The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Трафик сосчитанный Cisco 1760 не сходится с ТрансТелекомом р..., !*! Perec, 07-Ноя-05, 11:42  [смотреть все]
Здрасте Вам.
моя сетка 62.33.16.0/24
Считаю трафик у себя на cisco 1760
show ip accounting
каждый час.
потом скриптиком забираю его на Linux.
#!/bin/bash

timestamp=`date +"%y%m%d%H"`;

( sleep 2;
echo "login";
sleep 2;
echo "passwd";
sleep 2
echo "enable"
sleep 1;
echo "passwd";
echo "term len 0";
sleep 1
echo "clear ip accounting" ;
sleep 1 ;
echo "show ip accounting checkpoint" ;
sleep 3 ;
echo quit;
) | telnet 62.33.16.1 >>~mike/dedicate/stat.$timestamp;

Все файлы накопленные за месяц обрабатываются следушим образом
#!/bin/bash
#cd /home/mike/dedicate/
cd /home/perec/trafic/logs
for i in stat.*;
do cat $i | grep  62.33.16 >> /home/perec/trafic/inn/1
done

Затем обшая сумма

#!/bin/bash
i=1
     while [ "$i" -le 255 ]
        do
            egrep -w 62.33.16.$i "/home/perec/trafic/inn/1" | awk '{s += $4} END {print $2 " "  s}' >> /home/perec/1/ready.xls
             i=`expr $i + 1`
              done
echo "--------------- " >> /home/perec/1/ready.xls


Как итог С моим провайдером, трафик расходится на примерно на 20 процентов причем не постоянно.....  когда менше когда больше.....

отправил ТТК по запросу на решение нестыковки свой вывод
show tech-support

И как итог после разбирательства получил ответ что расхождение трафика обусловленно тем что:

>  На основании предоставленных Вами данных причина расхождения в
>  объемах посчитанного входящего трафика за сентябрь локализована
>  специалистами ЗАО `Компания ТрансТелеКом` в Вашей зоне
>  ответственности.
>  Несчитанный Вами трафик обусловлен настройками Ваших access-lists, а именно:

>  В access-list закрыта сеть:
>  Extended IP access list 101
>  60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)

>  Кроме того, билинг у Вас собирается не с СЕ.


ВОТ ЧАСТЬ КОНФИГА ОТКУДА ОНИ ЭТО ВЗЯЛИ:
interface Serial0/0:0
ip address 217.150.39.165 255.255.255.252
ip access-group 101 in
ip access-group 102 out
!
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 62.33.16.0 0.0.0.255 any
access-list 101 deny   udp any eq 4000 any log
access-list 101 deny   udp any any range netbios-ns netbios-ss log
access-list 101 deny   tcp any any range 137 139 log
access-list 101 deny   udp any any eq 31337 log
access-list 101 deny   tcp any any eq telnet log
access-list 101 deny   tcp any any range exec lpd log
access-list 101 deny   udp any any eq sunrpc log
access-list 101 deny   tcp any any eq sunrpc log
access-list 101 deny   udp any any eq xdmcp log
access-list 101 deny   tcp any any eq 177 log
access-list 101 deny   tcp any any range 6000 6063 log
access-list 101 deny   udp any any range 6000 6063 log
access-list 101 deny   udp any any range biff syslog log
access-list 101 deny   tcp any any eq 11 log
access-list 101 deny   udp any any eq tftp log
access-list 101 permit ip any any
access-list 102 deny   udp any eq 4000 any log
access-list 102 permit ip 62.33.16.0 0.0.0.255 any
access-list 102 permit ip host 217.150.39.165 any

Далее на мой ответ:
>  В access-list закрыта сеть:
>  Extended IP access list 101
>  60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)

>  Основная идея, лежащая в основе данного механизма защиты состоит в том никто из внешней сети
>  не может слать пакеты, имеющие в поле адреса источника какой-либо
>  адрес из подсети 62.33.16.0
>  Мы можем использовать списки доступа, чтобы фильтровать такие
> пакеты и соответственно фиксировать в логах такие события:
>  Я считаю что запись
>  в access-lists, а именно:

>  Extended IP access list 101
>  60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)

>  Не Должна служить причиной неучтенного трафика.
>  И насколько я понимаю. ТТК не должен пропускать мне входяший трафик с
>  адресами моей же сети 62.33.16.0/24.


ПОЛУЧАЮ СЛЕДУШЕЕ

> Нашими техническими специалистами проведен анализ Ваших расуждений.
>  Смысл ваших ACL понятен.
>  Но есть ряд существенных замечаний основываясь на которых мы не можем с вами согласится:
>  1) Вы считаете трафик не с СЕ интерфейса. В принципе одного
> этого уже хватает для несогласия с счетами.
>  2) Ваш ACL стоит ДО того как вы считаете билинг.
>  3) КТТК не фильтрует клиентский трафик.
>  Для решения пролемы вам необходимо считать трафик с СЕ интерфейса и убрать ACL.
>  Проблему считаем решеной.

Должен ли я согласится с ними?
и действительно ли может на мои адреса набежать 13BG в месяц

у меня получилось 60 у них 73,  за предыдуший месяц 76 против 92

Ответить | Сообщить модератору
  • Трафик сосчитанный Cisco 1760 не сходится с ТрансТелекомом р..., !*! Сайко, 12:00 , 07-Ноя-05 (1)
    ТТК считает скорее всего по netflow, а ты нет.
    Данные никогда не совпадут!
    Плюс ты действительно считаешь только для LAN'а, но есть еще и p-t-p!

    Также смущяет последовательность действий:
    echo "clear ip accounting" ;
    echo "show ip accounting checkpoint" ;

    Ответить | Сообщить модератору
    • Трафик сосчитанный Cisco 1760 не сходится с ТрансТелекомом р..., !*! Perec, 18:02 , 17-Ноя-05 (3)
      >ТТК считает скорее всего по netflow, а ты нет.
      >Данные никогда не совпадут!
      >Плюс ты действительно считаешь только для LAN'а, но есть еще и p-t-p!
      >
      >
      >Также смущяет последовательность действий:
      >echo "clear ip accounting" ;
      >echo "show ip accounting checkpoint" ;


      Последовательность правильная.

      clear ip accounting сбрасывает статистику в checkpoint, потом только ее от туда забирают.


      ВОПРОС В ДРУГОМ.
      Действительно ли  изза правила в аксес листе набегает 13 гигов, у меня 60 у них 73.

      >  Несчитанный Вами трафик обусловлен настройками Ваших access-lists, а именно:

      >  В access-list закрыта сеть:
      >  Extended IP access list 101
      >  60 deny ip 62.33.16.0 0.0.0.255 any (3327 matches)

      >  Кроме того, билинг у Вас собирается не с СЕ.


      Ответить | Сообщить модератору
      • Трафик сосчитанный Cisco 1760 не сходится с ТрансТелекомом р..., !*! Сайко, 11:22 , 18-Ноя-05 (4)
        >Последовательность правильная.
        >clear ip accounting сбрасывает статистику в checkpoint, потом только ее от туда
        >забирают.
        Да ты прав.

        >ВОПРОС В ДРУГОМ.
        >Действительно ли  изза правила в аксес листе набегает 13 гигов, у
        >меня 60 у них 73.
        Тебе уже отвечали, что ТТК собирает по netflow а ты accounting'ом. Это как зеленое и сладкое. Разница может быть практически любая!

        Также у тебя интервал - один час, а это достаточно большой интервал - сделай минут 15.

        И самое главное с какой cisco ты считаешь свой accounting? с ближайшей к ТТК? (CE)?

        Ответить | Сообщить модератору
  • Трафик сосчитанный Cisco 1760 не сходится с ТрансТелекомом р..., !*! sn, 13:17 , 07-Ноя-05 (2)
    >Считаю трафик у себя на cisco 1760
    >show ip accounting
    >каждый час.

    1.А не слишком редко? Может таблица переполняется и ты теряешь данные о трафике?
    2.А может они считают трафик по счетчикам на интерфейсе (snmp), что (разница 20%) очень похоже. Тогда к каждому пакету IP, сосчитанному тобой, прибавляется заголовок и служебный обмен канального уровня, как я понял, HDLC.
    3. Все ли адреса у тебя распределены? Т.е. весь ли трафик уходит с твоей сиськи через интерфейсы, на которых стоит ip acco out.
    4. Может у них действительно глючит аккаунтинг.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру