URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9711
[ Назад ]

Исходное сообщение
"'mpls netflow egress' vs 'ip flow egress'"
Отправлено RinatKaa , 31-Янв-06 08:51

Может сталкивался кто с проблемой двойного учета трафика?
Есть PE рутер 7300, проблему заметил только с Ethernet портами.
Допустим,
interface Fa0/1.100
  encapsulation dot1q 100
  ip vrf forwarding Test-vrf
  ip address 1.2.3.5 255.255.255.252
  mpls netflow egress
  ip flow egress
..
ip route static vrf Test-vrf 2.3.4.0 255.255.255.0 1.2.3.6
В этом случае трафик считается два раза.
В случае, если оставить только "mpls netflow egress"(как Cisco рекомендует), то не считается трафик на сети, которые находятся за 1.2.3.6
Правильно ли в этом случае оставить команду "ip flow egress" ?
ios: 123-11.T6.bin

Содержание

'mpls netflow egress' vs 'ip flow egress',Сайко, 09:01 , 31-Янв-06
- 'mpls netflow egress' vs 'ip flow egress',RinatKaa, 09:13 , 31-Янв-06
  - 'mpls netflow egress' vs 'ip flow egress',Сайко, 11:18 , 31-Янв-06
    - 'mpls netflow egress' vs 'ip flow egress',RinatKaa, 12:05 , 31-Янв-06
      - 'mpls netflow egress' vs 'ip flow egress',RinatKaa, 14:01 , 02-Фев-06
        
        'mpls netflow egress' vs 'ip flow egress',Edge, 20:52 , 05-Фев-06

Сообщения в этом обсуждении

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено Сайко , 31-Янв-06 09:01

У меня конечно не 7300 и не T релизы на них стоят, но все считается нормально. А на основном интерфейсе(FE0/1) я надеюсь "ip route-cache flow" прописан?

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено RinatKaa , 31-Янв-06 09:13

>У меня конечно не 7300 и не T релизы на них стоят,
>но все считается нормально. А на основном интерфейсе(FE0/1) я надеюсь "ip
>route-cache flow" прописан?
хм.. а зачем ?
Сейчас мне нужно считать только исходящий трафик с интерфейса.

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено Сайко , 31-Янв-06 11:18

>хм.. а зачем ?
Ну так рекомендовано... Мне лично пох зачем, не хошь не надо.
>Сейчас мне нужно считать только исходящий трафик с интерфейса.
Нетфлов вообщето считает входящий, а значит, если где то вошло, то скорее всего где то выйдет, если конечно маршрут есть и не для самого маршрутизатора.
У меня на основных интерфейсах "ip route-cache flow", а на VRF'ных интерфейсах(ip vrf forwarding), будь они основные или саб'интерфейсы, прописано "mpls netflow egress". И почему то все считается. А просто так посчитать "исходящий трафик", понятно что у тебя 2 интерфейса входящий и исходящий.

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено RinatKaa , 31-Янв-06 12:05

>>хм.. а зачем ?
>Ну так рекомендовано... Мне лично пох зачем, не хошь не надо.
:)
Буду благодарен, если ткнешь носом на эту рекомендацию.

>>Сейчас мне нужно считать только исходящий трафик с интерфейса.
>Нетфлов вообщето считает входящий, а значит, если где то вошло, то скорее
>всего где то выйдет, если конечно маршрут есть и не для
>самого маршрутизатора.
>
>У меня на основных интерфейсах "ip route-cache flow", а на VRF'ных интерфейсах(ip
>vrf forwarding), будь они основные или саб'интерфейсы, прописано "mpls netflow egress".
>И почему то все считается. А просто так посчитать "исходящий трафик",
>понятно что у тебя 2 интерфейса входящий и исходящий.
Да не, вобщем-то понятно - имея статистику по входящему трафику(на интерфейс прилетает native IP) можно корректно посчитать трафик исходящий с порта.
Не могу сейчас считать весь входящий трафик(ресурсов нет), хотя это было бы правильно, поэтому и вынужден сочетать две команды на исходящий трафик.
Ладно, спасибо за ответы!
Со своими глюками кажется разобрался - ios.. собака :)

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено RinatKaa , 02-Фев-06 14:01

Оказывается не разобрался.. :(
Проблема в следующем, на PE рутере в настройках BGP для конкретного VRF прописано агрегирование маршрутов.
Так вот, во всех случаях, команды 'mpls netflow egress' на интерфейсе в VRF 'X' достаточно для учета трафика на connected и маршрутизируемых сетях в этом VRF.
Но недостаточно, в случае, если BGP агрегирует кучу мелких подсетей.
В старых IOS (кажется 12.0) была такая проблема:
Агрегированный маршрут из BGP-таблицы попадал в таблицу CEF, попадал в таблицу маршрутов VRF, но не было его в MPLS Forwarding таблице - то есть метки для него не было, поэтому прописывание агрегированния сводило трафик на адреса из этой сети к нулю..
Вобщем, что-то мне подсказывает, что корни моей проблемы оттуда и растут..
Ну, а возвращаясь к своим баранам:
Прописывание агрегирования в BGP приводит к тому, что команда mpls netflow egress перестает учитывать трафик на адреса из этой агрегированной сети.
Прописывая дополнительно 'ip flow egress' - трафик на эти адреса считается нормально, трафик на линковую сеть считается дважды(поскольу обсчитывается и mpls netflow egress и ip flow egress), трафик на статические маршруты считается нормально(mpls netflow egress).
Есть у кого идеи ?

"'mpls netflow egress' vs 'ip flow egress'"
Отправлено Edge , 05-Фев-06 20:52

Трафик считаeться, если стоит no auto-summary в bgp.
Плюс от mpls netflow egress надо уходить, поскольку вот недавно столкнулись со следующей ситуацией:
На сабинтерфейсе шейп стоял и mpls netflow egress. На клиента организовали атаку из инета и в результате во флоу попал весь трафик, вне зависимости от шейпа на интерфейсе, так как шейп отрабатывает на сабинтерфейсе, а подсчет трафика ведется выше - в точке выхода из mpls.
Результат - клиент написал жалобу, так как такой трафик, который был ему посчитан в биллинге, физически не мог пройти через интерфейс..