Возможно ли на mirror port подсчитывать трафик по IP.

0

1

Возможно ли на mirror port подсчитывать трафик по IP. Есть ли способы или это невозможно? Какие варианты предложили бы. Схема следующая упрощенная: dlink firewall 210 ---> sw des 3200 ----> пользователи.

Ссылка

←	Проброс IP-адреса клиента на nginx через haproxy

Centos 7 mysql ошибка libsasl2.so.2

→

Netflow.

nfsen(nfdump) - collector + ipt_netflow - sensor

ELK - collector + ipt_netflow - sensor

zyxar
(31.01.18 17:37:05 MSK)

dlink firewall 210

можно пакеты считать

anonymous
(31.01.18 17:47:35 MSK)

Ссылка

Ответ на: комментарий от zyxar 31.01.18 17:37:05 MSK

Вопрос: Nfsen - это NetFlow Sensor, Web-фронтенд для nfdump. Зачем использовать ipt_netflow.

tooncheg
(01.02.18 16:23:35 MSK) автор топика

Ответ на: комментарий от tooncheg 01.02.18 16:23:35 MSK

Nfsen/nfdump - коллектор и анализатор в одном флаконе.

Определения что такое сенсор, коллектор, анализатор есть на вики: https://ru.wikipedia.org/wiki/Netflow

ipt_netflow - это сенсор который будет получать статистику из зеркалируемого трафика и отдавать ее в формате Netflow коллектору в случае с nfsen/nfdump - это будет демон nfcapd принимающий данные в формате Netflow.

zyxar
(01.02.18 17:14:23 MSK)

Ответ на: комментарий от zyxar 01.02.18 17:14:23 MSK

Заминка вышла с ipt_netflow. Установил softflowd У меня есть недопонимание. Подскажите: Сбор статистики начался. В nfsen пытаюсь статистику вывести входящие потоки . Запускаю на одной из машин закачку. Жду, фильтрую результаты, но вижу, что величина закаченного не соответствует результатам отображения в nfsen. Фактически скачал 1Г а фильтр выдает 50М. вот так выглядит фильтр:

nfdump -M /data/nfsen/profiles-data/live/netall -T -R 2018/02/06/nfcapd.201802061815:2018/02/07/nfcapd.201802071645 -n 10 -s dstip/bytes 'dst net 10.10.10.0/24'

Почему не верно выводит?

tooncheg
(07.02.18 17:15:21 MSK) автор топика

Ответ на: комментарий от tooncheg 07.02.18 17:15:21 MSK

Ты tcpdump-ом не пробовал смотреть ?

А на счетчик пакетов/байтов на правиле с ipt_netflow смотрел ?

Получить отмирроренный поток в iptables не совсем просто.

Там либо через бридж, либо через адский enable-promisc.

vel ★★★★★
(07.02.18 21:13:55 MSK)

Ответ на: комментарий от vel 07.02.18 21:13:55 MSK

В конец запутался. Я могу это осуществить средствами softflowd? Зачем мне нужны правила iptables? tcpdump видит пакеты которые зеркалируются на порту свича. Помогите разобраться

tooncheg
(08.02.18 10:44:45 MSK) автор топика

Ответ на: комментарий от tooncheg 08.02.18 10:44:45 MSK

по поводу iptables это особенность работы ipt_netflow - понятно.

tooncheg
(08.02.18 11:10:41 MSK) автор топика

Ссылка

Ответ на: комментарий от tooncheg 07.02.18 17:15:21 MSK

Фактически скачал 1Г а фильтр выдает 50М

Посмотрите внимательнее в nfdump. Попробуйте небольшие фловы. softflowd экспортирует не сразу (я как-то видел удивительное - запись экспортировалась через несколько часов), может быть ему нужно покрутить параметры

Deleted
(08.02.18 12:06:41 MSK)

Ответ на: комментарий от Deleted 08.02.18 12:06:41 MSK

Можете ответите зачем мне включать enable-promisc? Как я понимаю средства softlowd или fprobe могут ловить все что мимо проходит, т.е. фактически работают в неразборчивом режиме.

tooncheg
(08.02.18 12:50:31 MSK) автор топика

Ответ на: комментарий от tooncheg 08.02.18 12:50:31 MSK

Если tcpdump ловит нужный трафик, теоретически и softflowd должен ловить. Они используют один и тот же механизм захвата

Deleted
(08.02.18 14:05:39 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проброс IP-адреса клиента на nginx через haproxy

Admin

Centos 7 mysql ошибка libsasl2.so.2

→

Похожие темы