Подскажите пожалуйста. Не могу разобраться в программе учета ManageEngine NetFlow Analyzer
Пытаюсь получить логи с Cisco 881. Анализатор подцепил циску, но в анализаторе на маршрутизаторе показывает два интерфеиса IfIndex7 и IfIndex5. Запусти из локалки для пробы закачку тореннта: IfIndex5 начинает показывать IN к примеру 280кб, в это же время IfIndex7 столько же, но только OUT. Через несколько часов опять запустил торрент. Все то же самое только наоборот IfIndex5 показывает уже OUT, опять же к примеру, 280кб, а IfIndex7 столько же но уже как IN. Цель у меня подсчет входящего трафика, вот не поиму что и как он считает и с каких интерфейсов. Какой трафик из этих интерфейсов для меня нужен? На самой циске для netflow настроил только это:ip cef
ip flow-cache timeout active 1interface Vlan1
description Lan$ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.3 255.255.255.0
ip access-group 23 in
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452ip flow-export version 9
ip flow-export destination 192.168.1.5 9996
-------------------------------------------------
cisco#show ip flow export
Flow export v9 is enabled for main cache
Export source and destination details :
VRF ID : Default
Destination(1) 192.168.1.5 (9996)
Version 9 flow records
170638 flows exported in 6965 udp datagrams
0 flows failed due to lack of export packet
0 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures
cisco#
---------------------------------------------------
cisco#show ip cache flow
IP packet size distribution (3821003 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .618 .019 .008 .004 .002 .001 .001 .001 .001 .001 .001 .002 .002 .001512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.001 .001 .006 .011 .308 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes
5 active, 4091 inactive, 170473 added
2759084 ager polls, 0 flow alloc failures
Active flows timeout in 1 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
5 active, 1019 inactive, 170334 added, 170334 added to flow
0 alloc failures, 0 force free
1 chunk, 9 chunks added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 27 0.0 67 41 0.0 12.7 11.9
TCP-FTP 8 0.0 6 57 0.0 2.1 10.1
TCP-WWW 71881 0.7 19 814 14.2 3.3 7.3
TCP-SMTP 32 0.0 89 801 0.0 8.0 1.8
TCP-X 3 0.0 3 58 0.0 8.9 15.7
TCP-other 32060 0.3 53 123 17.2 6.0 8.8
UDP-DNS 16654 0.1 1 65 0.1 0.0 15.4
UDP-NTP 61 0.0 1 76 0.0 0.0 15.5
UDP-other 48886 0.4 11 937 5.7 3.2 15.2
ICMP 855 0.0 73 58 0.6 40.4 8.9
Total: 170467 1.6 22 503 38.0 3.6 10.6SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Vl1 192.168.1.100 Null 192.168.255.255 11 C8DC 079B 1
Vl1 192.168.1.186 Null 255.255.255.255 11 040C 079B 1
Vl1 192.168.1.100 Null 255.255.255.255 11 C8DC 079B 1
Vl1 192.168.1.187 Null 192.168.255.255 11 0089 0089 5
Vl1 192.168.1.186 Null 192.168.255.255 11 040C 079B 1
cisco#
вначале на маршрутизаторе:
snmp-server ifindex persistЗатем в интерфейсе Netflow Analyzer справа от имени роутера кнопка "Set SNMP parameters"
в поле "Default Interface Name" выбрать "IfAlias" - "Update"
имя интерфейса сменится на указанное в descriptionLan$ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
> вначале на маршрутизаторе:
> snmp-server ifindex persist
> Затем в интерфейсе Netflow Analyzer справа от имени роутера кнопка "Set SNMP
> parameters"
> в поле "Default Interface Name" выбрать "IfAlias" - "Update"
> имя интерфейса сменится на указанное в description
> Lan$ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$все сделал. после update ошибки не показала. но пока все так же и осталось. может не сразу обновляется?
>> Затем в интерфейсе Netflow Analyzer справа от имени роутера кнопка "Set SNMP
>> parameters"
>> в поле "Default Interface Name" выбрать "IfAlias" - "Update"можно повторить операцию - иногда ускоряет процесс,затем свернуть интерфейсы и раскрыть заново
>>> Затем в интерфейсе Netflow Analyzer справа от имени роутера кнопка "Set SNMP
>>> parameters"
>>> в поле "Default Interface Name" выбрать "IfAlias" - "Update"
> можно повторить операцию - иногда ускоряет процесс,затем свернуть интерфейсы и раскрыть
> зановоЗа целый день ни каких изменений :(
>>>> Затем в интерфейсе Netflow Analyzer справа от имени роутера кнопка "Set SNMP
>>>> parameters"
>>>> в поле "Default Interface Name" выбрать "IfAlias" - "Update"
>> можно повторить операцию - иногда ускоряет процесс,затем свернуть интерфейсы и раскрыть
>> заново
> За целый день ни каких изменений :(Для начала надо разобраться как все это должно работать и уже потом "тыкать галочки", а не наоборот :)
1. циска собирает статистику
2. группирует.
3. "сливает" по udp на коллектор.
4. коллектор "слушает" порт, который скажут.
5. если есть поток - собирает его и агрегирует.
6. анализирует.Этапы проверки:
1. настроена ли циска на сбор статистики?
2. куда циска сливает поток? IP + port.
3. прилетает ли поток на коллектор?
4. правильно ли настроен коллектор? IP+port не закрыто ли файрволом?
и только потом разбираться отображает вам он что нить и или нет и как отображает.ато ваш разговор напоминает известную байку "стекло протирал? по колёсам стучал?....."
>[оверквотинг удален]
> 5. если есть поток - собирает его и агрегирует.
> 6. анализирует.
> Этапы проверки:
> 1. настроена ли циска на сбор статистики?
> 2. куда циска сливает поток? IP + port.
> 3. прилетает ли поток на коллектор?
> 4. правильно ли настроен коллектор? IP+port не закрыто ли файрволом?
> и только потом разбираться отображает вам он что нить и или
> нет и как отображает.
> ато ваш разговор напоминает известную байку "стекло протирал? по колёсам стучал?....."а конфига циско что я выложил для сбора статистики не мало? Могу весь выложить.
назначение по порту 9996 (ip flow-export destination 192.168.1.5 9996). Фаервола вообще нет на машине приема.
Программа статистику показывает. Проблема заключается только в том что написано в топикстарте.
>>[оверквотинг удален]а ваш аналайзер умеет "ip flow-export version 9"?
у нас насколько помню с этим софтом пользовали 5-ю версию
>>>[оверквотинг удален]
> а ваш аналайзер умеет "ip flow-export version 9"?
> у нас насколько помню с этим софтом пользовали 5-ю версиюна официальной странице программы пишут что поддержи v5, v7, v9
>>>>[оверквотинг удален]
>> а ваш аналайзер умеет "ip flow-export version 9"?
>> у нас насколько помню с этим софтом пользовали 5-ю версию
> на официальной странице программы пишут что поддержи v5, v7, v9м.б. в 9 версии нужны дополнительные настройки, не подскажу
>>>>>[оверквотинг удален]
>>> а ваш аналайзер умеет "ip flow-export version 9"?
>>> у нас насколько помню с этим софтом пользовали 5-ю версию
>> на официальной странице программы пишут что поддержи v5, v7, v9
> м.б. в 9 версии нужны дополнительные настройки, не подскажупоменял на пятую версию. чтото отвалилос устройство пока из анализатора.
>>>>>>[оверквотинг удален]
>>>> а ваш аналайзер умеет "ip flow-export version 9"?
>>>> у нас насколько помню с этим софтом пользовали 5-ю версию
>>> на официальной странице программы пишут что поддержи v5, v7, v9
>> м.б. в 9 версии нужны дополнительные настройки, не подскажу
> поменял на пятую версию. чтото отвалилос устройство пока из анализатора.вообщем все получилось. Теперь имя интерфейсов отображается. Т.е. получается если по VLAN1 у меня IN 280кб, то одновременно то же самое значения только OUT на FastEthernet4 (внешний интерфейс). Т.е. если мне нужен только входящий трафик, мне нужно учитывать только интерфейс VLAN1? Еще, а как он получает информацию от интерфейса FastEthernet4, если у меня только на VLAN1 прописан ip flow ingress, а на FastEthernet4 ни чего.