forum.bitel.ru
http://forum.bitel.ru/

Интерфейсы в netflow и flow-tools
http://forum.bitel.ru/viewtopic.php?f=7&t=210		 Страница 1 из 1
Автор:  johnplv [ 20 апр 2007, 19:21 ]
Заголовок сообщения:  Интерфейсы в netflow и flow-tools
Помогите разобраться с номерами интерфейсов
flow-tools нормально принимает трафик:
Код:
Start             End               Sif   SrcIPaddress    SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
0419.23:58:57.348 0419.23:59:08.420 30    172.16.0.245    137   0     172.16.255.255  137   17  0  12         936
0420.00:04:13.404 0420.00:04:13.404 3043  10.0.0.220      49907 0     10.0.255.255    3052  17  0  1          688
0420.00:04:18.004 0420.00:04:18.004 3043  10.34.81.21     138   0     10.34.255.255   138   17  0  1          202

там видно номера интерфейсов 3043 и 30
но если посмотреть DEBUG логи BGIPNNetflowCollector то там эти интерфейсы уже под номерами 58123 и 7680
Код:
INFO   20.04.2007 18:59:03  Processing source:1 time: 2007-04-20 18:00:00.0
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 58123; FROM_IP: 10.0.0.220; FROM_PORT: 49906; TO_IFACE: 0; TO_IP: 10.0.255.255; TO_PORT: 3052
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 58123; FROM_IP: 10.34.63.140; FROM_PORT: 138; TO_IFACE: 0; TO_IP: 10.34.255.255; TO_PORT: 138
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 58123; FROM_IP: 10.0.0.245; FROM_PORT: 137; TO_IFACE: 0; TO_IP: 10.0.255.255; TO_PORT: 137
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 7680; FROM_IP: 172.16.0.245; FROM_PORT: 137; TO_IFACE: 0; TO_IP: 172.16.255.255; TO_PORT: 137
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 58123; FROM_IP: 10.0.0.245; FROM_PORT: 138; TO_IFACE: 0; TO_IP: 10.0.255.255; TO_PORT: 138
DEBUG  20.04.2007 18:59:03  Ignoring: FROM_IFACE: 58123; FROM_IP: 10.0.0.220; FROM_PORT: 49906; TO_IFACE: 0; TO_IP: 10.0.255.255; TO_PORT: 3052
....
skiped
....
INFO   20.04.2007 18:59:04  proccess [ 20-04-2007 18:00:00; mid => 1; param => 1 ]  Bean create => 63 Processed lines => 2225; inserts => 0; errors => 0; time


пробовал в биллинге добавлять интерфейсы с номерами 3043, 30 и 58123,7680 - трафик не разносится :cry:
как узнать "правильный" номер интерфейса?
Автор:  johnplv [ 23 апр 2007, 16:25 ]
Заголовок сообщения: 
а по этой теме ктонить ответит?
Автор:  Администратор [ 23 апр 2007, 17:29 ]
Заголовок сообщения: 
Вопрос решается. Там похоже ошибка в программе конвертации неверно конвертятся интерфейсы.
Автор:  johnplv [ 23 апр 2007, 17:58 ]
Заголовок сообщения: 
ок, будем ждать

PS: спс за ответ, а то все молчат... уж незнал что и делать...
Автор:  Администратор [ 23 апр 2007, 23:25 ]
Заголовок сообщения: 
Попробуйте взять вот этот исходник и скомпилировать конвертер из него.
http://bgbilling.ru/patch/flow2bitel.cpp
По результатам отпишитесь, плз.
Автор:  johnplv [ 25 апр 2007, 12:56 ]
Заголовок сообщения: 
№ интерфейсов теперь нормальные
и даже некоторый трафик разносит
спасибо

только теперь другая проблема возникла, по какому интерфейсу идентифицируется трафик в биллинге? по FROM_IFACE или по TO_IFACE ?
есть подозрения что по TO_IFACE так как не разносится вот такой трафик:
Код:
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 89.202.157.138; FROM_PORT: 80; TO_IFACE: 0; TO_IP: 10.0.0.245; TO_PORT: 65460
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 10.210.0.5; FROM_PORT: 64683; TO_IFACE: 0; TO_IP: 10.0.0.245; TO_PORT: 65461
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 10.99.4.31; FROM_PORT: 138; TO_IFACE: 0; TO_IP: 10.99.255.255; TO_PORT: 138
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 10.0.0.220; FROM_PORT: 49906; TO_IFACE: 0; TO_IP: 10.0.255.255; TO_PORT: 3052
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 10.10.23.2; FROM_PORT: 3350; TO_IFACE: 0; TO_IP: 10.0.0.101; TO_PORT: 110
DEBUG  25.04.2007 12:47:05  Ignoring: FROM_IFACE: 3043; FROM_IP: 10.34.209.8; FROM_PORT: 137; TO_IFACE: 0; TO_IP: 10.34.255.255; TO_PORT: 137


интерфейс 3043 в источнике есть
в договоре у ip стоит привязка к этому интерфейсу
Автор:  johnplv [ 25 апр 2007, 17:58 ]
Заголовок сообщения: 
завел интерфейс с №0 - трафик начал разноситься
можно сделать так чтобы № интерфейса брался из FROM_IFACE ?
Автор:  johnplv [ 27 апр 2007, 11:41 ]
Заголовок сообщения: 
ээээ...
так можно сделать № интерфейса по FROM_IFACE или нет?
или может я в настройках чего то не то сделал?

у меня циска почти всегда в TO_IFACE "0" пишет
Автор:  Администратор [ 27 апр 2007, 14:33 ]
Заголовок сообщения: 
По FROM_IFACE - можно, в этом случае в привязках услуг должны быть правила на исходящий трафик, они есть?
Автор:  johnplv [ 27 апр 2007, 14:40 ]
Заголовок сообщения: 
да, конечно

но дело в том что у меня циска и во входящем и в исходящем трафике в netflow заполняет только FROM_IFACE а в TO_IFACE пишет "0"
Автор:  Администратор [ 27 апр 2007, 14:45 ]
Заголовок сообщения: 
Надо настраивать циску.. А вообще задача какая, объясните подробнее, плз?
Автор:  johnplv [ 27 апр 2007, 14:54 ]
Заголовок сообщения: 
считать трафик ;-)

есть множество VLANов (интерфейсов) с глобальной адресацией (сеть 10.0.0.0/8 )
но появились еще корпоративные VLANы с транзитным трафиком (объединение офисов) и со своей собственной адресацией (как правило 192.168.0.0/24)

все вообщем то считается без проблем при настройке у источника интерфейса "-1 ANY", но будут проблемы когда будет несколько корпоративных клиентов с одинаковой адресацией (а они будут 100%)

Table 52-3 NDE Version 5 Flow Record Format
Egress interface SNMP ifIndex - Always zero when policy-based routing is configured.
Автор:  Администратор [ 27 апр 2007, 16:24 ]
Заголовок сообщения: 
Я не очень силен в CISCO, а что такое:
Код:
policy-based routing

без него не обойтись? Просто если нет информации о исходящем порте куда ушел трафик, как клиента идентифицировать?
Автор:  johnplv [ 28 апр 2007, 17:34 ]
Заголовок сообщения: 
все разобрался :)
дело оказалось не в "policy-based routing", а в том что этот трафик был скоммутирован циской на 2м уровне и своего интерфейса не покидал, поэтому циска заполняет поле FROM_IFACE, а TO_IFACE оставляет пустым (т.е. пишет 0). Для смаршрутизированного на 3м уровне трафика циска нормально заполняет оба поля.

Для себя проблему решил немного туповатым, но действенным способом:
в файле flow2bitel.cpp
после строк
Код:
b_rec.fromIface =       *((u_int32*)((char*)rec+(&fo)->input));
b_rec.toIface =         *((u_int32*)((char*)rec+(&fo)->output));

вставляем строку:
Код:
if (!b_rec.toIface) b_rec.toIface=b_rec.fromIface;


PS: сорри что вас так долго мучал - сам дурак ;-), но все же было бы неплохо чтобы вы учли такой случай в BGIPNNetflowCollector'е
Автор:  rapitoz [ 14 дек 2007, 20:19 ]
Заголовок сообщения: 
Администратор писал(а):
Попробуйте взять вот этот исходник и скомпилировать конвертер из него.
http://bgbilling.ru/patch/flow2bitel.cpp
По результатам отпишитесь, плз.


А в том файле, который указан в документации это исправлено? У меня с ним получается подсчет только при интерфейсе ANY...
Автор:  Администратор [ 17 дек 2007, 11:08 ]
Заголовок сообщения: 
Если во входящих данных нет номера исходящего интерфейса, конвертером это не исправить. В приведенном выше патче просто исходящий интерфейс приравнивается входящему.
Автор:  rapitoz [ 17 дек 2007, 22:37 ]
Заголовок сообщения: 
Делал репорты по данным flow-tools там есть те интерфейсы которые я прописывал и в одну и в другую сторону, но когда я их задаю для клиента трафика ноль, появляется только если поставить ANY...
Автор:  Администратор [ 18 дек 2007, 12:24 ]
Заголовок сообщения: 
Т.е. в логах flow-tools интерфейсы есть, а если экспортить данные коллектора, то уже нет?
Страница 1 из 1 Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/