Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий чарез циску?

• Просмотр проходящего трафика,citrin, 12:06 , 09-Дек-05
  • Просмотр проходящего трафика,Begemot, 12:14 , 09-Дек-05
    • Просмотр проходящего трафика,citrin, 14:12 , 09-Дек-05
      • Просмотр проходящего трафика,Сайко, 16:23 , 09-Дек-05
• Просмотр проходящего трафика,Сайко, 12:08 , 09-Дек-05
• Просмотр проходящего трафика,Nailer, 13:12 , 09-Дек-05

>Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий
>чарез циску?

netflow+trafshow5

Если интересно могу более подробно описать настройки. У меня коллектор работает под FreeBSD.

>>Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий
>>чарез циску?
>
>netflow+trafshow5
>
>Если интересно могу более подробно описать настройки. У меня коллектор работает под
>FreeBSD.

Рассказывай!
А еще лучше мини статейку, мы потом попросим, чтобы выложили её.

>>>Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий
>>>чарез циску?
>>
>>netflow+trafshow5
>>
>>Если интересно могу более подробно описать настройки. У меня коллектор работает под
>>FreeBSD.
>
>Рассказывай!
>А еще лучше мини статейку, мы потом попросим, чтобы выложили её.

Статейку пока некогда, крато расскажу здесь.

Настройки на циске:

ip flow-export source Loopback0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.44.67 9996

и на каждом интерфейсе прописываем
ip route-cache flow

Далее на сервере у меня используюется утилиты из набора flow-tools
(ставил из портов: /usr/ports/net-mgmt/flow-tools)

1. Запущен flow-fanout для раздвоения потока на две части.
/usr/bin/su -m netmgr -c '/usr/local/bin/flow-fanout -V5 -p /tmp/flow-fanout.pid 192.168.44.67/192.168.46.1/9996 127.0.0.1/127.0.0.1/9995 127.0.0.1/127.0.0.1/9998'

2. Одну часть потока flow-capture пишет на диск:
/usr/bin/su -m netmgr -c '/usr/local/bin/flow-capture -z0 -E10G -n95 -N -3 -V5 -w /var/netflow -R /home/netmgr/netflow/flow2db.pl -p /tmp/flow-capture-br1.pid 127.0.0.1/127.0.0.1/9998'

Вторую часть потока с помощью trafshow5 (ставиться из порта /usr/ports/net/trafshow) можно просматривать в реальном времени.

Выглядит примерно так:

Source/32                               Destination/32                          Protocol        Size            CPS
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

demos.hoster.ru,http                    myhost1                                 tcp             994K            19K
81.176.76.100,http                      myhost2                                 tcp             456K            12K
www.aton-line.ru,http                   myhost3                                 tcp             330K            492
66.55.138.178.choopa.net,http           myhost3                                 tcp             267K            4779

и так далее...
Работает в режиме top, т. е. данные динамически обновляются.
Можно настраивать, чтоб разные протоколы показывались разными цветами.
Очень удобно для оперативного мониторинга.
Недостатка два у trafshow: почему то не всегда показываются номера портов.
нелья посмотреть интерфейсы, через которые проходит трафик.

>и так далее...
Афтар!!!
Пеши исчо!

>Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий
>чарез циску?

Чарез чиго?
sh int XXX | i rate

>Периодически через маршрутизатор возникает непонятный трафик. Как можно просмотреть текущий трафик, проходящий
>чарез циску?

conf t
int fa0/0
ip route-cache flow
exit
int fa0/1
ip route-cache flow
exit
...

show ip cache flow