- можно ли смотреть статистику на интерфейсе, citrin, 21:21 , 14-Авг-06 (1)
>Всем привет! >Мне очень надо научится (если киска это конечно умеет) смотреть на интерфейсе >маршрутизатора >он-лайн, кто качает. Ну типа, как есть trafshow во фришке. >Возможно ли такое на кошке. Как ни странно тоже trafshow 5-я версия умеет слушать поток netflow с циски.
- можно ли смотреть статистику на интерфейсе, sergioborcov, 21:28 , 14-Авг-06 (2)
>>Всем привет! >>Мне очень надо научится (если киска это конечно умеет) смотреть на интерфейсе >>маршрутизатора >>он-лайн, кто качает. Ну типа, как есть trafshow во фришке. >>Возможно ли такое на кошке. > >Как ни странно тоже trafshow >5-я версия умеет слушать поток netflow с циски. Ага, спасибо. А на самой кошке нельзя такое смотреть...
- можно ли смотреть статистику на интерфейсе, citrin, 21:33 , 14-Авг-06 (3)
>>>он-лайн, кто качает. Ну типа, как есть trafshow во фришке. >>>Возможно ли такое на кошке. >> >>Как ни странно тоже trafshow >>5-я версия умеет слушать поток netflow с циски. > >Ага, спасибо. >А на самой кошке нельзя такое смотреть... sh ip cache flow но это гораздо мение наглядно, чем trafshow
- можно ли смотреть статистику на интерфейсе, sergioborcov, 21:44 , 14-Авг-06 (4)
>>>>он-лайн, кто качает. Ну типа, как есть trafshow во фришке. >>>>Возможно ли такое на кошке. >>> >>>Как ни странно тоже trafshow >>>5-я версия умеет слушать поток netflow с циски. >> >>Ага, спасибо. >>А на самой кошке нельзя такое смотреть... > >sh ip cache flow >но это гораздо мение наглядно, чем trafshow Просто у меня уже с циски льется на сервак поток. И когда я говорю trafshow -u port, то оно соответственно ничего не показывает, так как флоу поток уже слушается на этом порту... Может я чеого не так делаю.
- можно ли смотреть статистику на интерфейсе, citrin, 21:52 , 14-Авг-06 (5)
>Просто у меня уже с циски льется на сервак поток. И когда >я говорю trafshow -u port, то оно соответственно ничего не показывает, >так как флоу поток уже слушается на этом порту... >Может я чеого не так делаю. Поток тогда нужно раздваивать - онду часть на старый коллектор, вторую на flow-tools. Могу написать как это делается через flow-tools
- можно ли смотреть статистику на интерфейсе, sergioborcov, 21:54 , 14-Авг-06 (6)
>>Просто у меня уже с циски льется на сервак поток. И когда >>я говорю trafshow -u port, то оно соответственно ничего не показывает, >>так как флоу поток уже слушается на этом порту... >>Может я чеого не так делаю. > >Поток тогда нужно раздваивать - онду часть на старый коллектор, вторую на >flow-tools. Могу написать как это делается через flow-tools Буду благодарен..
- можно ли смотреть статистику на интерфейсе, citrin, 22:03 , 14-Авг-06 (7)
>>>Просто у меня уже с циски льется на сервак поток. И когда >>>я говорю trafshow -u port, то оно соответственно ничего не показывает, >>>так как флоу поток уже слушается на этом порту... >>>Может я чеого не так делаю. >> >>Поток тогда нужно раздваивать - онду часть на старый коллектор, вторую на >>flow-tools. Могу написать как это делается через flow-tools > >Буду благодарен.. 1. На циске настройки вида: interface Loopback0 description -- management interface ip address 192.168.46.1 255.255.255.255 no ip redirects no ip proxy-arp ! ip flow-export source Loopback0 ip flow-export version 5 origin-as ip flow-export destination 192.168.44.67 9996 2. Запускаем flow-fanout для раздвоения потока /usr/bin/su -m netmgr -c '/usr/local/bin/flow-fanout -V5 -p /tmp/flow-fanout.pid 192.168.44.67/192.168.46.1/9996 127.0.0.1/127.0.0.1/9995 127.0.0.1/127.0.0.1/9998' Старый коллектор слушает на порту 9998 Еще придется поменять в настройках старого коллетора, что поток идет не с ip циски, а с 127.0.0.1 Например если коллектор flow-capture то его нужо запускать так: /usr/bin/su -m netmgr -c '/usr/local/bin/flow-capture -z0 -E1G -n95 -N -3 -V5 -w /mnt/netflow -R /home/netmgr/netflow/flow2db.pl -p /tmp/flow-capture-br1.pid 127.0.0.1/127.0.0.1/9998' А на порту 9995 можно запускать trafshow Т. к. поток льюется на порт 9995 даже когда trafshow не запущен, то рекомендуется отключить отправку icmp-ureach в ответ на udp пакаеты, идущие на порт, который не слушают. Во фре это делается так: sysctl net.inet.udp.blackhole=1
|