НО" 20Мбит\с ничего не говорит о потоке. говорит PPS (количество
>>пакетов в секунду).
>>20Мбит при пакетах в 16кбайт и пакетах 60байт - слегка разные цифры.
>>
>если анализируются заголовки, то какая разница что записано в поле длинна пакета?
В том то и дело что количество пакетов на каждый Мб/сек. разное при разной длине пакета.

"Мониторинг сетевого трафика используя NetFlow"
Отправлено Abu , 24-Авг-05 08:46

А может ли кто посоветовать что-нибудь приличное для линуксового шлюза среднего офиса?

"Мониторинг сетевого трафика используя NetFlow"
Отправлено Аноним , 13-Сен-05 01:54

stargazer (первая версия) - проще не придумать...