Разделение NetFlow-потоков

Материал из BiTel WiKi

(Различия между версиями)
Перейти к: навигация, поиск
 
(4 промежуточные версии не показаны)
Строка 3: Строка 3:
либо для предоставления детализации трафика VPN пользователя.  
либо для предоставления детализации трафика VPN пользователя.  
-
Данную задачу можно решить утилитой <b>flow-fanout</b> из пакета <b>flow-tools</b>.
+
== Решение с помощью samplicate  ==
-
Стать написана на основании ответа <b>snark</b> в форуме:
+
'''upd''': Мой личный опыт показывает, что flow-fanout работает нестабильно. В частности, теряет потоки. Вместо него я использую [http://switch.ch/network/downloads/tf-tant/samplicator/ UDP Samplicator].
-
http://forum.bgbilling.ru/viewtopic.php?t=906
+
--[[Участник:Boco|boco]]
 +
 
 +
Также хорошие отзывы есть тут: http://opennet.ru/openforum/vsluhforumID6/15822.html
 +
 
 +
Формат запуска:
 +
<pre>
 +
samplicate -f -p 2001 -s IP_SOURCE -S IP_DEST1/2002 IP_DEST2/2001 IP_DEST3/9996
 +
</pre>
 +
 
 +
<!--
 +
Я обязательно перепишу эту статью выложив сюда описание проблемы (циска не может отправлять netflow более чем на 2 IP адреса) и скрипты под flow-fanout и samplicator
 +
С ув. Бочкарев Павел aka snark
 +
-->
 +
 
 +
== Решение с помощью flow-fanout  ==
 +
 
 +
Данную задачу можно решить утилитой [http://www.splintered.net/sw/flow-tools/docs/flow-fanout.html flow-fanout] из пакета [http://www.splintered.net/sw/flow-tools/ flow-tools].
 +
 
 +
Статья написана на основании [http://bgbilling.ru/forum/viewtopic.php?t=906#5375 ответа] <b>snark</b> в форуме:
Читаем man:
Читаем man:
<pre>
<pre>
-
man flow-fanout писал(а):
 
DESCRIPTION
DESCRIPTION
-
The flow-fanout utility will replicate flows arriving on localip/remoteip/port to destination(s) specified by localip/remoteip/port.
+
The flow-fanout utility will replicate flows arriving on localip/remoteip/port to
 +
destination(s) specified by localip/remoteip/port.
 +
 
 +
Flows processed by multiple exporters will be mixed into a single output stream.
 +
This functionality appeared to support Cisco Catalyst exports and may have other
 +
uses.
-
Flows processed by multiple exporters will be mixed into a single output stream. This functionality appeared to support Cisco Catalyst exports and may have other uses.
 
-
man flow-fanout писал(а):
 
EXAMPLES
EXAMPLES
-
Replicate flows arriving to local IP address 10.0.0.1 from the router exporting with IP address 10.1.1.1 on port 9500 to localhost port 9500 and 10.5.5.5 port 9200. The exports sent to 10.5.5.5 will be sent with a source IP address of 10.0.0.5 which must be a valid local IP address.
+
Replicate flows arriving to local IP address 10.0.0.1 from the router exporting
 +
with IP address 10.1.1.1 on port 9500 to localhost port 9500 and 10.5.5.5 port 9200.
 +
The exports sent to 10.5.5.5 will be sent with a source IP address of 10.0.0.5 which
 +
must be a valid local IP address.
flow-fanout 10.0.0.1/10.1.1.1/9500 0/0/9500 10.0.0.5/10.5.5.5/9200
flow-fanout 10.0.0.1/10.1.1.1/9500 0/0/9500 10.0.0.5/10.5.5.5/9200
Строка 27: Строка 50:
NAS с IP 192.168.0.1 шлет netflow поток на BGB c IP 192.168.0.254 на порт 6996, коллектор dialup слушает на порту 2001, а коллектор ipn на порту 2004 ... если flow-fanout запущен на сервере BGB то необходимо запустить flow-fanout примерно так:
NAS с IP 192.168.0.1 шлет netflow поток на BGB c IP 192.168.0.254 на порт 6996, коллектор dialup слушает на порту 2001, а коллектор ipn на порту 2004 ... если flow-fanout запущен на сервере BGB то необходимо запустить flow-fanout примерно так:
-
<source lang="bash">
+
<pre>
flow-fanout 192.168.0.254/192.168.0.1/6996 0/0/2001 0/0/2004
flow-fanout 192.168.0.254/192.168.0.1/6996 0/0/2001 0/0/2004
-
</source>
+
</pre>
т.е. пакеты полученные BGB с NAS-а будут продублированы на коллекторы dialup и ipn, на адрес localhost-а.
т.е. пакеты полученные BGB с NAS-а будут продублированы на коллекторы dialup и ipn, на адрес localhost-а.

Текущая версия на 06:34, 22 февраля 2011

Довольно часто возникает ситуация, когда единственный NetFlow поток с роутера необходимо перенаправить на IPN коллектор и BGRadiusDialUp. Например, если на данном устройстве предоставляются сразу VPN сервис и фиксированные подключения, либо для предоставления детализации трафика VPN пользователя.

Решение с помощью samplicate

upd: Мой личный опыт показывает, что flow-fanout работает нестабильно. В частности, теряет потоки. Вместо него я использую UDP Samplicator. --boco

Также хорошие отзывы есть тут: http://opennet.ru/openforum/vsluhforumID6/15822.html

Формат запуска:

samplicate -f -p 2001 -s IP_SOURCE -S IP_DEST1/2002 IP_DEST2/2001 IP_DEST3/9996 


Решение с помощью flow-fanout

Данную задачу можно решить утилитой flow-fanout из пакета flow-tools.

Статья написана на основании ответа snark в форуме:

Читаем man:

DESCRIPTION

The flow-fanout utility will replicate flows arriving on localip/remoteip/port to
destination(s) specified by localip/remoteip/port.

Flows processed by multiple exporters will be mixed into a single output stream.
This functionality appeared to support Cisco Catalyst exports and may have other
uses.

EXAMPLES

Replicate flows arriving to local IP address 10.0.0.1 from the router exporting
with IP address 10.1.1.1 on port 9500 to localhost port 9500 and 10.5.5.5 port 9200.
The exports sent to 10.5.5.5 will be sent with a source IP address of 10.0.0.5 which
must be a valid local IP address.

flow-fanout 10.0.0.1/10.1.1.1/9500 0/0/9500 10.0.0.5/10.5.5.5/9200

и понимаем что это именно то что Вам нужно! если проще на примере, то ... NAS с IP 192.168.0.1 шлет netflow поток на BGB c IP 192.168.0.254 на порт 6996, коллектор dialup слушает на порту 2001, а коллектор ipn на порту 2004 ... если flow-fanout запущен на сервере BGB то необходимо запустить flow-fanout примерно так:

flow-fanout 192.168.0.254/192.168.0.1/6996 0/0/2001 0/0/2004

т.е. пакеты полученные BGB с NAS-а будут продублированы на коллекторы dialup и ipn, на адрес localhost-а.

Личные инструменты