[GTER] RES: RES: Como conviver sem a ferramenta Torchdo RouterOS(Mikrotik)
Rodrigo Augusto
rodrigo at 1telecom.com.br
Mon May 28 14:46:49 -03 2012
Coloquei aqui o ntop e estou fazendo uns testes nele com um dos cores...
muito bom ele.... só uma questão: meu roteador de CORE está em uma rede e
ele em outra.... daí tenho um tráfego neste roteador de ~250MB ..entao ele
está me gerando um trafego para o servidor ntop de 5 MB constante... é
normal isto!? Se aumentar o consumo de banda ele também aumentará isto?!
Pergunto para ver se habilito na borda o netflow ou não. Ou se vou colocando
de core em core......
auth01 => 177.xxx.xxx.xxx 0b 0b 0b<= 5.02Mb 5.00Mb 4.66Mb
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Jorge L. Taioque - T.I LPNet
Enviada em: segunda-feira, 28 de maio de 2012 10:24
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Como conviver sem a ferramenta Torchdo
RouterOS(Mikrotik)
Bom dia
No caso se routers Juniper exite uma ferramenta baseada em TCPDUMP
"Unix", que é uma ótima alternativa. Não sei se o Torch é baseado nessa
ferramenta, porem é muito parecido, o conceito é o mesmo.
root at router_01> monitor traffic ?
Possible completions:
<[Enter]> Execute this command
absolute-sequence Display absolute TCP sequence numbers
brief Display brief output
count Number of packets to receive (0..1000000 packets)
detail Display detailed output
extensive Display extensive output
interface Name of interface
layer2-headers Display link-level header on each dump line
matching Expression for headers of receive packets to match
no-domain-names Don't display domain portion of hostnames
no-promiscuous Don't put interface into promiscuous mode
no-resolve Don't attempt to print addresses symbolically
no-timestamp Don't print timestamp on each dump line
print-ascii Display packets in ASCII when displaying in
hexadecimal format
print-hex Display packets in hexadecimal format
resolve-timeout Period of time to wait for each name resolution
(1..4294967295 seconds)
size Amount of each packet to receive (bytes)
| Pipe through a command
root at router_01> monitor traffic
root at router_01> monitor traffic interface ge-1/0/0 ?
Possible completions:
<[Enter]> Execute this command
absolute-sequence Display absolute TCP sequence numbers
brief Display brief output
count Number of packets to receive (0..1000000 packets)
detail Display detailed output
extensive Display extensive output
layer2-headers Display link-level header on each dump line
matching Expression for headers of receive packets to match
no-domain-names Don't display domain portion of hostnames
no-promiscuous Don't put interface into promiscuous mode
no-resolve Don't attempt to print addresses symbolically
no-timestamp Don't print timestamp on each dump line
print-ascii Display packets in ASCII when displaying in
hexadecimal format
print-hex Display packets in hexadecimal format
resolve-timeout Period of time to wait for each name resolution
(1..4294967295 seconds)
size Amount of each packet to receive (bytes)
| Pipe through a command
root at router_01>
> Pessoal, aproveitando o topico, onde posso obter subsídios teóricos(
> documentação) sobre essas questões?! Benjamin, ntop, nfsen etc....
> Uso, relatórios, como verificar ataques etc..?!
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Rubens Kuhl
> Enviada em: domingo, 27 de maio de 2012 17:08
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Como conviver sem a ferramenta Torch do
> RouterOS(Mikrotik)
>
>> Por exemplo, um cliente que está com um consumo alto, mas que não sabe o
>> que está acontecendo, mas com a ajuda do torch, podemos em alguns
segundos
>> identificar origem , destino, porta, protocolo, pacotes por segundo e
taxa
>> daquela conexão específica.
>>
>> Sei que existe o famoso Netflow, mas infelizmente pelo que andei
>> pesquisando, não existem ferramentas gratuitas e de fácil utilização. Já
>> soluções pagam como o Plixer Scrutinizer e o famoso Arbor PeakFlow ,
>> conseguem chegar próximo da facilidade e flexibilidade do Torch e com a
>> vantagem de gerar relatórios. Infelizmente o preço destas soluções é bem
>> alto e chega a ser mais caro que o próprio roteador.
> Eu acho que você desistiu muito cedo do Netflow... como ele já é
> exportado agregado(tipicamente), muitas vezes um "show ip cache flow"
> num equipamento IOS já é suficiente para se chegar a mesma conclusão
> que no Torch. Um export para console do flow-tools, idem...
>
> O Ntop analisando Netflow já deve dar o que você precisa, mas sugiro
> instalar um "benjamin" no netflow e rodar diferentes ferramentas como
> Nfsen, Flow Scan, Flow Matrix até concluir de quais você precisa
> conforme o cenário (diagnóstico, detecção, resposta).
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
--
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list