forum.bitel.ru
http://forum.bitel.ru/

Нет отчетов по трафику
http://forum.bitel.ru/viewtopic.php?f=7&t=1234
Страница 1 из 3

Автор:  Andreiii1 [ 20 июн 2008, 14:21 ]
Заголовок сообщения:  Нет отчетов по трафику

Путем нехитрых манипуляций с Cisco и вашим Netflow-коллектором, теперь в Менеджере источников мы видим фиолетовые квадратики. Я так понимаю с обработанными логами. Уже накопились за 14 дней.

Однако в отчетах по договору пусто. Никакие графики не строятся, никакая статистика не выводится. Что это, пустые логи? Что делать дальше? Как настроить?

Тут ранее мне сказали, что нужно настраивать шедулер. Я добавил туда следующее:

- Генератор заданий на загрузку логов (зачем? фиолетовые квадраты и без этого появляются)
- Обсчет логов IPN
- Проверка шлюзов IPN (зачем? трафик пока идет напрямую)
- Максимальные трафики IPN (тоже непонятно, нужно ли).

После настройки шедулера на выполнение этих заданий в начале каждого часа - я честно говоря не заметил разницы. Одни и те же фиолетовые квадраты в менеджере источников, что с шедулером, что без него!

Автор:  Andreiii1 [ 23 июн 2008, 14:23 ]
Заголовок сообщения: 

ау! up.

Автор:  and [ 23 июн 2008, 14:56 ]
Заголовок сообщения: 

В договоре адреса заведены?

Автор:  Andreiii1 [ 23 июн 2008, 16:55 ]
Заголовок сообщения: 

and писал(а):
В договоре адреса заведены?


Да, диапазон в договоре указан 192.168.10.2-192.168.10.2
А вот в разделе "объект" - пусто

Что еще посмотреть?

Автор:  Andreiii1 [ 23 июн 2008, 17:07 ]
Заголовок сообщения: 

В общем, я посмотрел логи (командой save) они все примерно такого типа:

1213521330 58.146.253.13 0 x.x.x.x 2048 122 21 0
1213521432 169.254.100.100 68 255.255.255.255 67 1728 21 0
1213521448 169.254.100.100 68 255.255.255.255 67 576 21 0
1213521462 193.138.232.17 1496 x.x.x.x 1080 48 21 0
1213521480 169.254.100.100 68 255.255.255.255 67 576 21 0
1213521614 89.233.236.178 0 x.x.x.x 2048 122 21 0
1213521672 169.254.100.100 68 255.255.255.255 67 1728 21 0
1213521688 169.254.100.100 68 255.255.255.255 67 576 21 0

Где x.x.x.x - белый IP - интерфейс на cisco. Он же указан и как адрес neflow-источника в настройках биллинга.

Логи кривые?

Автор:  and [ 23 июн 2008, 17:12 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):
В договоре адреса заведены?


Да, диапазон в договоре указан 192.168.10.2-192.168.10.2
А вот в разделе "объект" - пусто

Что еще посмотреть?


привязка услуг? услуги сами в договоре заведены?

Автор:  Andreiii1 [ 24 июн 2008, 15:07 ]
Заголовок сообщения: 

and писал(а):
привязка услуг? услуги сами в договоре заведены?


да, всё по мануалу...
а с логом всё в порядке?

Автор:  and [ 24 июн 2008, 15:31 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):
привязка услуг? услуги сами в договоре заведены?


да, всё по мануалу...
а с логом всё в порядке?


ДА вроде как всё нормально!
Даже незнаю что делать! А если посмотреть через модуль отчётов, то там отражается вообще какой либо трафик??

Автор:  Andreiii1 [ 24 июн 2008, 15:43 ]
Заголовок сообщения: 

and писал(а):

ДА вроде как всё нормально!
Даже незнаю что делать! А если посмотреть через модуль отчётов, то там отражается вообще какой либо трафик??


почему спросил по логам - там ведь нет конечных адресов получателя (например для договора 192.168.10.2), как биллинг разбирается?

В модуле отчетов - тоже по нулям, по всем типам трафика.

Автор:  and [ 24 июн 2008, 16:00 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):

ДА вроде как всё нормально!
Даже незнаю что делать! А если посмотреть через модуль отчётов, то там отражается вообще какой либо трафик??


почему спросил по логам - там ведь нет конечных адресов получателя (например для договора 192.168.10.2), как биллинг разбирается?

В модуле отчетов - тоже по нулям, по всем типам трафика.


Значит не считает! В смысе нет конечных адресов? договор 192,168,10,2 отправляет пакет и соответственно в нетфлоу этот пакет отображается как от 192,168,10,2!

Автор:  Andreiii1 [ 24 июн 2008, 16:40 ]
Заголовок сообщения: 

and писал(а):

Значит не считает! В смысе нет конечных адресов? договор 192,168,10,2 отправляет пакет и соответственно в нетфлоу этот пакет отображается как от 192,168,10,2!


я к тому, что адрес 192.168.10.2 в обработанных логах нигде не фигурирует. Наверно он должен быть там в получателях, когда качает что-то с инета? Может я cisco неверно настроил?

Автор:  Andreiii1 [ 24 июн 2008, 17:24 ]
Заголовок сообщения: 

Ура! Первые 1.7 мб входящего интернет-трафика обсчитались, причем в IPN all (весь трафик, вх/исх) - по нулям, что странно(?).

У нас тут циска сбросилась, и настройки видимо другие забил. Характер логов изменился:

1214304409 0.0.0.0 0 64.12.28.141 0 2698 0 0
странная строчка

1214304589 0.0.0.0 0 192.168.10.2 0 1870067 0 0
а это видимо те самые 1.7 мб трафика, только непонятно откуда

1214304719 192.168.22.2 138 192.168.22.255 138 229 20 0
здесь 192.168.22.2 - адрес биллинга

1214305099 0.0.0.0 0 207.46.250.103 0 546 0 0
опять непонятная строчка

В общем, я похоже изменил параметр ip flow-export source. Если раньше это был интерфейс, к которому физически подключен биллинг, то теперь я назначил ему адрес (белый), с которого приходит инет. Правда будет ли при этом обсчитываться локальный трафик - большой вопрос.

Отмечу, что в настройках источника bgbilling (netflow адрес хоста ) тоже указан тот самый белый адрес, с которого приходит инет. А как нужно? и нужно ли?

В мануале по utm5 я видел рекомендуемые настройки для cisco - ip flow-export source loopback 0. я добавлял этот интерфейс, но при такой схеме я вообще не увидел пакетов netflow...

Жду ответа

Автор:  and [ 24 июн 2008, 17:48 ]
Заголовок сообщения: 

Andreiii1 писал(а):
Ура! Первые 1.7 мб входящего интернет-трафика обсчитались, причем в IPN all (весь трафик, вх/исх) - по нулям, что странно(?).

У нас тут циска сбросилась, и настройки видимо другие забил. Характер логов изменился:

1214304409 0.0.0.0 0 64.12.28.141 0 2698 0 0
странная строчка

1214304589 0.0.0.0 0 192.168.10.2 0 1870067 0 0
а это видимо те самые 1.7 мб трафика, только непонятно откуда

1214304719 192.168.22.2 138 192.168.22.255 138 229 20 0
здесь 192.168.22.2 - адрес биллинга

1214305099 0.0.0.0 0 207.46.250.103 0 546 0 0
опять непонятная строчка

В общем, я похоже изменил параметр ip flow-export source. Если раньше это был интерфейс, к которому физически подключен биллинг, то теперь я назначил ему адрес (белый), с которого приходит инет. Правда будет ли при этом обсчитываться локальный трафик - большой вопрос.

Отмечу, что в настройках источника bgbilling (netflow адрес хоста ) тоже указан тот самый белый адрес, с которого приходит инет. А как нужно? и нужно ли?

В мануале по utm5 я видел рекомендуемые настройки для cisco - ip flow-export source loopback 0. я добавлял этот интерфейс, но при такой схеме я вообще не увидел пакетов netflow...

Жду ответа


В настройках источника надо ставить адрес с которого фактически идёт поток, будь то белы, серый, это наверно настраивается на циске!
в принципе все вот такое и должно идти в потоке:
Цитата:
1214304589 0.0.0.0 0 192.168.10.2 0 1870067 0 0

Автор:  blib [ 24 июн 2008, 18:17 ]
Заголовок сообщения: 

что то в логах у вас мусор какойто ...
может версия flow не та стоит?

Автор:  S [ 24 июн 2008, 20:42 ]
Заголовок сообщения: 

Вы бы схему примерно описали. В логах странные и левые значения. Почему-то одновременно и серые и белые сети. Циска у вас на границе или внутри сети? Вы указывали с какого интерфейса собирать лог и куда его отправлять? Может конфиг относительно netflow покажете (с циской если честно не работал -))?

В инструкции нормально все описано, посмотрите внимательно принцип работы коллектора и наложите этот принцип на свою схему.

Автор:  Andreiii1 [ 25 июн 2008, 14:17 ]
Заголовок сообщения: 

and писал(а):

В настройках источника надо ставить адрес с которого фактически идёт поток, будь то белы, серый, это наверно настраивается на циске!


поставил источником интерфейс, к которому физически подключен биллинг (192.168.22.1)

источником netflow в циске тоже ставить его? сорри, совсем не знаю как нужно делать. непонятно, что и как работает...

netflow версии 5 я указал

Автор:  and [ 25 июн 2008, 14:31 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):

В настройках источника надо ставить адрес с которого фактически идёт поток, будь то белы, серый, это наверно настраивается на циске!


поставил источником интерфейс, к которому физически подключен биллинг (192.168.22.1)

источником netflow в циске тоже ставить его? сорри, совсем не знаю как нужно делать. непонятно, что и как работает...

netflow версии 5 я указал


В источниках надо ставить откуда идёт поток! то есть если поток фактически идёт от адреса интерфейса циски надо ставить его, а если поток идёт от белого адреса циско то надо ставить белый адрес, откуда идёт поток настраивается в циско!

Автор:  Andreiii1 [ 25 июн 2008, 19:38 ]
Заголовок сообщения: 

and писал(а):

В источниках надо ставить откуда идёт поток! то есть если поток фактически идёт от адреса интерфейса циски надо ставить его, а если поток идёт от белого адреса циско то надо ставить белый адрес, откуда идёт поток настраивается в циско!


я сделал source в cisco - интерфейс, куда подключен биллинг,
и в менеджере источников указал этот адрес.
- при таком раскладе получаются вообще нулевые логи.

если честно, непонятно, какой flow-export source вообще указывать, чтобы и интернет трафик обсчитывался (с другого белого адреса), и локальный трафик тоже.

Автор:  Andreiii1 [ 25 июн 2008, 19:43 ]
Заголовок сообщения: 

S писал(а):
Вы бы схему примерно описали. В логах странные и левые значения. Почему-то одновременно и серые и белые сети. Циска у вас на границе или внутри сети? Вы указывали с какого интерфейса собирать лог и куда его отправлять? Может конфиг относительно netflow покажете (с циской если честно не работал -))?


if> ip route-cache flow
ip flow-export version 5
ip flow-export destination x.x.x.x portnumber

ip flow-export source g4/1

Вопрос? Почему не могут быть одновременно белые и серые сети? Интернет ведь приходит с белого и раздается на серые (абонентам).

Автор:  blib [ 25 июн 2008, 20:12 ]
Заголовок сообщения: 

первые логи были правильные ....
ищите ошибку в конфиге циски

проверте что версия та
что агрегации нет
что на том интерфейсе разрешен сбор логов
проверте направление ingress/egress

если вы делаете НАТ на этой же циске нужны будут спецальные меры на циске для того что бы видеть серую адресацию и на вход и на выход

Автор:  Andreiii1 [ 26 июн 2008, 14:23 ]
Заголовок сообщения: 

blib писал(а):
первые логи были правильные ....
ищите ошибку в конфиге циски

проверте что версия та
что агрегации нет
что на том интерфейсе разрешен сбор логов
проверте направление ingress/egress

если вы делаете НАТ на этой же циске нужны будут спецальные меры на циске для того что бы видеть серую адресацию и на вход и на выход


вернулся к прежней схеме, когда хоть что-то появляется в отчетах. Еще непонятно, почему "интернет входящий" отображается в отчетах, а "интернет весь" - по нулям. В плане привязок "интернет весь" указан последним пунктом. Также добавлен в договоре...

blib, что такое агрегация, ingress/egress?

NAT'a нет.

Автор:  Andreiii1 [ 26 июн 2008, 14:54 ]
Заголовок сообщения: 

Мне всё-таки непонятно, почему в источниках нужно обязательно указывать IP адрес хоста для Neflow? (когда цель - обсчет всего трафика с циски). Значит ли это, что, например, для локального трафика мне нужно будет добавить еще один источник, но с другим IP-адресом??

Автор:  and [ 26 июн 2008, 14:59 ]
Заголовок сообщения: 

Andreiii1 писал(а):
Мне всё-таки непонятно, почему в источниках нужно обязательно указывать IP адрес хоста для Neflow? (когда цель - обсчет всего трафика с циски). Значит ли это, что, например, для локального трафика мне нужно будет добавить еще один источник, но с другим IP-адресом??


Там указывается откуда идёт поток, если у Вас через циску проходит и весь локальный трафик то он тоже будет попадать в эту статистику! Естественно если у Вас по всей сети стоят циски которые считают трафик между всеми, то Вам надо будет в источники и их добавить!
Этот адрес это всего лишь идентификатор откуда идёт поток, он ни на что не влияет!

Автор:  blib [ 26 июн 2008, 15:12 ]
Заголовок сообщения: 

http://www.cisco.com/en/US/docs/ios/12_ ... owegr.html


Previous versions of NetFlow allow statistics to be gathered only on traffic that is entering the router, or ingress traffic. The NetFlow Egress Support feature allows NetFlow statistics to be gathered on traffic that is exiting the router, or egress traffic.

Автор:  Andreiii1 [ 26 июн 2008, 15:29 ]
Заголовок сообщения: 

and писал(а):

Там указывается откуда идёт поток, если у Вас через циску проходит и весь локальный трафик то он тоже будет попадать в эту статистику! Естественно если у Вас по всей сети стоят циски которые считают трафик между всеми, то Вам надо будет в источники и их добавить!
Этот адрес это всего лишь идентификатор откуда идёт поток, он ни на что не влияет!


как не влияет? когда я указывал ip адрес другого интерфейса, то у меня в логах вообще по нулям было.

я в циске могу указать ip route-cache flow для интерфейсов, с которых нужен netflow, могу указать и источник (ip flow-export source). сейчас для белого адреса, с которого приходит инет, указано и то и другое. что-то считается. в биллинге тоже указан этот источник.

если указать источником интерфейс, к которому физически подключен биллинг, то отчеты становятся пустыми..

Автор:  and [ 26 июн 2008, 16:16 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):

Там указывается откуда идёт поток, если у Вас через циску проходит и весь локальный трафик то он тоже будет попадать в эту статистику! Естественно если у Вас по всей сети стоят циски которые считают трафик между всеми, то Вам надо будет в источники и их добавить!
Этот адрес это всего лишь идентификатор откуда идёт поток, он ни на что не влияет!


как не влияет? когда я указывал ip адрес другого интерфейса, то у меня в логах вообще по нулям было.

я в циске могу указать ip route-cache flow для интерфейсов, с которых нужен netflow, могу указать и источник (ip flow-export source). сейчас для белого адреса, с которого приходит инет, указано и то и другое. что-то считается. в биллинге тоже указан этот источник.

если указать источником интерфейс, к которому физически подключен биллинг, то отчеты становятся пустыми..


Источник это всего лишь флаг откуда идёт поток! ip route-cache flow надо давать для интерфейсов к которым подключены и локальные пользователи и белые адреса, Естественно если указать только белый то ничего другого считаться не будет!

Автор:  Andreiii1 [ 26 июн 2008, 16:25 ]
Заголовок сообщения: 

and писал(а):

Источник это всего лишь флаг откуда идёт поток! ip route-cache flow надо давать для интерфейсов к которым подключены и локальные пользователи и белые адреса, Естественно если указать только белый то ничего другого считаться не будет!


сейчас попробую. жаль, что приходится ждать целый час, пока логи сгенерятся. я пробовал устанавливать generate.minutes=10, но всё равно они появляются только на границе часа. Как мне побыстрее увидеть логи, скажем, за последние 5 минут?

и в догонку вопрос. Если netflow коллектор сам обрабатывает логи, может всё-таки убрать из шедулера пункты - "генератор заданий на загрузку логов", "обсчет логов IPN", "максимальные трафики IPN"? просто перед этим говорили включить это в шедулере!

Автор:  and [ 26 июн 2008, 16:56 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):

Источник это всего лишь флаг откуда идёт поток! ip route-cache flow надо давать для интерфейсов к которым подключены и локальные пользователи и белые адреса, Естественно если указать только белый то ничего другого считаться не будет!


сейчас попробую. жаль, что приходится ждать целый час, пока логи сгенерятся. я пробовал устанавливать generate.minutes=10, но всё равно они появляются только на границе часа. Как мне побыстрее увидеть логи, скажем, за последние 5 минут?

и в догонку вопрос. Если netflow коллектор сам обрабатывает логи, может всё-таки убрать из шедулера пункты - "генератор заданий на загрузку логов", "обсчет логов IPN", "максимальные трафики IPN"? просто перед этим говорили включить это в шедулере!


Думаю что Обсчёт логов стоит оставить а остальные наверно можно убрать! у меня стоят так на всякий случай!

Автор:  Andreiii1 [ 26 июн 2008, 17:11 ]
Заголовок сообщения: 

and писал(а):

Думаю что Обсчёт логов стоит оставить а остальные наверно можно убрать! у меня стоят так на всякий случай!


Дак, Вы не из тех поддержки?

В общем, пока ничего не убирал из шедулера. Просто отменил flow-export source (он автоматически стал интерфейсом, к которому подключен биллинг - 192.168.22.1). ip route-cache flow остался на том белом адресе, где был flow-export source перед этим.
И указал источником в биллинге другой адрес хоста нетфлоу - 192.168.22.1 (вместо того белого). Дождался окончания часа и - лог за этот час вообще пустой (0 байт).

Автор:  and [ 26 июн 2008, 17:41 ]
Заголовок сообщения: 

Andreiii1 писал(а):
and писал(а):

Думаю что Обсчёт логов стоит оставить а остальные наверно можно убрать! у меня стоят так на всякий случай!


Дак, Вы не из тех поддержки?

В общем, пока ничего не убирал из шедулера. Просто отменил flow-export source (он автоматически стал интерфейсом, к которому подключен биллинг - 192.168.22.1). ip route-cache flow остался на том белом адресе, где был flow-export source перед этим.
И указал источником в биллинге другой адрес хоста нетфлоу - 192.168.22.1 (вместо того белого). Дождался окончания часа и - лог за этот час вообще пустой (0 байт).


Нет я не из тех.поддержки!
Я запутался! Сделайте всё сначала? скорее всего просто всё перепуталось!

Страница 1 из 3 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/