Описание задачи
Снимать статистику с интерфейсов посредством netflow и отправлять на биллинговый сервер.
Решение
На IOS 12.3 и выше ( в моем случае это был 12.4Т) по рекомендации cisco, ip flow настраивается следующим образом:
1. Включаем cef (Cisco Express Forwarding)
configure terminal
ip cef
2. описываем кол-во записей
ip flow-cache entries 40960
3. выставляем тайм ауты
ip flow-cache timeout inactive 130
ip flow-cache timeout active 20
4. указываем интерфейс
ip flow-export source INTERFACE
где INTERFACE это интерфейс с которого будет отправляться flow
5. версия
ip flow-export version 5
6. куда отправляем
ip flow-export destination IP-адрес Порт
собственно на этом «описательная» часть закончилась …
теперь настраиваем сами интерфейсы …
на физических интерфейсах обязательно включаем (fa 0/1 например):
configure terminal
interface fa 0/1
ip route-cache flow
и все больше на них ничего быть не должно (если на них нет ip-адресов)
все остальный телодвижения проделываем только на subinterfaces
включаем на сабах (fa 0/1.1 например):
configure terminal
interface fa 0/1.1
ip flow ingress
ip flow egress
ingress — для входящего трафика
egress — для исходящего трафика
Собственно все. Только заработает все выше описанное после ребута cisco.
ЗЫ: Не наступите на мои грабли и сразу продумайте откуда Вы хотите снимать статистику. В моем случае я не снимаю статистику с uplink , только с саб интерфейсов, на/через которые подключены абоненты. Иначе трафик будет считаться несколько раз.
Что можно посмотреть:
show ip cache flow — показывает записи флоу на cisco
show ip cache ver flow — тоже самое расширено
show ip flow int — показывает интерфейсы, на которых настроено флоу
show ip flow export — показывает, откуда и куда настроен экспорт флоу, сколько отправлено датаграмм и сколько ошибок
Прием netflow
Обычно биллинговый сервер идет уже в комплекте с коллектором для netflow.
Можно как вариант использовать пакет flow-tools ( для FreeBSD — в портах: net-mgmt/flow-tools ). Настройка этого пакета подробно рассмотрена на http://opennet.ru, поэтому здесь он будет описан бегло.
Для flow-tools особых настроек я не делал просто прописал стартовый скрипт типа:
/usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 0 -N 2 -w /var/netflow -S 60 localip/rempteip/port
Рассмотрим опции:
-p pid файл (можно не писать)
-n кол-во ротаций файла с флоу в день я поставил 0 чтобы за сутки был один файл (просто мне так удобнее)
-N формат имени файла с флоу, где далее указывается:
- -3 YYYY/YYYY-MM/YYYY-MM-DD/flow-file
- -2 YYYY-MM/YYYY-MM-DD/flow-file
- -1 YYYY-MM-DD/flow-file
- 0 flow-file
- 1 YYYY/flow-file
- 2 YYYY/YYYY-MM/flow-file
- 3 YYYY/YYYY-MM/YYYY-MM-DD/flow-file
я выбрал 2 (просто привычка)
-w рабочая директория, то, куда будут ложиться файлы со статистикой в выбранном ранее формате
-S этот параметр больше нужен для самоуспокоения и мониторинга. Это кол-во минут, через которое в лог файл будет сыпаться информация о принятых записях флоу. Я использую ее как мониторинг.
localip/remoteip/port — тут, я думаю, все и так понятно:
— localip — ip машины, на которой запущен коллектор flow-tools;
— remoteip — ip машины, с которой мы принимаем флоу (это может быть как cisco так и другая машина, которая отправляет флоу), в моем случае это ip cisco;
— port — порт коллектора, на котором flow-tools слушает и получает данные.
Пример с IP-адресами:
/usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 0 -N 2 -w /var/netflow -S 60 192.168.1.1/192.168.1.2/5555
В свое время у меня возникла необходимость иметь два коллектора. Flow-tools прекрасно справляется и с этой задачей: я просто запустил еще один flow-capture, но на другом порту и с другой рабочей директорией.
Посмотреть статистику можно утилитой из того же flow-tools:
/usr/local/bin/flow-cat <путь к файлу с флоу> | /usr/local/bin/flow-print
Удачи.
З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !
Автор: Green
Похожие статьи:
- Не найдено
w24-08 сказал:
Добрый день! Спасибо за статью, но есть вопросик.
26.04.2018, 16:11Мне нужно снимать статистику с 6 сабинтерфейсов и с одного физического интерфейса на Cisco 2921.
С сабами всё вроде понятно, а вот с физикой не совсем, у меня физика Gi0/1 смотрит в сторону другой Cisco 2921 но в другом городе, через этот интерфейс ходят пользователи в другую сеть. Как его в таком случае настраивать?
Нужно ли прописывать ip route-cache flow или же он должен настраиваться как обычный сабинтерфейс?
admin сказал:
Я сильно сомневаюсь, что Green ответит вам через столько лет. Прошло уже 10-ть лет с момента размещения статьи.
27.04.2018, 07:50Скорее всего на физическом надо дать только ip route-cache flow, а остальное на нужных сабах.
w24-08 сказал:
Ок, понял, спасибо.
27.04.2018, 12:50Что то на дату публикации не обратил внимания.