[GTER] Como saber Flow por segundo

Diogo Montagner diogo.montagner at gmail.com
Sat Jul 21 00:30:04 -03 2012


Pode nao ser muito acurado, mas segue um jeito de ter uma ideia:

Primeiro execute: set cli timestamp, depois execute a sequencia de
comandos abaixo por 3 vezes. Para isso voce terah que ativar o
sampling no roteador. Se a exportacao de flows eh baseada em hardware
dedicado, mais agressivo voce pode ser.


diogo> show services accounting flow | match "Flows exported|Jul 21"
Jul 21 11:19:09
    Flows exported: 30416439604, Flows packets exported: 1269517605


diogo> show services accounting flow | match "Flows exported|Jul 21"
Jul 21 11:19:14
    Flows exported: 30416456949, Flows packets exported: 1269518332


diogo> show services accounting flow | match "Flows exported|Jul 21"
Jul 21 11:19:17
    Flows exported: 30416467624, Flows packets exported: 1269518779
				
			Flows exported	Flow packets exported
		11:19:09	30416439604	1269517605
		11:19:14	30416456949	1269518332
		11:19:17	30416467624	1269518779
				
	Total	0:00:08	28020	1174


Flows exportado por segundo: 28020 / 8 => ~ 3503 Flows/segundo
Pacotes de flows exportado por segundo: 1174 / 8 => ~ 147 PacotesDeFlow/segundo


./diogo -montagner
JNCIE-SP 0x660


2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
> Existe alguns detalhes.
>
> 1-Você vai exportar via netflow 5  que é exportado utilizando a CPU da
> Routing Engine ou via IPFIX ( via hardware) ?
> 2- Pelas minhas pesquisas , não existe um comando específico para verificar
> as taxas em FPS ( flows por segundo), existe apenas um comando para saber
> se os Flows estão sendo exportados e o Status, como segue abaixo:
> gustavo at BRD01> show services accounting flow inline-jflow
>   Flow information
>     TFEB Slot: 0
>     Flow Packets: 2486831505, Flow Bytes: 1427892057669
>     Active Flows: 890, Total Flows: 223321228
>     Flows Exported: 201958106, Flow Packets Exported: 37796575
>     Flows Inactive Timed Out: 178594835, Flows Active Timed Out: 44725503
>
> 3- A depender do sampling-rate, esta taxa pode variar muito, você pretende
> utilizar 1:1 ou uma taxa de sampling maior?
>
> 4- Você pode limitar a quantidade de pacotes por segundo que o roteador
> pode enviar para o coletor de flows ( medida de segurança).
>
> 5- Instale alguma ferramenta gratuita que possa informar esta estatística
> como o flowtools ou netflow scrutinizer.
>
> PS: Estou com um caso no JTAC aberto em relação a Export de flows
> utilizando o protocolo IPFIX, que quando se utiliza sampling diferente de
> 1:1, a taxa de amostragem se perde e os coletores não entendem que os flows
> estão sendo enviados por amostragem, com isto, o que deveria ser 100Mbits/s
> de tráfego em uma interface, aparece como 10kbps...
>
> Gustavo Santos
> Analista de Redes
> CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
>
>
>
> Em 20 de julho de 2012 14:16, Henrique de Moraes Holschuh <
> henrique.holschuh at ima.sp.gov.br> escreveu:
>
>> On 20-07-2012 13:37, Joel Cappellesso wrote:
>>
>>> Nós estamos orçando um equipamento para monitorar a rede que suporta
>>> 50 mil flows por segundo vindos de até 2 roteadores. Alguém tem
>>> alguma dica de como eu posso descobrir o número de flows que o
>>> Juniper (MX80) está trafegando?
>>>
>>
>> Descobre os dois limites do equipamento de monitoramento de rede:
>>   * Máximo número de fluxos simultâneos
>>   * Máxima taxa de novos fluxos por segundo
>>
>> Tem equipamento que só processa o evento de criação do fluxo
>> pontualmente, e portanto não tem limite para o número de fluxos
>> simultâneos.  Mas é bom ter isso por escrito ;-)
>>
>> Vou deixar algum especialista em Juniper responder a pergunta de como
>> perguntar o número de fluxos pro roteador.  Em último caso, ativa
>> netflow no Juniper e aponta para algum coletor que gere estas estatísticas.
>>
>> E lembre-se que em um ataque distribuído, o número de fluxos UDP e ICMP
>> (e TCP, no caso de syn-flood ou DoS de aplicação) e a taxa de criação de
>> fluxos por segundo normalmente vai para a estratosfera.
>>
>> --
>> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
>> IM@ - Informática de Municípios Associados
>> Engenharia de Telecomunicações
>> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>>
>> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
>> e do custo que você pode evitar.
>>
>> --
>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list