| forum.bitel.ru http://forum.bitel.ru/ |
|
| High-Speed Logging for NAT - Netflow9 (HSL/NEL) http://forum.bitel.ru/viewtopic.php?f=44&t=9168 |
Страница 1 из 1 |
| Автор: | iONE [ 18 апр 2014, 00:33 ] |
| Заголовок сообщения: | High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Поддерживает ли коллектор темплейты netflow9 для HSL? См таб. 1 и 2 |
|
| Автор: | iONE [ 19 апр 2014, 01:10 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Не? |
|
| Автор: | Amir [ 21 апр 2014, 18:04 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 |
Нет. Это просто логирование NAT портов, чтобы можно было определить какой белый IP/порт в определенное время был каким серым IP/портом (т.е. какой абонент был за серым IP/портом)? Или что? |
|
| Автор: | iONE [ 21 апр 2014, 18:11 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 |
Да всё верно, нужно для спецслужб. |
|
| Автор: | Amir [ 21 апр 2014, 18:42 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 |
Не совсем понятно, что означают поля в общем и события Adds и Deleted - привязка IP/порта или же это открытие/закрытие TCP/UDP сессии/проброса. У нас поддерживается NAT-log для SE, там просто: привязали IP и порт - отвязали IP и порт, в последнем также указано время привязки. http://pastebin.com/WGgFdQPN |
|
| Автор: | iONE [ 22 апр 2014, 00:48 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 |
Event 1-Adds event (создана запись (сессия) в таблице нат трансляции) Event 2-Deletes event (удалена запись (сессия) в таблице нат трансляций) Там же нормальным английским языком все описано: Records are sent for each binding (binding is the address binding between the local address and the global address to which the local address is translated) and when sessions are created and destroyed. NAT also sends an HSL message when a NAT pool runs out of addresses |
|
| Автор: | Amir [ 22 апр 2014, 04:16 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
А что имеется в виду под сессией? Если просто binding between the local address and the global address то не понимаю, зачем там столько полей, SE хватило в два раза меньше. |
|
| Автор: | iONE [ 22 апр 2014, 13:45 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Amir писал(а): А что имеется в виду под сессией? Если просто binding between the local address and the global address то не понимаю, зачем там столько полей, SE хватило в два раза меньше. В зависимости какой режим ната используется, корпоративный или операторский. В этой презинтации на 10 странице приведена наглядная разница, а на 11 сами шаблоны для операторского режима (CGN). В операторском режиме таблица трансляций выглядит так: Код: #show ip nat translations
Pro Inside global Inside local Outside local Outside global tcp 176.X.Y.132:45142 10.X.42.5:60273 --- --- tcp 176.X.Y.106:65409 10.X.1.104:29682 --- --- tcp 176.X.Y.27:38126 10.X.40.109:52022 --- --- tcp 176.X.Y.14:34244 10.X.26.236:62673 --- --- tcp 176.X.Y.101:55684 10.X.14.92:53943 --- --- tcp 176.X.Y.8:61013 10.X.40.123:54356 --- --- tcp 176.X.Y.43:62887 10.X.55.42:59313 --- --- tcp 176.X.Y.43:13244 10.X.4.16:51673 --- --- tcp 176.X.Y.122:45574 10.X.42.136:52512 --- --- tcp 176.X.Y.73:56938 10.X.5.243:1468 --- --- tcp 176.X.Y.140:37985 10.X.3.230:54188 --- --- tcp 176.X.Y.43:2469 10.X.46.84:52662 --- --- tcp 176.X.Y.34:34755 10.X.4.2:58406 --- --- tcp 176.X.Y.120:12139 10.X.41.195:51432 --- --- tcp 176.X.Y.13:36104 10.X.78.5:55518 --- --- tcp 176.X.Y.122:47087 10.X.56.4:60425 --- --- tcp 176.X.Y.140:37256 10.X.4.136:54438 --- --- tcp 176.X.Y.106:1642 10.X.2.131:2860 --- --- tcp 176.X.Y.8:11687 10.X.43.72:50246 --- --- tcp 176.X.Y.121:32979 10.X.69.229:55729 --- --- tcp 176.X.Y.101:8303 10.X.49.203:60951 --- --- tcp 176.X.Y.106:64104 10.X.43.32:63413 --- --- tcp 176.X.Y.14:32813 10.X.25.157:64690 --- --- tcp 176.X.Y.117:4616 10.X.46.199:61810 --- --- tcp 176.X.Y.2:61172 10.X.10.40:2110 --- --- tcp 176.X.Y.120:20619 10.X.16.171:51171 --- --- tcp 176.X.Y.15:27244 10.X.28.132:58525 --- --- tcp 176.X.Y.117:10257 10.X.17.65:50176 --- --- tcp 176.X.Y.122:61974 10.X.54.196:60255 --- --- tcp 176.X.Y.57:42671 10.X.50.7:51369 --- --- tcp 176.X.Y.89:12287 10.X.33.250:60505 --- --- tcp 176.X.Y.99:3591 10.X.12.8:36599 --- --- tcp 176.X.Y.22:20582 10.X.48.246:51637 --- --- tcp 176.X.Y.8:44613 10.X.40.123:58835 --- --- tcp 176.X.Y.8:21063 10.X.43.72:49604 --- --- tcp 176.X.Y.37:1555 10.X.11.6:52861 --- --- tcp 176.X.Y.27:54526 10.X.7.53:59677 --- --- tcp 176.X.Y.106:49041 10.X.13.65:55782 --- --- tcp 176.X.Y.121:15553 10.X.21.69:49643 --- --- tcp 176.X.Y.27:53527 10.X.22.74:55338 --- --- tcp 176.X.Y.106:31843 10.X.43.32:63399 --- --- tcp 176.X.Y.89:10774 10.X.54.199:59183 --- --- tcp 176.X.Y.37:65528 10.X.11.6:53300 --- --- tcp 176.X.Y.125:62925 10.X.67.42:62925 --- --- tcp 176.X.Y.22:21903 10.X.18.5:57264 --- --- tcp 176.X.Y.8:28087 10.X.40.123:54922 --- --- tcp 176.X.Y.7:29099 10.X.5.163:49915 --- --- tcp 176.X.Y.120:21858 10.X.6.132:63358 --- --- tcp 176.X.Y.111:8398 10.X.54.3:52097 --- --- udp 176.X.Y.34:15313 10.X.4.2:60888 --- --- tcp 176.X.Y.122:63487 10.X.5.38:65203 --- --- tcp 176.X.Y.4:47765 10.X.13.147:53168 --- --- tcp 176.X.Y.117:6113 10.X.46.199:61752 --- --- tcp 176.X.Y.122:52710 10.X.16.136:54236 --- --- tcp 176.X.Y.140:60289 10.X.13.167:46602 --- --- udp 176.X.Y.9:1044 10.X.56.80:3166 --- --- tcp 176.X.Y.9:1044 10.X.19.71:64736 --- --- tcp 176.X.Y.90:28467 10.X.40.213:2159 --- --- tcp 176.X.Y.73:54163 10.X.34.27:30840 --- --- tcp 176.X.Y.1:26659 10.X.28.131:61887 --- --- tcp 176.X.Y.27:41742 10.X.5.18:54234 --- --- |
|
| Автор: | iONE [ 22 апр 2014, 14:59 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Размер записи по событиям. Add Event Template 256 (21 byte) Delete Event Template 257 (11 byte) В один пакет размером 1500 byte укладывается 68 записей типа Add. http://www.data.proidea.org.pl/euronog/ ... de_NAT.pdf Reality check: 100K CGN users would consume 3.5TB storage per year (compressed, fully SQL searchable data). |
|
| Автор: | Amir [ 22 апр 2014, 15:05 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Основная сложность - сделать поиск. В SE там передается время начала и конца сессии, поэтому там просто поиск в лоб. Тут, при обработке логов, нужно запоминать когда началось, чтобы узнать, каким был IP/порт у абонента в определенное время. |
|
| Автор: | iONE [ 22 апр 2014, 18:11 ] |
| Заголовок сообщения: | Re: High-Speed Logging for NAT - Netflow9 (HSL/NEL) |
Amir писал(а): Основная сложность - сделать поиск. В SE там передается время начала и конца сессии, поэтому там просто поиск в лоб. Тут, при обработке логов, нужно запоминать когда началось, чтобы узнать, каким был IP/порт у абонента в определенное время. Все есть, в одном пакете 40 записей, у каждой записи есть поле Unix timestamp in milliseconds Смотрите HD, выложил там PCAP и пример разбора для режима CGN. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|