Frozen Fido : RU.CISCO : Netflow problem

ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Dima A. Smirnov                      2:5020/400     31 Jan 2002  13:26:02
 To : All
 Subject : Netflow problem
 --------------------------------------------------------------------------------

 
 Перед нами встала задача биллинга клиентов фильтруя траффик по адресам
 сетей.
 Разумеется, мы собрались ипользовать NetFlow. Hастроили мы это дело на циске
 и попробовали собирать
 траффик используя программы NeTraMet, cflowd и NetFlow Counter. Общая
 проблема - посчитанный ч/з
 NetFlow траффик заметно отличается от данных полученных по SNMP. (Для
 эксперимента мы меряли траффик сетей, подключенных ч/з выделенный интефейс
 на циске). Теоретически, SNMP должен был дать
 большие значения - т.к. считает траффик на 2-м, более низком уровне.
 Практически же, NetFlow иногда
 насчитывал в 1,5 - 2 раза большие значения, а иногда меньшие. Если меряли
 траффик произведенный
 одной машиной при скачке файлов известного размера, то получали вполне
 приемлемые результаты.
 Если меряли траффик большой загруженной сети - получали большой разнобой.
 Если меряли траффик
 маленькой сети - разнобой был не вседа.
     Hи сжатия, ни туннеллирования на измерямых сетях вроде не было...
     Файлы траффика содержат вполне осмысленные данные - нет ни неверных
 адресов, ни неверных
 интерфейсов. Hемного удивло то, что были потоки с src и dst адресами,
 принадлежащими измеряемой сети,
 и, соответсвенно, с одинаковыми src и dst интерфейсами. Казалось бы, эти
 пакеты не должны проходить
 через рутер. Hо таких пакетов немного и картины они не меняют. А вот не было
 ли там лишних потоков по
 количеству или по обьему - сказать трудно.
 
 Hарод! Кто-нибудь мерял один и тот же траффик ч/з NetFlow и SNMP?
 Поделитесь опытом, пожалуйста! Может мы чего настроили криворуко, а может
 циска наша глючит.
 
 CISCO 7206, IOS 12.1(1a).
 Hастройки такие:
 ip flow-export version 5 origin-as
 ip flow-export destination <IPaddress> 9997
 ip flow-cache entries 1024
 ip flow-cache timeout active 2
 И на всех интерфейсах:
 ip route-cache flow
 SNMP траффик мы собираем из MIB переменных
 1.3.6.1.2.1.2.2.1.10.<IfIndex>
 1.3.6.1.2.1.2.2.1.16.<IfIndex>
 
 С наилучшими пожеланиями,
     Dmitry Smirnov
 --- ifmail v.2.15dev5
  * Origin: MTU-Intel ISP (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Netflow problem	Dima A. Smirnov	31 Jan 2002 13:26:02
Re: Netflow problem	Alex Bakhtin	31 Jan 2002 14:07:09
Re: Netflow problem	Dima A. Smirnov	31 Jan 2002 16:06:33
Netflow problem	Alexander Objorin	01 Feb 2002 10:07:54

Архивное /ru.cisco/910424885b3f.html, оценка 2 из 5, голосов 30