Использую flow-tools для захвата трафика с маршрутизатора.
Если запускать: flow-capture -N 3 -p /var/run/flow-capture -V 5 -w /var/db/netflow/bd -n 288 -E30000M x.x.x.x/x.x.x.x/9991 то все замечательно.Хочу сделать разветвление и отбрасывать копию flow`ов помимо локального на другой коллектор.
Использую утилиту flow-fanout:
flow-fanout -s x.x.x.x/x.x.x.x/9991 0/0/9992 0/y.y.y.y/9992 для разветвления и
и flow-capture на порту 9992 для приема на локальном и удаленном коллекторе.При работе впаре этих двух утилит логах появляются довольно часто записи:
Mar 20 18:02:29 serv flow-capture[23554]: ftpdu_seq_check(): src_ip=x.x.x.x dst_ip=0.0.0.0 d_version=5 expecting=17282 received=17462 lost=180Такое ощущение что при работе впаре flow-fanout либо порядок flow`ов меняет либо что-то в нем переполняется. Загрузка коллекторов не большая. Записи появляются в лог файлах обоих коллекторов.
Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?
>[оверквотинг удален]
>
>При работе впаре этих двух утилит логах появляются довольно часто записи:
>Mar 20 18:02:29 serv flow-capture[23554]: ftpdu_seq_check(): src_ip=x.x.x.x dst_ip=0.0.0.0 d_version=5 expecting=17282 received=17462 lost=180
>
>
>Такое ощущение что при работе впаре flow-fanout либо порядок flow`ов меняет либо
>что-то в нем переполняется. Загрузка коллекторов не большая. Записи появляются в
>лог файлах обоих коллекторов.
>
>Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?сейчас уже не помню но средствами flow-tools это можно сделать
>сейчас уже не помню но средствами flow-tools это можно сделатьвспоминай, пожалуйста! :)
>>сейчас уже не помню но средствами flow-tools это можно сделать
>
>вспоминай, пожалуйста! :)токо если после выходных сейчас времени нет :(
ps как вспомню напишу
>>>сейчас уже не помню но средствами flow-tools это можно сделать
>>
>>вспоминай, пожалуйста! :)
> токо если после выходных сейчас времени нет :(
> ps как вспомню напишуНе вспомнил? А выходные-то закончились или ещё нет?
>[оверквотинг удален]
>
>При работе впаре этих двух утилит логах появляются довольно часто записи:
>Mar 20 18:02:29 serv flow-capture[23554]: ftpdu_seq_check(): src_ip=x.x.x.x dst_ip=0.0.0.0 d_version=5 expecting=17282 received=17462 lost=180
>
>
>Такое ощущение что при работе впаре flow-fanout либо порядок flow`ов меняет либо
>что-то в нем переполняется. Загрузка коллекторов не большая. Записи появляются в
>лог файлах обоих коллекторов.
>
>Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?а маршрутизатор не умеет в 2 места слать?
Cisco точно умеет у меня сейчас так работает
>а маршрутизатор не умеет в 2 места слать?
>Cisco точно умеет у меня сейчас так работаетУмеют, но не все. Маршрутизаторов которые шлют в коллектор несколько.
>>а маршрутизатор не умеет в 2 места слать?
>>Cisco точно умеет у меня сейчас так работает
>
>Умеют, но не все. Маршрутизаторов которые шлют в коллектор несколько.временно настроил rsync, но хотелось бы обойтись средствами flow-tools
>>>а маршрутизатор не умеет в 2 места слать?
>>>Cisco точно умеет у меня сейчас так работает
>>
>>Умеют, но не все. Маршрутизаторов которые шлют в коллектор несколько.
>
>временно настроил rsync, но хотелось бы обойтись средствами flow-toolshttp://www.splintered.net/sw/flow-tools/docs/flow-fanout.html
>>>>а маршрутизатор не умеет в 2 места слать?
>>>>Cisco точно умеет у меня сейчас так работает
>>>
>>>Умеют, но не все. Маршрутизаторов которые шлют в коллектор несколько.
>>
>>временно настроил rsync, но хотелось бы обойтись средствами flow-tools
>
>http://www.splintered.net/sw/flow-tools/docs/flow-fanout.htmlспасибо, но я вообще-то через flow-fanout и делал. и когда его совместно используешь с flow-capture, то идет потеря пакетов.
>[оверквотинг удален]
>>>>>Cisco точно умеет у меня сейчас так работает
>>>>
>>>>Умеют, но не все. Маршрутизаторов которые шлют в коллектор несколько.
>>>
>>>временно настроил rsync, но хотелось бы обойтись средствами flow-tools
>>
>>http://www.splintered.net/sw/flow-tools/docs/flow-fanout.html
>
>спасибо, но я вообще-то через flow-fanout и делал. и когда его совместно
>используешь с flow-capture, то идет потеря пакетов.ковыряй настройки и сеть год без проблем работает.
мы связку даже не трогаем.
контроль полученых данных идёт netflow analayzer.
>ковыряй настройки и сеть год без проблем работает.
>мы связку даже не трогаем.
>контроль полученых данных идёт netflow analayzer.вот и я хочу в аналайзер запихнуть и в основной билинг статистики и в бэкапный.
а какие именно настройки? ОС или утилит? вроде перепробовал не мало уже(настройки утилит), но увы всеравно потери, приходится пока на rsync`е сидеть. какая у тебя версия flow-tools?
>Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?Сталкивался с этой проблемой решил ее отказавшись от flow-fanout, и перешол на samplicate.
http://www.switch.ch/network/downloads/tf-tant/samplicator/
samplicate -f -p 2001 -s IP_SOURCE -S IP_DEST1/2002 IP_DEST2/2001 IP_DEST3/9996
>>Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?
>
>Сталкивался с этой проблемой решил ее отказавшись от flow-fanout, и перешол на
>samplicate.
>http://www.switch.ch/network/downloads/tf-tant/samplicator/
>samplicate -f -p 2001 -s IP_SOURCE -S IP_DEST1/2002 IP_DEST2/2001 IP_DEST3/9996спасибо, так и сделал. пока потерь пакетов не замечаю.
>>>Может кто сталкивался с подобным? Как решили проблему с разветвлением трафика?
>>
>>Сталкивался с этой проблемой решил ее отказавшись от flow-fanout, и перешол на
>>samplicate.
>>http://www.switch.ch/network/downloads/tf-tant/samplicator/
>>samplicate -f -p 2001 -s IP_SOURCE -S IP_DEST1/2002 IP_DEST2/2001 IP_DEST3/9996
>
>спасибо, так и сделал. пока потерь пакетов не замечаю.а не подскажите как samplicate совместно с flow-capture запустить? Хочу уйти от flow-fanout из за потерь больших.