[GTER] Como saber Flow por segundo

Gustavo Santos gustkiller at gmail.com
Sat Jul 21 08:15:08 -03 2012 

Diego,

Aproveitando seu juncie, já viu este problema dos pacotes ipfix serem
exportados sem a informação do sampling rate?

Enviado via galaxy note.
Em 21/07/2012 08:07, "Diogo Montagner" <diogo.montagner at gmail.com> escreveu:

> Pode nao ser muito acurado, mas segue um jeito de ter uma ideia:
>
> Primeiro execute: set cli timestamp, depois execute a sequencia de
> comandos abaixo por 3 vezes. Para isso voce terah que ativar o
> sampling no roteador. Se a exportacao de flows eh baseada em hardware
> dedicado, mais agressivo voce pode ser.
>
>
> diogo> show services accounting flow | match "Flows exported|Jul 21"
> Jul 21 11:19:09
>     Flows exported: 30416439604, Flows packets exported: 1269517605
>
>
> diogo> show services accounting flow | match "Flows exported|Jul 21"
> Jul 21 11:19:14
>     Flows exported: 30416456949, Flows packets exported: 1269518332
>
>
> diogo> show services accounting flow | match "Flows exported|Jul 21"
> Jul 21 11:19:17
>     Flows exported: 30416467624, Flows packets exported: 1269518779
>
>                         Flows exported  Flow packets exported
>                 11:19:09        30416439604     1269517605
>                 11:19:14        30416456949     1269518332
>                 11:19:17        30416467624     1269518779
>
>         Total   0:00:08 28020   1174
>
>
> Flows exportado por segundo: 28020 / 8 => ~ 3503 Flows/segundo
> Pacotes de flows exportado por segundo: 1174 / 8 => ~ 147
> PacotesDeFlow/segundo
>
>
> ./diogo -montagner
> JNCIE-SP 0x660
>
>
> 2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
> > Existe alguns detalhes.
> >
> > 1-Você vai exportar via netflow 5  que é exportado utilizando a CPU da
> > Routing Engine ou via IPFIX ( via hardware) ?
> > 2- Pelas minhas pesquisas , não existe um comando específico para
> verificar
> > as taxas em FPS ( flows por segundo), existe apenas um comando para saber
> > se os Flows estão sendo exportados e o Status, como segue abaixo:
> > gustavo at BRD01> show services accounting flow inline-jflow
> >   Flow information
> >     TFEB Slot: 0
> >     Flow Packets: 2486831505, Flow Bytes: 1427892057669
> >     Active Flows: 890, Total Flows: 223321228
> >     Flows Exported: 201958106, Flow Packets Exported: 37796575
> >     Flows Inactive Timed Out: 178594835, Flows Active Timed Out: 44725503
> >
> > 3- A depender do sampling-rate, esta taxa pode variar muito, você
> pretende
> > utilizar 1:1 ou uma taxa de sampling maior?
> >
> > 4- Você pode limitar a quantidade de pacotes por segundo que o roteador
> > pode enviar para o coletor de flows ( medida de segurança).
> >
> > 5- Instale alguma ferramenta gratuita que possa informar esta estatística
> > como o flowtools ou netflow scrutinizer.
> >
> > PS: Estou com um caso no JTAC aberto em relação a Export de flows
> > utilizando o protocolo IPFIX, que quando se utiliza sampling diferente de
> > 1:1, a taxa de amostragem se perde e os coletores não entendem que os
> flows
> > estão sendo enviados por amostragem, com isto, o que deveria ser
> 100Mbits/s
> > de tráfego em uma interface, aparece como 10kbps...
> >
> > Gustavo Santos
> > Analista de Redes
> > CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
> >
> >
> >
> > Em 20 de julho de 2012 14:16, Henrique de Moraes Holschuh <
> > henrique.holschuh at ima.sp.gov.br> escreveu:
> >
> >> On 20-07-2012 13:37, Joel Cappellesso wrote:
> >>
> >>> Nós estamos orçando um equipamento para monitorar a rede que suporta
> >>> 50 mil flows por segundo vindos de até 2 roteadores. Alguém tem
> >>> alguma dica de como eu posso descobrir o número de flows que o
> >>> Juniper (MX80) está trafegando?
> >>>
> >>
> >> Descobre os dois limites do equipamento de monitoramento de rede:
> >>   * Máximo número de fluxos simultâneos
> >>   * Máxima taxa de novos fluxos por segundo
> >>
> >> Tem equipamento que só processa o evento de criação do fluxo
> >> pontualmente, e portanto não tem limite para o número de fluxos
> >> simultâneos.  Mas é bom ter isso por escrito ;-)
> >>
> >> Vou deixar algum especialista em Juniper responder a pergunta de como
> >> perguntar o número de fluxos pro roteador.  Em último caso, ativa
> >> netflow no Juniper e aponta para algum coletor que gere estas
> estatísticas.
> >>
> >> E lembre-se que em um ataque distribuído, o número de fluxos UDP e ICMP
> >> (e TCP, no caso de syn-flood ou DoS de aplicação) e a taxa de criação de
> >> fluxos por segundo normalmente vai para a estratosfera.
> >>
> >> --
> >> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> >> IM@ - Informática de Municípios Associados
> >> Engenharia de Telecomunicações
> >> TEL +55-19-3755-6555/CEL +55-19-9293-9464
> >>
> >> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> >> e do custo que você pode evitar.
> >>
> >> --
> >> gter list    https://eng.registro.br/**mailman/listinfo/gter<
> https://eng.registro.br/mailman/listinfo/gter>
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list