Для ведения статистики и подсчёта трафика прходящего через наши шлюзы использую NeTAMS. Понадобилось смотреть статистику по трафику проходящему через маршрутизаторы cisco. Для этого есть возможность использовать netflow.
В принципе на сайте нетамса всё есть: http://netams.com/doc/cfg_cisco.html
На cisco делаем:

#ip flow-cache timeout inactive 60 #ip flow-cache timeout active 10

Поскольку cisco забирает статистику только по входящему интерфейсу, а у меня маршрутизатор без ната, то просто добавляем netflow на оба интерфейса – внешний и внутренний:

#interface FastEthernet0/0
#ip address 45.44.189.137 255.255.255.128 
#description ====INET====
#ip route-cache flow

#interface FastEthernet0/1
#ip address 45.44.190.81 255.255.255.248
#description ====LOCAL==== 
#ip route-cache flow

Далее указываем куда сбрасывать данные:

#ip flow-export version 5
#ip flow-export destination 45.44.190.82 20001

Далее NeTAMS который у меня считает трафик на прокси. Сбрасываем данные с циски на его внешний интерфейс. В конфиге NeTAMS’а добавляем блок data source:

service data-source 3
type netflow
source 45.44.190.81

В документации указан порт на котором слушет NeTAMS директивой listen 20001, но у меня в версии 3.4.5 после того как конфиг парсился получалась строка source 45.44.190.81:20001 или listen 20001:2001 В общем проверяется всё в консоли NeTAMS командой show ds. Должно быть что-то вроде:

# show ds
 Data-source ID=1 type LIBPCAP source xl0:0 loop 4591163 average 828 mcsec
    Perf: average skew delay 29298 mcsec, PPS: 68, BPS: 9764
    IP tree: 243 nodes [12] + 16 dlinks [1024] + 228 unodes [14] = 22492 bytes
    Flows: 1785/3911 act/inact entries (905664 bytes), 133794 flows sent
    HASH: size=65536, 1785 flows hashed, 1762 nodes used, max chain= 3
    FIFO: 0/1957 used/ready messages, each 123, total 240711 bytes
    Libpcap xl0 : EN10MB: 4602922 packets received, 0 dropped
 Data-source ID=2 type LIBPCAP source xl1:0 loop 0 average 0 mcsec
    Perf: average skew delay 0 mcsec, PPS: 0, BPS: 0
    IP tree: 243 nodes [12] + 16 dlinks [1024] + 228 unodes [14] = 22492 bytes
    Flows: 0/0 act/inact entries (0 bytes), 0 flows sent
    HASH: size=65536, 0 flows hashed, 0 nodes used, max chain= 0
    FIFO: 0/0 used/ready messages, each 123, total 0 bytes
    Libpcap xl1 : EN10MB: 4864451 packets received, 4863686 dropped
 Data-source ID=3 type NETFLOW source 0.0.0.0:20001 loop 6471 average 337 mcsec
    Perf: average skew delay 326 mcsec, PPS: 0, BPS: 0
    IP tree: 243 nodes [12] + 16 dlinks [1024] + 228 unodes [14] = 22492 bytes
    FIFO: 0/300 used/ready messages, each 123, total 36900 bytes
    Total: 6471 packets, 194073 flows, 0 errors, timestamp - 21.07.2010 17:23:16
    Source 45.44.190.81: 6471 packets, 194073 flows, 0 errors, timestamp - 21.07.2010 17:23:16

Если мы получаем ошибки:

Total: 471 packets, 0 flows, 471 errors, timestamp - 21.07.2010 17:23:16

Проверяем фаерволл, добавляем правило разрешающее входящий траффик на машину с netams’ом:

allow ip from any to me in via sk0

Можно перенести на другой порт:

service data-source 3
type netflow
listen 19.210.15.47 20002
source 19.210.15.1

На cisco:

ip flow-export version 5
ip flow-export destination 19.210.15.47 20002

Проверяем:

#show ds
 Data-source ID=1 type LIBPCAP source xl0:0 loop 44209 average 23183 mcsec
    Perf: average skew delay 30850 mcsec, PPS: 55, BPS: 8052
    IP tree: 513 nodes [12] + 20 dlinks [1024] + 495 unodes [14] = 33566 bytes
    Flows: 1724/794 act/inact entries (400362 bytes), 8962 flows sent
    HASH: size=65536, 1724 flows hashed, 1691 nodes used, max chain= 3
    FIFO: 0/813 used/ready messages, each 123, total 99999 bytes
    Libpcap xl0 : EN10MB: 45379 packets received, 0 dropped
 Data-source ID=2 type LIBPCAP source xl1:0 loop 9 average 889906 mcsec
    Perf: average skew delay 149054 mcsec, PPS: 0, BPS: 0
    IP tree: 513 nodes [12] + 20 dlinks [1024] + 495 unodes [14] = 33566 bytes
    Flows: 1/2 act/inact entries (477 bytes), 6 flows sent
    HASH: size=65536, 1 flows hashed, 1 nodes used, max chain= 1
    FIFO: 0/2 used/ready messages, each 123, total 246 bytes
    Libpcap xl1 : EN10MB: 42 packets received, 0 dropped
 Data-source ID=3 type NETFLOW source 19.210.15.47:20002 loop 2262 average 221 mcsec
    Perf: average skew delay 208 mcsec, PPS: 3, BPS: 4392
    IP tree: 513 nodes [12] + 20 dlinks [1024] + 495 unodes [14] = 33566 bytes
    FIFO: 60/240 used/ready messages, each 123, total 36900 bytes
    Total: 2262 packets, 67860 flows, 78 errors, timestamp - 26.01.2014 13:32:43
    Source 19.210.15.1: 2262 packets, 67860 flows, 78 errors, timestamp - 26.01.2014 13:32:43

После того как датасорс заработал нормально добавляем юнит и смотрим как собирается статистика.

unit host name SERVER ip 45.44.190.85 description SERVER-85 acct-policy ip www mail ftp icq

Или если нужно отследить сеть (добавляем группу, сеть и назначаем правило auto-units):

unit group name INET acct-policy ip www
auto-units 2 type user naming prefix2 IP- group INET
unit net name INET-INET ip 15.210.15.0/24 auto-units 2 acct-policy ip www

Cisco

Комментарии (RSS) | Обратная ссылка | 21.07.2010

← Простой шлюз на Cisco без NAT

Быстрая ротация логов. logrotate →

adminlog.ru

NeTAMS и Cisco | Cisco

Disclaimer

Рубрики

Мета

Июнь 2023
Пн	Вт	Ср	Чт	Пт	Сб	Вс
« Дек
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

adminlog.ru

NeTAMS и Cisco | Cisco

Disclaimer

Рубрики

Метки

Мета