Есть CISCO 2610XM на которой Serial0/0 смотрит в "мир", а FastEthernet0/0 порезан на сабинтерфейсы, на которых подняты VLAN.
Конфигурация следующая:
======================================================
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
!
ip subnet-zero
!
no ip rcmd domain-lookup
!
ip flow-cache entries 10000
ip flow-cache feature-accelerate
ip cef
!
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address A.B.C.D 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address A.B.C.E 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address A.B.C.F 255.255.255.0
!
interface Serial0/0
ip address I.J.K.L 255.255.255.252
ip route-cache flow
no ip mroute-cache
no fair-queue
!
ip flow-export source FastEthernet0/0.1
ip flow-export version 5
ip flow-export destination A.B.C.4 9996
ip classless
ip route 0.0.0.0 0.0.0.0 I.J.K.M
no ip http server
!
!
!
snmp-server community public RO
no snmp-server enable traps tty
call rsvp-sync
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/1/0
!
voice-port 1/1/1
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
ntp clock-period 17208525
ntp server 194.149.67.130 version 2
ntp server 213.157.160.109 version 2
ntp server 216.27.190.202 version 2
!
end
=============================================================
На хосте A.B.C.4 запущен
NetFlowMet -w community -f 100000 -b 20000 -t 40000 -v 3000 -e 600 -D
Для снятия статистики запущен
NeMaC -k 120 -F /var/log/netramet/today.flw -h 60 -g 600 -L /var/log/netramet/today.log -b /etc/netramet/mib/mib.txt -r /etc/netramet/my_rul.rules -c 600 127.0.0.1 community -D
Правила my_rul.rules скомпилированы из следующего файла:
=============================================================
DEFINE mynets = (A.B.C.0/24,....) #перечислены мои подсети
IF SourcePeerType == IP SAVE;
ELSE IGNORE;
STORE SourceClass := 0;
STORE DestClass := 0;
IF SourcePeerAddress == mynets {
STORE SourceClass := 1;
}
IF DestPeerAddress == mynets {
STORE DestClass := 1;
}
IF SourceClass == 0 || DestClass == 0 {
SAVE SourcePeerAddress/32;
SAVE SourceTransAddress;
SAVE DestPeerAddress/32;
SAVE DestTransAddress;
SAVE SourceTransType;
SAVE SourceInterface;
SAVE DestInterface;
} ELSE IGNORE;
COUNT;
FORMAT FlowRuleSet FlowIndex FirstTime
SourceTransType SourceInterface SourcePeerAddress SourceTransAddress
DestInterface DestPeerAddress DestTransAddress ToOctets FromOctets;
STATISTICS;
SET 5;
==============================================================
Далее полученные данные обрабатываются программой
fd_filter и форматом
==============================================================
FORMAT:
SourcePeerAddress DestPeerAddress d_ToOctets d_FromOctets;
==============================================================
И передаются скрипту для обсчёта и визуализации.
Так вот, суточный трафик подсчитанный с помощью этой связки превышает суточный в 1,5 раза, по сравнению с данными одного из клиентов, подключенного к CISCO.
Скрипт обсчёта и визуализации вылизан.
В чём может быть проблема и как от неё избавиться?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on
17-Янв-05, 12:41 (MSK)
