>>>Просто у меня уже с циски льется на сервак поток. И когда
>>>я говорю trafshow -u port, то оно соответственно ничего не показывает,
>>>так как флоу поток уже слушается на этом порту...
>>>Может я чеого не так делаю.
>>
>>Поток тогда нужно раздваивать - онду часть на старый коллектор, вторую на
>>flow-tools. Могу написать как это делается через flow-tools
>
>Буду благодарен.. 1. На циске настройки вида:
interface Loopback0
description -- management interface
ip address 192.168.46.1 255.255.255.255
no ip redirects
no ip proxy-arp
!
ip flow-export source Loopback0
ip flow-export version 5 origin-as
ip flow-export destination 192.168.44.67 9996
2. Запускаем flow-fanout для раздвоения потока
/usr/bin/su -m netmgr -c '/usr/local/bin/flow-fanout -V5 -p /tmp/flow-fanout.pid 192.168.44.67/192.168.46.1/9996 127.0.0.1/127.0.0.1/9995 127.0.0.1/127.0.0.1/9998'
Старый коллектор слушает на порту 9998
Еще придется поменять в настройках старого коллетора, что поток идет не с ip циски, а с 127.0.0.1
Например если коллектор flow-capture то его нужо запускать так:
/usr/bin/su -m netmgr -c '/usr/local/bin/flow-capture -z0 -E1G -n95 -N -3 -V5 -w /mnt/netflow -R /home/netmgr/netflow/flow2db.pl -p /tmp/flow-capture-br1.pid 127.0.0.1/127.0.0.1/9998'
А на порту 9995 можно запускать trafshow
Т. к. поток льюется на порт 9995 даже когда trafshow не запущен, то рекомендуется отключить отправку icmp-ureach в ответ на udp пакаеты, идущие на порт, который не слушают. Во фре это делается так:
sysctl net.inet.udp.blackhole=1