URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13791
[ Назад ]
Исходное сообщение
"Неправильный подсчёт Netflow"
Отправлено lob1 , 16-Июн-07 14:12 
Имеется Catalyst 5505 с 4-мя сетками, три с реальными адресами и 1 серами айпи, которая через НАТ выходит в инет. Также подняты два тунеля на IPIP. Нужно считать трафик по Netflow с сетки офиса, которая загоняется в один из тунелей. Трафик исходящий (от офиса) подсчитывается правильно. А входящий (в офис) нереально занижен! Биллинг работает исправно, так как проверял с другими девайсами (Mikrotik, FreeBSD). Проблема в циске. Привожу рабочий конфиг:

version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
no service single-slot-reload-enable
!
hostname ips5505
!
boot inhibit bsi
enable secret xxxx
enable password xxxx
!
username xxxx
ip subnet-zero
ip name-server xxxx
!
ip cef
!
!
interface Tunnel0
ip address 1.2.3.2 255.255.255.252
ip mtu 1500
ip route-cache flow
tunnel source 1.1.1.2
tunnel destination 2.2.2.2
tunnel mode ipip
!
interface Tunnel1
ip address 4.3.2.2 255.255.255.252
ip mtu 1500
ip nat outside
ip route-cache flow
tunnel source 3.3.3.2
tunnel destination 4.4.4.4
tunnel mode ipip
!
interface Vlan1
ip address 3.3.3.2 255.255.255.240
ip nat outside
!
interface Vlan2
ip address 1.1.1.2 255.255.255.240
!
interface Vlan3
ip address 5.5.5.1 255.255.255.0
ip route-cache policy
ip route-cache flow
ip policy route-map clear-df
!
interface Vlan4
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip route-cache policy
ip policy route-map nat
!
ip nat pool nat 4.3.2.2 4.3.2.2 netmask 255.255.255.252
ip nat inside source list 101 pool nat overload
ip classless
ip route 0.0.0.0 0.0.0.0 1.2.3.1
ip route 3.3.3.0 255.255.255.240 Vlan1
ip route 2.2.2.2 255.255.255.255 1.1.1.1
ip route 4.4.4.4 255.255.255.255 3.3.3.1
ip flow-export source Vlan3
ip flow-export version 5
ip flow-export destination 5.5.5.2 9996
no ip http server
!
access-list 1 permit 5.5.5.0 0.0.0.31
access-list 100 permit ip any any
access-list 101 deny   ip any 3.3.3.0 0.0.0.15
access-list 101 permit ip any any
access-list 110 permit tcp any any
route-map clear-df permit 10
match ip address 110
set ip df 0
!
route-map nat permit 10
match ip address 100
set ip next-hop 4.3.2.1
!
snmp-server community blabla RO 1
snmp-server enable traps tty
!

То есть к Vlan3 подключен сам офис, инетом пользуется через Tunnel0 (поднятый на Vlan2). Нужно считать трафик соответственно на Vlan3 и Tunnel0. Как говорил выше исходящий трафик от офиса считается верно. Проблема подсчёта входящего на Tunnel0. Vlan4 и Tunnel1 с НАТ для подсчёта не используется. Помогите разобраться в чём проблема :(

Содержание
Сообщения в этом обсуждении
"Неправильный подсчёт Netflow"
Отправлено dae , 18-Июн-07 12:07 
занижен по сравнению с чьими данными?
прова?
так они (провы) обычно считают по порту коммутатора сбором по СНМП.
И такая статистика ВСЕГДА больше, чем по нетфлоу. и более точная на мой взгляд.
Поэтому сами настроили такой же сбор данных для сверки
"Неправильный подсчёт Netflow"
Отправлено lob1 , 18-Июн-07 19:37 
>занижен по сравнению с чьими данными?
>прова?
>так они (провы) обычно считают по порту коммутатора сбором по СНМП.
>И такая статистика ВСЕГДА больше, чем по нетфлоу. и более точная на
>мой взгляд.
>Поэтому сами настроили такой же сбор данных для сверки
по сравнению со своими данными, то есть я допустим скачиваю 50Мб какой нибудь файл с инета, он показывает мне входящий ~3Мб, что есть не правильно!
если наоборот закачивал файл в инет (пример, отправляю 50Мб по почте), то исходящий показывает ~52Мб, то есть считает правильно.
статистики провайдера нет, я сам раздаю инет и подсчёт нужен чисто для своих нужд.
"Неправильный подсчёт Netflow"
Отправлено lob1 , 21-Июн-07 16:39 
во время закачки большого файла на компе с айпи 5.5.5.3, подключенный к Vlan3, на циске имеем:

#sh ip cache flow | include 5.5.5.3
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
...
Vl3           5.5.5.3         Tu0           87.242.х.х      06 0460 0050  3051
...

Ответные пакеты от компа 5.5.5.3 на FTP-сервер собираются в циске и периодически скидываются на биллинг. На биллинге точ в точ эти пакеты приходят и считаются им.
А вот строки типа

Tu0           87.242.х.х      Vl3           5.5.5.3         06 хххх хххх  ххх

при команде #sh ip cache flow | include 5.5.5.3 нет :((

Плиз, помогите разобраться в чём трабла, почему циска не считает входящий трафик на interface Tunnel0 ??
уже моя /dev/голова глючит страшно :(

"Неправильный подсчёт Netflow"
Отправлено Nailer , 25-Июн-07 23:56 
>Имеется Catalyst 5505 с 4-мя сетками, три с реальными адресами и 1
>серами айпи, которая через НАТ выходит в инет. Также подняты два
>тунеля на IPIP. Нужно считать трафик по Netflow с сетки офиса,
>которая загоняется в один из тунелей. Трафик исходящий (от офиса) подсчитывается
>правильно. А входящий (в офис) нереально занижен! Биллинг работает исправно, так
>как проверял с другими девайсами (Mikrotik, FreeBSD). Проблема в циске. Привожу
>рабочий конфиг:
>
>version 12.2
>service timestamps debug uptime
>service timestamps log uptime
>service password-encryption
>no service single-slot-reload-enable
>!
>hostname ips5505
>!
>boot inhibit bsi
>enable secret xxxx
>enable password xxxx
>!
>username xxxx
>ip subnet-zero
>ip name-server xxxx
>!
>ip cef
>!
>!
>interface Tunnel0
> ip address 1.2.3.2 255.255.255.252
> ip mtu 1500
> ip route-cache flow
> tunnel source 1.1.1.2
> tunnel destination 2.2.2.2
> tunnel mode ipip
>!
>interface Tunnel1
> ip address 4.3.2.2 255.255.255.252
> ip mtu 1500
> ip nat outside
> ip route-cache flow
> tunnel source 3.3.3.2
> tunnel destination 4.4.4.4
> tunnel mode ipip
>!
>interface Vlan1
> ip address 3.3.3.2 255.255.255.240
> ip nat outside
>!
>interface Vlan2
> ip address 1.1.1.2 255.255.255.240
>!
>interface Vlan3
> ip address 5.5.5.1 255.255.255.0
> ip route-cache policy
> ip route-cache flow
> ip policy route-map clear-df
>!
>interface Vlan4
> ip address 192.168.0.1 255.255.255.0
> ip nat inside
> ip route-cache policy
> ip policy route-map nat
>!
>ip nat pool nat 4.3.2.2 4.3.2.2 netmask 255.255.255.252
>ip nat inside source list 101 pool nat overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 1.2.3.1
>ip route 3.3.3.0 255.255.255.240 Vlan1
>ip route 2.2.2.2 255.255.255.255 1.1.1.1
>ip route 4.4.4.4 255.255.255.255 3.3.3.1
>ip flow-export source Vlan3
>ip flow-export version 5
>ip flow-export destination 5.5.5.2 9996
>no ip http server
>!
>access-list 1 permit 5.5.5.0 0.0.0.31
>access-list 100 permit ip any any
>access-list 101 deny   ip any 3.3.3.0 0.0.0.15
>access-list 101 permit ip any any
>access-list 110 permit tcp any any
>route-map clear-df permit 10
> match ip address 110
> set ip df 0
>!
>route-map nat permit 10
> match ip address 100
> set ip next-hop 4.3.2.1
>!
>snmp-server community blabla RO 1
>snmp-server enable traps tty
>!
>
>То есть к Vlan3 подключен сам офис, инетом пользуется через Tunnel0 (поднятый
>на Vlan2). Нужно считать трафик соответственно на Vlan3 и Tunnel0. Как
>говорил выше исходящий трафик от офиса считается верно. Проблема подсчёта входящего
>на Tunnel0. Vlan4 и Tunnel1 с НАТ для подсчёта не используется.
>Помогите разобраться в чём проблема :(


Это у вас именно каталист 5505? Тогда конфиг с чего, с RSM-модуля?
Сам каталист через sup настраивали?

"Неправильный подсчёт Netflow"
Отправлено lob1 , 26-Июн-07 08:08 
>
>Это у вас именно каталист 5505? Тогда конфиг с чего, с RSM-модуля?
>
>Сам каталист через sup настраивали?

Да это каталист 5505. Приведенный конфиг с RSM-модуля. Не думаю что настройка Netflow будет зависеть от настроек супервизора. Если понадобится могу привести настройки с sup'а.

"Неправильный подсчёт Netflow"
Отправлено Nailer , 27-Июн-07 00:33 
>>
>>Это у вас именно каталист 5505? Тогда конфиг с чего, с RSM-модуля?
>>
>>Сам каталист через sup настраивали?
>
>Да это каталист 5505. Приведенный конфиг с RSM-модуля. Не думаю что настройка
>Netflow будет зависеть от настроек супервизора. Если понадобится могу привести настройки
>с sup'а.

:-)

Ну вообще говоря, он зависит именно от настроек супервизора.
Через RSM идет от 5 до 30% траффика, поэтому и результаты у вас такие.

"Неправильный подсчёт Netflow"
Отправлено lob1 , 28-Июн-07 11:54 
>
>:-)
>
>Ну вообще говоря, он зависит именно от настроек супервизора.
>Через RSM идет от 5 до 30% траффика, поэтому и результаты у
>вас такие.

От чего именно зависит в настройках супервизора? Что именно необходимо посмотреть и подправить? С огромным нетерпением жду рекомендаций :))

"Неправильный подсчёт Netflow"
Отправлено Nailer , 28-Июн-07 18:06 
>>
>>:-)
>>
>>Ну вообще говоря, он зависит именно от настроек супервизора.
>>Через RSM идет от 5 до 30% траффика, поэтому и результаты у
>>вас такие.
>
>От чего именно зависит в настройках супервизора? Что именно необходимо посмотреть и
>подправить? С огромным нетерпением жду рекомендаций :))

Дык на нем и надо включать netflow.
На RSM-е его лучше выключить.

"Неправильный подсчёт Netflow"
Отправлено Nailer , 28-Июн-07 21:16 
>>>
>>>:-)
>>>
>>>Ну вообще говоря, он зависит именно от настроек супервизора.
>>>Через RSM идет от 5 до 30% траффика, поэтому и результаты у
>>>вас такие.
>>
>>От чего именно зависит в настройках супервизора? Что именно необходимо посмотреть и
>>подправить? С огромным нетерпением жду рекомендаций :))
>
>Дык на нем и надо включать netflow.
>На RSM-е его лучше выключить.

Нашел свою старую статейку про MLS и Netflow:

http://www.nag.ru/goodies/hak/MLS_Netflow/MLS_Netflow.html

У меня внешний RP вместо RSM, но принципиально ничего не поменяется. Только, кажется, mls при RSM сам по себе настраивать не обязательно, он работает автоматом.

"Неправильный подсчёт Netflow"
Отправлено lob1 , 29-Июн-07 14:06 
>
>Нашел свою старую статейку про MLS и Netflow:
>
>http://www.nag.ru/goodies/hak/MLS_Netflow/MLS_Netflow.html
>
>У меня внешний RP вместо RSM, но принципиально ничего не поменяется. Только,
>кажется, mls при RSM сам по себе настраивать не обязательно, он
>работает автоматом.


Сафсем запутался :( Какие команды надо выполнить на супервизоре? Не могу найти ничего похожего там на настройку Netflow.

Nailer, можете подробно расписать что надо сделать мне... ?!?

"Неправильный подсчёт Netflow"
Отправлено Nailer , 29-Июн-07 22:48 
>>
>>Нашел свою старую статейку про MLS и Netflow:
>>
>>http://www.nag.ru/goodies/hak/MLS_Netflow/MLS_Netflow.html
>>
>>У меня внешний RP вместо RSM, но принципиально ничего не поменяется. Только,
>>кажется, mls при RSM сам по себе настраивать не обязательно, он
>>работает автоматом.
>
>
>Сафсем запутался :( Какие команды надо выполнить на супервизоре? Не могу найти
>ничего похожего там на настройку Netflow.
>
>Nailer, можете подробно расписать что надо сделать мне... ?!?

Указываете, с какой маской коммутировть потоки:
set mls flow full

Указываете включить в статистику роутер (MLS-RP, в вашем случае RSM):
set mls include 10.0.0.1

Вкулючаете экспорт Netflow
set mls nde enable

И указыаете, на какой адрес и порт выдавать статистику:
set mls nde 10.0.10.50 5000

"Неправильный подсчёт Netflow"
Отправлено chuvy , 30-Июн-07 11:00 
Только вы не забывайте что он шлет данные в флоу 9. А у него  наверняка 5 считается. Да и тем более вы абсолютно не правы - данные по нетфлоу РСМ отсылает верно.
До сих пор не считает? Или уже вопрос решился?
"Неправильный подсчёт Netflow"
Отправлено Nailer , 01-Июл-07 00:36 
>Только вы не забывайте что он шлет данные в флоу 9. А
>у него  наверняка 5 считается. Да и тем более вы
>абсолютно не правы - данные по нетфлоу РСМ отсылает верно.
>До сих пор не считает? Или уже вопрос решился?


С какого перепуга RSM может обсчитать весь траффик, прошедший через свитч, если он видит только первый пакет? :-)

А нетфлоу в 9-ом формате, это да.

"Неправильный подсчёт Netflow"
Отправлено lob1 , 01-Июл-07 08:16 
>
>
>С какого перепуга RSM может обсчитать весь траффик, прошедший через свитч, если
>он видит только первый пакет? :-)
>
>А нетфлоу в 9-ом формате, это да.


Мдааа, мне нужен Netflow v5. Пятую версию можно выдавать из супервизора? Или может есть какой нибудь вариант другого софта перевода из одной версии в другую? Возможен ли вариант преобразовывать из 9 в 5 на тачке с биллингом...