The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
CISCO 2610XM, NetFlow и NetFlowMet, !*! harlan, 23-Авг-05, 08:20  [смотреть все]
Есть следующая связка. CISCO 2610 XM. Информация о трафике снимается через NetFlow и собирается на коллекторе на базе Linux + NetFlowMet (P-IV, 1Гб памяти. Средняя загрузка процессора ~9%).
Конфиг CISCO:
...
ip subnet-zero
no ip rcmd domain-lookup
ip flow-cache entries 10000
ip flow-cache feature-accelerate
ip cef
!
...
!
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
speed auto
full-duplex
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address A.B.C.1 255.255.255.248
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address D.E.F.233 255.255.255.248
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address D.E.F.242 255.255.255.240
!
interface Serial0/0
ip address X.Y.Z.1 255.255.255.252
ip route-cache flow
no ip mroute-cache
no fair-queue
!
ip flow-export source FastEthernet0/0.1
ip flow-export version 5
ip flow-export destination A.B.C.4 9996
ip classless
...
C интерфейса F0/0 выход поступает на CISCO CATALIST 2519, который разруливает VLAN.

При "большой" нагрузке (порядка 1 mbps) начинает "теряться" информация в NetFlowMet. Разница между статистикой провайдера и моей может разнится на порядок.
Отсюда два вопроса:
1. Как узнать, где теряются пакеты? CISCO не успевает их передавать, или NetFlowMet, не успевает их обрабатывать?
2. Как правильно настроить QoS, что бы пакеты NetFlow пролетали в первую очередь?

P.S. Огромная просьба: пожалуйста, не отвечайте "RTFM". Дайте подробный ответ.

Ответить | Сообщить модератору
  • CISCO 2610XM, NetFlow и NetFlowMe, !*! Сайко, 09:47 , 23-Авг-05 (1)
    А с чего ты взял что у тебя теряются пакеты?
    Действительно у каждого сгенеренного cisco'й flows'а есть порядковый номер - ты их проверял?

    Я думаю узкое место - catalyst-server! У тебя какой там duplex выставлен? жестко? а также speed!

    А также может и сам daemon не справляться. - Можно настроить на свитче SPAN(правда я не знаю поддерживает его 2519) и установить еще один коллектор - flow-tools например, а затем посмотреть есть ли там потери по flows.


    flows - это udp поток по тому порту, который ты указал в настройках. Из-за UDP все вытекающие. Соответсвенно настрой и QoS!

    Ответить | Сообщить модератору
    • CISCO 2610XM, NetFlow и NetFlowMe, !*! sh_, 09:54 , 23-Авг-05 (2)
      Я не думаю, что из-за потери нескольких пакетов из флова траффик может расходиться на порядок. Скорее всего собиралка офигевает от большого количества информации. Действительно, как сказал Сайко, попробуйте другой коллектор.
      Ответить | Сообщить модератору
      • CISCO 2610XM, NetFlow и NetFlowMe, !*! harlan, 10:16 , 23-Авг-05 (3)
        >Действительно, как сказал Сайко, попробуйте другой коллектор.

        На каталистовском порте выставлено 100mbps, full-duplex

        1. А не могли бы предложить что-нибудь (другую считалку)?
        2. К слову, а на cisce всё нормально включено (по приведённому куску конфига)?
        3. Приведу свои рулесы на NetFlowMet. Может там что не так накрутил?
        ========== flow.srl ============
        # Мои подсети
        DEFINE mynets = (D.E.F.232/29,D.E.F.240/28,A.B.C.0/24);
        # Порты моего сервера. Не используется, но не убрал. Может быть зря?
        DEFINE srv = (53,161,20,21,22,23,69,80,110,25,143,443,119,139);
        IF SourcePeerType == IP SAVE;
        ELSE IGNORE;
        STORE SourceClass := 0;
        STORE DestClass := 0;

        IF SourcePeerAddress == mynets {
            STORE SourceClass := 1;
        }

        IF DestPeerAddress == mynets {
            STORE DestClass := 1;
        }

        # Локальные пакеты отбрасываем. Логируем только те, которые пришли из- или ушли во-вне.
        IF SourceClass == 0 || DestClass == 0 {
            SAVE SourcePeerAddress/32;
            SAVE SourceTransAddress;
            SAVE DestPeerAddress/32;
            SAVE DestTransAddress;
            SAVE SourceTransType;
            SAVE SourceInterface;
            SAVE DestInterface;
        } ELSE IGNORE;

        COUNT;

        FORMAT FlowRuleSet FlowIndex FirstTime
        SourceTransType SourceInterface SourcePeerAddress SourceTransAddress
        DestInterface DestPeerAddress DestTransAddress ToOctets FromOctets;

        STATISTICS;

        SET 5;

        =============== End Flow.srl ==============

        Подскажите, как проверить номера пакетов?

        Ответить | Сообщить модератору
        • CISCO 2610XM, NetFlow и NetFlowMe, !*! Nailer, 10:33 , 23-Авг-05 (4)
          >>Действительно, как сказал Сайко, попробуйте другой коллектор.
          >
          >На каталистовском порте выставлено 100mbps, full-duplex
          >

          Ошибок на порте нету? Поток в 1 мегабит - слишком мало, чтобы что-то захлебывалось. Скорее где-то несогласование скорости/дуплекса. С другой стороны линка так же или авто?

          Ответить | Сообщить модератору
        • CISCO 2610XM, NetFlow и NetFlowMe, !*! sh_, 10:34 , 23-Авг-05 (5)
          >Подскажите, как проверить номера пакетов?

          Не номера пакетов, а номера flows. Их можно посмотреть в файле, в который весь обработанный флов сыпется. Поле flowindex.

          >1. А не могли бы предложить что-нибудь (другую считалку)?

          flow-tools, cflowd... первая проще в настройке и понятнее...

          NeTraMet достаточно замороченная штука. Чтобы заставить ее работать, как тебе хочется, можно на кучу граблей наступить... :)

          Ответить | Сообщить модератору
          • CISCO 2610XM, NetFlow и NetFlowMe, !*! Сайко, 10:52 , 23-Авг-05 (6)
            >flow-tools, cflowd... первая проще в настройке и понятнее...
            к слову...
            меня недавно один джуниперист(типа как цыскарь, но говорят люди просто ужас - в хорошем смысле слова, причем он реальный juniper инженер) уверял что flow-tools это типа продолжение caida'вского(http://www.caida.org/) cflowd. А сам проект от caida более не поддерживается. О как!
            Правда судя по тому, что и у flow-tools последняя версия 0.66 уже года так 3, то осмелюсь предположить что и это тоже не поддерживается...
            Ответить | Сообщить модератору
            • CISCO 2610XM, NetFlow и NetFlowMe, !*! citrin, 11:14 , 23-Авг-05 (7)
              >в хорошем смысле слова, причем он реальный juniper инженер) уверял что
              >flow-tools это типа продолжение caida'вского(http://www.caida.org/) cflowd. А сам проект от caida
              >более не поддерживается. О как!
              >Правда судя по тому, что и у flow-tools последняя версия 0.66 уже
              >года так 3, то осмелюсь предположить что и это тоже не
              >поддерживается...

              Насколько я знаю так оно и есть. А последняя версия flow-tools сейчас 0.68 и выпущена она 5-11-2005.

              Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру