|
 Вариант для распечатки |
Пред. тема | След. тема | ||
Форумы
Маршрутизаторы CISCO и др. оборудование. (Public)
| |||
|---|---|---|---|
| Изначальное сообщение | [Проследить за развитием треда] | ||
| "Вопрос по netflow" | |
Сообщение от kran    (ok) on
02-Апр-05, 09:54 (MSK)
| |
Здравствуйте, коллеги. Исходные данные такие. С CISCO 2611 собирается трафик по netflow. Я собираю следующие поля: время начала сессии, время окончания сессии, адрес источника и назначения, порты и собственно размер пакетов. Время начала сессии собирается с точностью до десятитысячных долей секунды. Когда просматриваю результаты, встречаются записи с абсолютно одинаковым временем начала сессии и адресом источника. Вопрос: может ли такое быть в принципе, чтобы одна и та же машина инициировала две сессии в одно и тоже время, с точностью до десятитысячных долей секунды или это какой глюк? | |
| Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх | |
| Оглавление |
|
| Индекс форумов | Темы | Пред. тема | След. тема |
| Сообщения по теме |
| 1. "Вопрос по netflow" | |
|
Сообщение от sh_ (??) on
02-Апр-05, 13:14 (MSK)
| |
Чем собираешь? | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
 |
|
| 2. "Вопрос по netflow" | |
|
Сообщение от kran (??) on
02-Апр-05, 22:01 (MSK)
| |
>Чем собираешь? | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
|
|
| 3. "Вопрос по netflow" | |
|
Сообщение от sh_ (??) on
02-Апр-05, 23:09 (MSK)
| |
Ну по идее это один и тот же флов. Как только зафиксировался первый пакет, появилась запись со starttime, endtime и т.д. А дальше пакеты этого же типа будут учитываться там же и будут меняться только дата окончания (прохождения последнего пакета), и каунтеры... | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
|
|
| 4. "Вопрос по netflow" | |
|
Сообщение от kran (??) on
02-Апр-05, 23:24 (MSK)
| |
>Ну по идее это один и тот же флов. Как только зафиксировался | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
|
|
| 5. "Вопрос по netflow" | |
|
Сообщение от sh_ (??) on
03-Апр-05, 15:47 (MSK)
| |
Одного типа - это с одинаковыми адресами SRC, DST, одинаковыми портами, одинаковым протоколом (и по-моему next-hop'ом). Посмотри, у этих записей flowindex должен совпадать. | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
| 6. "Вопрос по netflow" | |
|
Сообщение от Samp (ok) on
05-Апр-05, 07:32 (MSK)
| |
Может. Дело не в глюке. С коллектора ты снимаешь данные с периодичностью допустим 10 мин. Может открыться сессия начавшаяся в первом съеме и закончившаяся во втором. Ты получишь два флова с одинаковыми flowindex и starttime, и разными endtime и размером (который нарастающий). Т.е. тебе нужно оставить флов с последним endtime, иначе клиенты не расчитаются за трафик:) | |
| Удалить | Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх |
|
Архив | Удалить |
Индекс форумов | Темы | Пред. тема | След. тема |
