[GTER] Como saber Flow por segundo
Diogo Montagner
diogo.montagner at gmail.com
Sat Jul 21 10:55:59 -03 2012
Gustavo,
eu nao sou um expert em flows, mas eu dei uma olhada na RFC5101 e
RFC5102 e cheguei a conclusao que o seu problema pode nao estar no
equipamento que exporta e sim no servidor que recebe as informacoes
dos flows coletados. Eu nao encontrei nenhum campo nos pacotes de
ipfix que especifique o sampling rate no qual os pacotes estao sendo
coletados.
Da minha leitura da RFC, eu entendi que cada equipamento coletor pode
ser identificado com um ID unico, e com isso, eu concluo que voce deve
configurar o sampling rate para cada collector ID aonde voce estah
analisando os flows. Mesmo assim, a informacao nao serah precisa (em
termos de bytes).
[]s
./diogo -montagner
JNCIE-SP 0x660
2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
> Diego,
>
> Aproveitando seu juncie, já viu este problema dos pacotes ipfix serem
> exportados sem a informação do sampling rate?
>
> Enviado via galaxy note.
> Em 21/07/2012 08:07, "Diogo Montagner" <diogo.montagner at gmail.com> escreveu:
>
>> Pode nao ser muito acurado, mas segue um jeito de ter uma ideia:
>>
>> Primeiro execute: set cli timestamp, depois execute a sequencia de
>> comandos abaixo por 3 vezes. Para isso voce terah que ativar o
>> sampling no roteador. Se a exportacao de flows eh baseada em hardware
>> dedicado, mais agressivo voce pode ser.
>>
>>
>> diogo> show services accounting flow | match "Flows exported|Jul 21"
>> Jul 21 11:19:09
>> Flows exported: 30416439604, Flows packets exported: 1269517605
>>
>>
>> diogo> show services accounting flow | match "Flows exported|Jul 21"
>> Jul 21 11:19:14
>> Flows exported: 30416456949, Flows packets exported: 1269518332
>>
>>
>> diogo> show services accounting flow | match "Flows exported|Jul 21"
>> Jul 21 11:19:17
>> Flows exported: 30416467624, Flows packets exported: 1269518779
>>
>> Flows exported Flow packets exported
>> 11:19:09 30416439604 1269517605
>> 11:19:14 30416456949 1269518332
>> 11:19:17 30416467624 1269518779
>>
>> Total 0:00:08 28020 1174
>>
>>
>> Flows exportado por segundo: 28020 / 8 => ~ 3503 Flows/segundo
>> Pacotes de flows exportado por segundo: 1174 / 8 => ~ 147
>> PacotesDeFlow/segundo
>>
>>
>> ./diogo -montagner
>> JNCIE-SP 0x660
>>
>>
>> 2012/7/21 Gustavo Santos <gustkiller at gmail.com>:
>> > Existe alguns detalhes.
>> >
>> > 1-Você vai exportar via netflow 5 que é exportado utilizando a CPU da
>> > Routing Engine ou via IPFIX ( via hardware) ?
>> > 2- Pelas minhas pesquisas , não existe um comando específico para
>> verificar
>> > as taxas em FPS ( flows por segundo), existe apenas um comando para saber
>> > se os Flows estão sendo exportados e o Status, como segue abaixo:
>> > gustavo at BRD01> show services accounting flow inline-jflow
>> > Flow information
>> > TFEB Slot: 0
>> > Flow Packets: 2486831505, Flow Bytes: 1427892057669
>> > Active Flows: 890, Total Flows: 223321228
>> > Flows Exported: 201958106, Flow Packets Exported: 37796575
>> > Flows Inactive Timed Out: 178594835, Flows Active Timed Out: 44725503
>> >
>> > 3- A depender do sampling-rate, esta taxa pode variar muito, você
>> pretende
>> > utilizar 1:1 ou uma taxa de sampling maior?
>> >
>> > 4- Você pode limitar a quantidade de pacotes por segundo que o roteador
>> > pode enviar para o coletor de flows ( medida de segurança).
>> >
>> > 5- Instale alguma ferramenta gratuita que possa informar esta estatística
>> > como o flowtools ou netflow scrutinizer.
>> >
>> > PS: Estou com um caso no JTAC aberto em relação a Export de flows
>> > utilizando o protocolo IPFIX, que quando se utiliza sampling diferente de
>> > 1:1, a taxa de amostragem se perde e os coletores não entendem que os
>> flows
>> > estão sendo enviados por amostragem, com isto, o que deveria ser
>> 100Mbits/s
>> > de tráfego em uma interface, aparece como 10kbps...
>> >
>> > Gustavo Santos
>> > Analista de Redes
>> > CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
>> >
>> >
>> >
>> > Em 20 de julho de 2012 14:16, Henrique de Moraes Holschuh <
>> > henrique.holschuh at ima.sp.gov.br> escreveu:
>> >
>> >> On 20-07-2012 13:37, Joel Cappellesso wrote:
>> >>
>> >>> Nós estamos orçando um equipamento para monitorar a rede que suporta
>> >>> 50 mil flows por segundo vindos de até 2 roteadores. Alguém tem
>> >>> alguma dica de como eu posso descobrir o número de flows que o
>> >>> Juniper (MX80) está trafegando?
>> >>>
>> >>
>> >> Descobre os dois limites do equipamento de monitoramento de rede:
>> >> * Máximo número de fluxos simultâneos
>> >> * Máxima taxa de novos fluxos por segundo
>> >>
>> >> Tem equipamento que só processa o evento de criação do fluxo
>> >> pontualmente, e portanto não tem limite para o número de fluxos
>> >> simultâneos. Mas é bom ter isso por escrito ;-)
>> >>
>> >> Vou deixar algum especialista em Juniper responder a pergunta de como
>> >> perguntar o número de fluxos pro roteador. Em último caso, ativa
>> >> netflow no Juniper e aponta para algum coletor que gere estas
>> estatísticas.
>> >>
>> >> E lembre-se que em um ataque distribuído, o número de fluxos UDP e ICMP
>> >> (e TCP, no caso de syn-flood ou DoS de aplicação) e a taxa de criação de
>> >> fluxos por segundo normalmente vai para a estratosfera.
>> >>
>> >> --
>> >> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
>> >> IM@ - Informática de Municípios Associados
>> >> Engenharia de Telecomunicações
>> >> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>> >>
>> >> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
>> >> e do custo que você pode evitar.
>> >>
>> >> --
>> >> gter list https://eng.registro.br/**mailman/listinfo/gter<
>> https://eng.registro.br/mailman/listinfo/gter>
>> >>
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list