Здрасте Вам.
моя сетка 62.33.16.0/24
Считаю трафик у себя на cisco 1760
show ip accounting
каждый час.
потом скриптиком забираю его на Linux.
#!/bin/bashtimestamp=`date +"%y%m%d%H"`;
( sleep 2;
echo "login";
sleep 2;
echo "passwd";
sleep 2
echo "enable"
sleep 1;
echo "passwd";
echo "term len 0";
sleep 1
echo "clear ip accounting" ;
sleep 1 ;
echo "show ip accounting checkpoint" ;
sleep 3 ;
echo quit;
) | telnet 62.33.16.1 >>~mike/dedicate/stat.$timestamp;Все файлы накопленные за месяц обрабатываются следушим образом
#!/bin/bash
#cd /home/mike/dedicate/
cd /home/perec/trafic/logs
for i in stat.*;
do cat $i | grep 62.33.16 >> /home/perec/trafic/inn/1
doneЗатем обшая сумма
#!/bin/bash
i=1
while [ "$i" -le 255 ]
do
egrep -w 62.33.16.$i "/home/perec/trafic/inn/1" | awk '{s += $4} END {print $2 " " s}' >> /home/perec/1/ready.xls
i=`expr $i + 1`
done
echo "--------------- " >> /home/perec/1/ready.xls
Как итог С моим провайдером, трафик расходится на примерно на 20 процентов причем не постоянно..... когда менше когда больше.....отправил ТТК по запросу на решение нестыковки свой вывод
show tech-supportИ как итог после разбирательства получил ответ что расхождение трафика обусловленно тем что:
> На основании предоставленных Вами данных причина расхождения в
> объемах посчитанного входящего трафика за сентябрь локализована
> специалистами ЗАО `Компания ТрансТелеКом` в Вашей зоне
> ответственности.
> Несчитанный Вами трафик обусловлен настройками Ваших access-lists, а именно:> В access-list закрыта сеть:
> Extended IP access list 101
> 60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)> Кроме того, билинг у Вас собирается не с СЕ.
ВОТ ЧАСТЬ КОНФИГА ОТКУДА ОНИ ЭТО ВЗЯЛИ:
interface Serial0/0:0
ip address 217.150.39.165 255.255.255.252
ip access-group 101 in
ip access-group 102 out
!
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 62.33.16.0 0.0.0.255 any
access-list 101 deny udp any eq 4000 any log
access-list 101 deny udp any any range netbios-ns netbios-ss log
access-list 101 deny tcp any any range 137 139 log
access-list 101 deny udp any any eq 31337 log
access-list 101 deny tcp any any eq telnet log
access-list 101 deny tcp any any range exec lpd log
access-list 101 deny udp any any eq sunrpc log
access-list 101 deny tcp any any eq sunrpc log
access-list 101 deny udp any any eq xdmcp log
access-list 101 deny tcp any any eq 177 log
access-list 101 deny tcp any any range 6000 6063 log
access-list 101 deny udp any any range 6000 6063 log
access-list 101 deny udp any any range biff syslog log
access-list 101 deny tcp any any eq 11 log
access-list 101 deny udp any any eq tftp log
access-list 101 permit ip any any
access-list 102 deny udp any eq 4000 any log
access-list 102 permit ip 62.33.16.0 0.0.0.255 any
access-list 102 permit ip host 217.150.39.165 anyДалее на мой ответ:
> В access-list закрыта сеть:
> Extended IP access list 101
> 60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)> Основная идея, лежащая в основе данного механизма защиты состоит в том никто из внешней сети
> не может слать пакеты, имеющие в поле адреса источника какой-либо
> адрес из подсети 62.33.16.0
> Мы можем использовать списки доступа, чтобы фильтровать такие
> пакеты и соответственно фиксировать в логах такие события:
> Я считаю что запись
> в access-lists, а именно:> Extended IP access list 101
> 60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)> Не Должна служить причиной неучтенного трафика.
> И насколько я понимаю. ТТК не должен пропускать мне входяший трафик с
> адресами моей же сети 62.33.16.0/24.
ПОЛУЧАЮ СЛЕДУШЕЕ> Нашими техническими специалистами проведен анализ Ваших расуждений.
> Смысл ваших ACL понятен.
> Но есть ряд существенных замечаний основываясь на которых мы не можем с вами согласится:
> 1) Вы считаете трафик не с СЕ интерфейса. В принципе одного
> этого уже хватает для несогласия с счетами.
> 2) Ваш ACL стоит ДО того как вы считаете билинг.
> 3) КТТК не фильтрует клиентский трафик.
> Для решения пролемы вам необходимо считать трафик с СЕ интерфейса и убрать ACL.
> Проблему считаем решеной.Должен ли я согласится с ними?
и действительно ли может на мои адреса набежать 13BG в месяцу меня получилось 60 у них 73, за предыдуший месяц 76 против 92
ТТК считает скорее всего по netflow, а ты нет.
Данные никогда не совпадут!
Плюс ты действительно считаешь только для LAN'а, но есть еще и p-t-p!Также смущяет последовательность действий:
echo "clear ip accounting" ;
echo "show ip accounting checkpoint" ;
>ТТК считает скорее всего по netflow, а ты нет.
>Данные никогда не совпадут!
>Плюс ты действительно считаешь только для LAN'а, но есть еще и p-t-p!
>
>
>Также смущяет последовательность действий:
>echo "clear ip accounting" ;
>echo "show ip accounting checkpoint" ;
Последовательность правильная.clear ip accounting сбрасывает статистику в checkpoint, потом только ее от туда забирают.
ВОПРОС В ДРУГОМ.
Действительно ли изза правила в аксес листе набегает 13 гигов, у меня 60 у них 73.> Несчитанный Вами трафик обусловлен настройками Ваших access-lists, а именно:
> В access-list закрыта сеть:
> Extended IP access list 101
> 60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)> Кроме того, билинг у Вас собирается не с СЕ.
>Последовательность правильная.
>clear ip accounting сбрасывает статистику в checkpoint, потом только ее от туда
>забирают.
Да ты прав.>ВОПРОС В ДРУГОМ.
>Действительно ли изза правила в аксес листе набегает 13 гигов, у
>меня 60 у них 73.
Тебе уже отвечали, что ТТК собирает по netflow а ты accounting'ом. Это как зеленое и сладкое. Разница может быть практически любая!Также у тебя интервал - один час, а это достаточно большой интервал - сделай минут 15.
И самое главное с какой cisco ты считаешь свой accounting? с ближайшей к ТТК? (CE)?
>Считаю трафик у себя на cisco 1760
>show ip accounting
>каждый час.1.А не слишком редко? Может таблица переполняется и ты теряешь данные о трафике?
2.А может они считают трафик по счетчикам на интерфейсе (snmp), что (разница 20%) очень похоже. Тогда к каждому пакету IP, сосчитанному тобой, прибавляется заголовок и служебный обмен канального уровня, как я понял, HDLC.
3. Все ли адреса у тебя распределены? Т.е. весь ли трафик уходит с твоей сиськи через интерфейсы, на которых стоит ip acco out.
4. Может у них действительно глючит аккаунтинг.