"Сбор трафика с vlan на Cisco Catalyst 3560G с помощью FreeBSD и trafd (http://subnets.ru/blog/?p=840)" - учет трафика на коммутаторе Catalyst 3560G, через зеркалирование трафика vlan-ов на FreeBSD хост с trafd.URL: http://subnets.ru/blog/?p=840
Новость: http://www.opennet.me/opennews/art.shtml?num=20676
пример того, как делать не надо.
а зачем тогда вообще циска?
заводил бы уж тогда вланы прямо во фрю.
>а зачем тогда вообще циска?
>заводил бы уж тогда вланы прямо во фрю.Каталист 3560 вроде netflow не умеет отдавать. Но вместо trafd лучше было ipcad поставить, а не плодить по процессу на один vlan.
а что мешало использовать ng_netflow? религия?
а до vlan-ов в нетграфе ты доберешься?
>а до vlan-ов в нетграфе ты доберешься?ng_ipfw ?..
>а до vlan-ов в нетграфе ты доберешься?прекрасно работает, читаем матчасть
видимо то, что ng_netflow предназначен для мягко говоря слегка других вещей
зеркалирование трафика предназначено для отладочных целей, типа сниферения трафика в местах где это невозможно сделать на целевых системах. В вышеописанной конфигурации будет банальная потеря трафика при полной загрузке пары-тройки интерфейсов в одном vlan. Даже спор о кузявости ipcad и trafd в данном случае выглядит смешным :)
сорм тоже для отладочных целей придумали ? :)
вы сорм на картинках/в интернетах про него читали, или реально руками трогали и эксплуатируете?
>зеркалирование трафика предназначено для отладочных целей, типа сниферения трафика в местах где
>это невозможно сделать на целевых системах.Зеркалирование как раз для пассивного анализа трафика и используют, оборудование http://www.sormovich.ru тому пример. Или у вас есть другие варианты ? Тогда расскажите о них.
>В вышеописанной конфигурации будет банальная
>потеря трафика при полной загрузке пары-тройки интерфейсов в одном vlan.При перегрузке потеря будет и в самом трафике :-)
>>зеркалирование трафика предназначено для отладочных целей, типа сниферения трафика в местах где
>>это невозможно сделать на целевых системах.
>
>Зеркалирование как раз для пассивного анализа трафика и используют, оборудование http://www.sormovich.ru тому
>пример. Или у вас есть другие варианты ? Тогда расскажите о
>них.да посмотрел. Самое интересное что эта железка анализирует трафик который валится ей на физический порт. Ее не интересует, что трафика может быть _намного_ больше чем валится ей на порт. В техзадании про это ни слова. И товарищи которые ставят эти железки на это тоже закрывают глаза :). Вот сейчас глянул на коммутатор 3560. Цитата из datasheet: "32 Gbps forwarding bandwidth". Грубо говоря все порты находятся в одном VLAN и в этом VLAN теоретически гуляет трафик 32Gbps. КАК ТЫ ЭТО ВЫСОСЕШЬ ВЕСЬ ЭТОТ ТРАФИК ОДНИМ ПОРТОМ НА 100Mbps?!!! А ведь есть коммутаторы к примеру 65xx с супервизором 720. Что эта цифра значит догадываешься?
>
>
>>В вышеописанной конфигурации будет банальная
>>потеря трафика при полной загрузке пары-тройки интерфейсов в одном vlan.
>
>При перегрузке потеря будет и в самом трафике :-)это на хабе. Мы говорим про коммутатор.
слив с интерфейса идет на скорости 100 мегабит. А теперь запускаем калькуляторы и считаем на сколько хватит буфера порта интерфейса с которого мониторим, при одновременной работе 2-х, 3-х, 4-х интерфейсов, входящих в vlan который мы мониторим, и юзеры на этих портах на полной скорости сливают фильм.
всё ещё проще. когда туда придёт отмирроренный гигабит, машинка с trafd это не прожует.
когда понадобится детально проанализировать поток более гигобайта появятся деньги на 65/72/74/76 с netflowа вобще за статью конечно спасибо, начинающим поможет.