OpenForum RSS: Netflow и rate-limit https://slinkov.ru/openforum/vsluhforumID6/22758.html Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit с последующей выгрузкой через netflow? В рамках одного устройства.<br> Netflow и rate-limit (cant) https://slinkov.ru/openforum/vsluhforumID6/22758.html#8 Fri, 17 Jun 2011 07:01:43 GMT &gt; для работы rate-limit требуется отключенный ip cef на интерфейсе.<br><br>Редкие грабли. Пробовал с c881 , c2600, с2800 и выше. и софт 12.4 и 15.1.<br>Везде rate-limit безупречно отрабатывает с включенным cef.<br><br><br> Netflow и rate-limit (7fox7) https://slinkov.ru/openforum/vsluhforumID6/22758.html#7 Fri, 17 Jun 2011 00:32:16 GMT &gt;[оверквотинг удален]<br>&gt; rate-limit input ...<br>&gt; rate-limit output ...<br>&gt; interface GigabitEthernet0/1.10 <br>&gt; description UPLINK <br>&gt; ip flow ingress <br>&gt; !<br>&gt; И посмотрите <br>&gt; show ip cache flow <br>&gt; Есть там всё, и in и out по клиентской подсети ?<br>&gt; Или какой-то ньюанс я упустил?<br><br>Для сбора трафика по netflow требуется включенный ip cef на интерфейсе, а для работы rate-limit требуется отключенный ip cef на интерфейсе.<br><br>Т.е. в приведенном Вами примере, netflow будет собираться, но не будут работать правила rate-limit<br><br><br> Netflow и rate-limit (cant) https://slinkov.ru/openforum/vsluhforumID6/22758.html#6 Thu, 16 Jun 2011 16:04:03 GMT &gt; 1821W c181x-advipservicesk9-mz.124-11.XW5.bin <br><br>Попробуйте всё же по-старинке (без egress):<br><br>!<br>ip cef<br>!<br>interface GigabitEthernet0/1.5<br> description USER<br> ip flow ingress<br> rate-limit input ...<br> rate-limit output ...<br>interface GigabitEthernet0/1.10<br> description UPLINK<br> ip flow ingress<br>!<br><br>И посмотрите<br>show ip cache flow<br><br>Есть там всё, и in и out по клиентской подсети ? <br>Или какой-то ньюанс я упустил?<br><br> Netflow и rate-limit (7fox7) https://slinkov.ru/openforum/vsluhforumID6/22758.html#5 Thu, 16 Jun 2011 04:47:04 GMT &gt; ip flow egress - скользкая вещь. можно избежать?<br>&gt; без cef - деньги на ветер.<br><br>Нужно в обе стороны просматривать, ибо контингент пользователей плохой.<br><br>&gt; А что за железка и софт ?<br><br>1821W c181x-advipservicesk9-mz.124-11.XW5.bin<br> Netflow и rate-limit (cant) https://slinkov.ru/openforum/vsluhforumID6/22758.html#4 Wed, 15 Jun 2011 11:16:54 GMT ip flow egress - скользкая вещь. можно избежать? <br>без cef - деньги на ветер.<br><br>А что за железка и софт ?<br><br><br> Netflow и rate-limit (7fox7) https://slinkov.ru/openforum/vsluhforumID6/22758.html#3 Wed, 15 Jun 2011 08:11:38 GMT &gt;&gt; Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit <br>&gt;&gt; с последующей выгрузкой через netflow? В рамках одного устройства.<br>&gt; Так примерно обычно и собирают: <br><br>У меня получаются нестыковки.<br>Внешний интерфейс rate-limit и no ip cef ибо без него лимиты не работают, и внутренний, <br> ip flow ingress<br> ip flow egress<br><br>Проблема в том, что при включенном ip cef не работают правила rate-limit , а при выключенном ip cef не фиксируется трафик по netflow.<br><br>В итоге у меня сейчас исходящий фиксируется, а входящий нет.<br><br> Netflow и rate-limit (cant) https://slinkov.ru/openforum/vsluhforumID6/22758.html#2 Wed, 15 Jun 2011 07:22:23 GMT &gt; !<br>&gt; interface GigabitEthernet0/1.5 <br>&gt; encapsulation dot1Q 5 <br>&gt; ip address 77.88.99.221 255.255.255.252 <br>&gt; ip flow ingress <br>&gt; rate-limit input 2000000 375000 750000 conform-action transmit exceed-action drop <br>&gt; rate-limit output 2000000 375000 750000 conform-action transmit exceed-action drop <br>&gt; !<br>&gt; ip flow ingress - также на аплинковых интерфейсах.<br><br>ip flow monitor вернее по новым веяниям.<br><br> Netflow и rate-limit (cant) https://slinkov.ru/openforum/vsluhforumID6/22758.html#1 Wed, 15 Jun 2011 07:12:39 GMT &gt; Каким образом можно собирать трафик на вход/исход совместно с использованием rate-limit <br>&gt; с последующей выгрузкой через netflow? В рамках одного устройства.<br><br>Так примерно обычно и собирают:<br><br>!<br>interface GigabitEthernet0/1.5<br> encapsulation dot1Q 5<br> ip address 77.88.99.221 255.255.255.252<br> ip flow ingress<br> rate-limit input 2000000 375000 750000 conform-action transmit exceed-action drop<br> rate-limit output 2000000 375000 750000 conform-action transmit exceed-action drop<br>!<br><br>ip flow ingress - также на аплинковых интерфейсах.<br><br>И далее как предписано по док-ции:<br>!<br>flow exporter NF9-exporter<br> destination 77.88.99.4<br> transport udp 8787<br>!<br>!<br>flow monitor NF9<br> record netflow ipv4 original-input<br> exporter NF9-exporter<br>!<br><br>С пакетами которые подропались на rate-limit обычно не заморачиваются куда их в статистике относить.<br>