[GTER] Como saber Flow por segundo

Gustavo Santos gustkiller at gmail.com
Fri Jul 20 17:08:36 -03 2012 

Existe alguns detalhes.

1-Você vai exportar via netflow 5  que é exportado utilizando a CPU da
Routing Engine ou via IPFIX ( via hardware) ?
2- Pelas minhas pesquisas , não existe um comando específico para verificar
as taxas em FPS ( flows por segundo), existe apenas um comando para saber
se os Flows estão sendo exportados e o Status, como segue abaixo:
gustavo at BRD01> show services accounting flow inline-jflow
  Flow information
    TFEB Slot: 0
    Flow Packets: 2486831505, Flow Bytes: 1427892057669
    Active Flows: 890, Total Flows: 223321228
    Flows Exported: 201958106, Flow Packets Exported: 37796575
    Flows Inactive Timed Out: 178594835, Flows Active Timed Out: 44725503

3- A depender do sampling-rate, esta taxa pode variar muito, você pretende
utilizar 1:1 ou uma taxa de sampling maior?

4- Você pode limitar a quantidade de pacotes por segundo que o roteador
pode enviar para o coletor de flows ( medida de segurança).

5- Instale alguma ferramenta gratuita que possa informar esta estatística
como o flowtools ou netflow scrutinizer.

PS: Estou com um caso no JTAC aberto em relação a Export de flows
utilizando o protocolo IPFIX, que quando se utiliza sampling diferente de
1:1, a taxa de amostragem se perde e os coletores não entendem que os flows
estão sendo enviados por amostragem, com isto, o que deveria ser 100Mbits/s
de tráfego em uma interface, aparece como 10kbps...

Gustavo Santos
Analista de Redes
CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER



Em 20 de julho de 2012 14:16, Henrique de Moraes Holschuh <
henrique.holschuh at ima.sp.gov.br> escreveu:

> On 20-07-2012 13:37, Joel Cappellesso wrote:
>
>> Nós estamos orçando um equipamento para monitorar a rede que suporta
>> 50 mil flows por segundo vindos de até 2 roteadores. Alguém tem
>> alguma dica de como eu posso descobrir o número de flows que o
>> Juniper (MX80) está trafegando?
>>
>
> Descobre os dois limites do equipamento de monitoramento de rede:
>   * Máximo número de fluxos simultâneos
>   * Máxima taxa de novos fluxos por segundo
>
> Tem equipamento que só processa o evento de criação do fluxo
> pontualmente, e portanto não tem limite para o número de fluxos
> simultâneos.  Mas é bom ter isso por escrito ;-)
>
> Vou deixar algum especialista em Juniper responder a pergunta de como
> perguntar o número de fluxos pro roteador.  Em último caso, ativa
> netflow no Juniper e aponta para algum coletor que gere estas estatísticas.
>
> E lembre-se que em um ataque distribuído, o número de fluxos UDP e ICMP
> (e TCP, no caso de syn-flood ou DoS de aplicação) e a taxa de criação de
> fluxos por segundo normalmente vai para a estratosfera.
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
>
> --
> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>

More information about the gter mailing list