Сбор статистики трафика через Netflow

← →
__Алексей__ (2009-11-01 13:26) [0]

Кто-нибудь знает, как реализовать сбор статистики трафика с Cisco через Netflow? Буду рад любым подсказкам и ссылкам , кроме "google: netflow..." - это уже проходилось и не раз :)

← →
Сергей М. © (2009-11-01 17:12) [1]

> кроме "google: netflow..."

Там что, буквы что ли незнакомые сплошь и рядом ?

http://www.google.ru/search?hl=ru&client=firefox&rls=org.mozilla%3Aru%3Aofficial&hs=ktG&newwindow=1&q=%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB+Netflow&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=&aq=f&oq=

Первая же ссылка из результатов гуглопроса

http://www.opennet.ru/openforum/vsluhforumID6/9481.html#2

дает вролне прямой вектор

← →
__Алексей__ (2009-11-01 18:54) [2]

Спасибо, что еще раз поискали :) Все прочитано уже ранее :)

← →
Сергей М. © (2009-11-01 19:37) [3]

Тогда в чем проблема ?

← →
__Алексей__ (2009-11-01 21:47) [4]

Проблем нет. Есть вопросы. Я просто использую ресурс форума для получения на них ответа. В представленном выше ресурсе приведено кусочное решение. Я его видел. Хочется как можно больше решений, чтобы проанализировав их, понять, как работает этот протокол и как лучше реализовать обработку данных. "С миру по нитке..." :)

← →
Сергей М. © (2009-11-02 09:44) [5]

> как работает этот протокол

Здесь

http://www.networksorcery.com/enp/rfc/rfc3954.txt

исчерпывающая информация по этому вопросу.

← →
__Алексей__ (2009-11-02 12:44) [6]

на русском, конечно, приятнее было бы почитать спецификацию :)

← →
Сергей М. © (2009-11-02 13:26) [7]

Она и на буржуйском вполне понятна.

← →
DVM © (2009-11-04 16:17) [8]

я когда то давно получал статистику с цисок через IP Accounting. Там все довольно просто было.

← →
__Алексей__ (2009-11-04 22:24) [9]

> DVM © (04.11.09 16:17) [8]
>
> я когда то давно получал статистику с цисок через IP Accounting.
> Там все довольно просто было.

А не могли вспомнить, как это делали. Это один из альтернативных способов, как я понимаю. И может работать на более широком диапазоне моделей, не только 4500-6000. Буду благодарен

← →
DVM © (2009-11-05 01:01) [10]

> __Алексей__ (04.11.09 22:24) [9]

> А не могли вспомнить, как это делали.

Надо поискать исходники. 5 лет уж прошло. Завтра поищу.

← →
__Алексей__ (2009-11-05 10:58) [11]

Спасибо :)

← →
DVM © (2009-11-05 12:23) [12]

> __Алексей__

К сожалению, сам скрипт, забирающий статистику я не нашел. Скрипт был на перле. Опишу как все это работало.

При включении IP Accounting (как включить подробно описано в интернете) циска начинает собирать статистику о пакетах и байтах в специальный внутренний буфер. Размер буфера небольшой, поэтому если регулярно содержимое этого буфера не забирать, то он затирается новыми записями.
Фактически в буфере обычный текстовый файл со столбцами:

IP_FROM IP_TO Packets_count Bytes_count

Забрать этот файл можно через RSH. На перле под Linuх делается элементарно. одной строкой.

Так вот, раз в 10 минут скрипт запускался планировщиком и забирал статистику. Все записи клеились в один большой текстовый файл. Каждый день этот файл создавался новый.

Ночью происходила обработка (опять же по планировщику) этого файла. Записи переносились в базу данных, при этом исходящий и входящий трафик по адресам суммировался (чтобы слишком не захламлять базу). Далее исходный файл отправлялся в архив (для дальнейших возможных разборок).
Вот собственно и все.

> __Алексей__

Кстати, при использовании IP Accounting надо иметь в виду, что он считает трафик только в одном направлении для одного интерфейса и для того чтобы считался и входящий и исходящий трафик надо включать его в противоположных направлениях на обоих интерфейсах.

← →
__Алексей__ (2009-11-05 16:29) [14]

> Забрать этот файл можно через RSH.

Гм. Круто. Только придется свой RSH писать... :( В Линуксе, как я понял, команда есть уже под этот протокол.

Вообще, с коммутаторами достаточно плотно работал в плане сбора от них информации, но только по SNMP, обращаясь к OIDам. А тут что-то новое... Не знал, что они еще могут файлы держать в памяти.

IP Accounting только на цисках можно настроить? И есть ли ограничения по моделям (из управляемых, естественно)?

> IP Accounting только на цисках можно настроить? И есть ли
> ограничения по моделям (из управляемых, естественно)?

Наверное не только на цисках. Что до моделей цисок то IP Accounting есть на очень древних цисках.

> __Алексей__ (05.11.09 16:29) [14]

> Гм. Круто. Только придется свой RSH писать... :(

Не придется. Аналог линуксовой RSH есть и под Windows причем не абы какой а от MS. Входит в состав Windows 2000 Server Resource Kit

http://www.windowsfaq.ru/content/view/87/37/

← →
__Алексей__ (2009-11-05 21:41) [17]

ОК, спасибо. Сам тоже нашел rsh под Виндоус, но не от МС. Этот вариант лучше конечно. Остальное сам погуглю, по деталям.

Сбор статистики трафика через Netflow Найти похожие ветки