Здравствуйте! Ребята, помогите разобраться.
Есть задача разобраться с параметрами потока netflow v8 типа агрегации RouterDstPrefix и RouterSrcPrefix (RouterPrefix). В документации (http://www.cisco.com/en/US/products/sw/netmgtsw/ps1964/produ...) нашел, что в вышеописанных типах агрегации присутствуют некие параметры "dst_as" и "src_as" (таблица 5.3 и 5.4).
Собственно вопрос, что имеется в виду под этими самыми "автономными системными номерами источника/назначения"?
NetFlow Services Solutions Guide читал, но работаю с Cisco совсем немного, не все пока понимаю.
Спасибо!

• Cisco Netflow FlowCollector & netflow v8,Асен Тотин, 13:20 , 21-Июл-03
  • Cisco Netflow FlowCollector & netflow v8,Arkady, 14:10 , 21-Июл-03
    • Cisco Netflow FlowCollector & netflow v8,Асен Тотин, 15:13 , 21-Июл-03
      • Cisco Netflow FlowCollector & netflow v8,Arkady, 15:24 , 21-Июл-03
        • Cisco Netflow FlowCollector & netflow v8,Асен Тотин, 16:27 , 21-Июл-03
          • Cisco Netflow FlowCollector & netflow v8,Arkady, 17:50 , 21-Июл-03

Привет,

Автономная система - уникальный идентификатор каждой системы, поддерживающей маршрутизацию по протоколу BGP-4.

В идеальном случае, src_as и dst_as будут содержать в себе номер автономной системы источника IP пакета и его назначение.

С v8 работать не приходилось, но в v1 и в v5 были некоторые странности на это тему... например, полученни енулевых стойностей AS.

WWell,

Спасибо за ответ, Асен.
Может еще подскажите, как мне поступить правильнее?
Данный механизм должен работать с неким старым самописным биллингом интернета. Причем именно та часть биллинга, которая заливает CDR-ки в SQL-базу, подготовленные CiscoNetflow Collector, представлена в виде парсера, написанного на простом шеле. В нем есть код, требующий наличия в выходном файле CiscoNFC строк типа "RouterSrcPrefix" и "RouterDstPrefix". Это я к тому, что я не ошибся, нужен именно v8.
Так вот, неужели клиентам, подключенным к нам, допустим по выделенке, необходимо поднимать BGP?
Как бы вы подошли к решению этой задачи?

>Так вот, неужели клиентам, подключенным к нам, допустим по выделенке, необходимо поднимать
>BGP?

Надеюсь, что нет... насколько мне помниться, в каждом flow должны содержаться src_ip и dst_ip, т.е. IP адреса источника и получателя каждого пакета, вместе с его размером. У меня рабоает похожая система, которая делает примерно следующее:

1. Запускает listener на удобный порт, куда киска шлет свои flow пакеты. У меня конкретно он написан на Perl, запущен init процессом. Можно, наверно, и демона написать.

2. Listener получает flow пакеты, определяет их брой записей (макс. 30), затем с каждого записа выделяет src_ip, dst_ip и размер.

3. Следует сравнение dst_ip с набором клиентских диапазонов; если нет совпадения, проверяется src_ip. Цель упражнения: определить клиент, которому принадлежит пакет, а также его направление (upload, download).

4. На каждого клиента выделен внутрений счетчик, который увеличиватся размером прошедшего пакета.

5. В начале каждой минуты все счетчики сбрасываются в SQL и обнуляютсья.

Надеюсь, это чем-то поможет...

WWell,

>Надеюсь, это чем-то поможет...

К сожалению, нет.
Вот посмотрите формат выходного файла, может ваш опытный взгляд что подскажет:
- - - -
SOURCE 70.79.141.232|FORMAT 2|AGGREGATION RouterSrcPrefix|PERIOD 5|STARTTIME 1058785800|ENDTIME 1058786100|FLOWS 40|MISSED 0|RECORDS 1
AGGREGATION_DEFINITION

src_subnet|src_mask|input|src_as|pkts|octets|flows|starttime|endtime|
activetime
0.0.0.0|0|1|0|84|9208|40|731207962|731208237|138936
- - - -

Этот формат вполне согласуется с форматом, приведенным в таблице 5-3, если сходить по ссылке, которую я указывал ранее.
А "src_as" = 0.

Здесь все более-менее ясно... ваш рутер говорит следющее:

У вас включено аггрегирование (обобщение) трафика по параметру "IP
адрес источника" (AGGREGATION RouterSrcPrefix). Про данный адрес (SOURCE
70.79.141.232) за период с (STARTTIME 1058785800) по (ENDTIME
1058786100), или итого 5 минут (PERIOD 5) - эти все UNIX timestamps -
поступило всего 40 записей (FLOWS 40), причем все они были обработаны
рутером (MISSED 0) и объединены в один общий (RECORDS 1).

Далее следует информация насчет самого трафика: учет ведется об одном
адресе (src_subnet 0.0.0.0; src_mask 0), трафик прошел через один
интерфейс (input 1), всего было 84 отдельных IP пакетов (pkts 84), в
которых содержалось итого 9208 байтов (octets 9208).

Что касается "src_as 0", то это я встречал и в других местах... по
неведомым причинам, киска иногда/часто подставляет нуелвой AS вместо
действительного. Это происходит вне зависимости от aggregagion cache.
По все видимости, на эту информацию просто нельзя положиться... я ее
игнорирую. Вам наверно важно то, что указан источник и размер трафика
- этого должно хватить, что бы биллинг работал.. или нет?

WWell,

Асен, большое спасибо за ваши развернутые ответы. Но, к сожалению, источником всегда указана сама Cisco.
Буду копать дальше...