[GTER] RES: RES: Como conviver sem a ferramenta Torchdo RouterOS(Mikrotik)
Gustavo Santos
gustkiller at gmail.com
Mon May 28 19:59:35 -03 2012
É normal sim, depende do sampling rate que está utilizando.
Por exemplo se for 100 / 1 e o tráfego for 250mbits de up e de down, num
calculo grosseiro, você teria este tráfego de 5mbits só de flows.
Gustavo Santos
Analista de Redes
CCNA , MTCNA , MTCRE, MTCINE, JUNCIA-ER
Em 28 de maio de 2012 14:46, Rodrigo Augusto <rodrigo at 1telecom.com.br>escreveu:
> Coloquei aqui o ntop e estou fazendo uns testes nele com um dos cores...
> muito bom ele.... só uma questão: meu roteador de CORE está em uma rede e
> ele em outra.... daí tenho um tráfego neste roteador de ~250MB ..entao ele
> está me gerando um trafego para o servidor ntop de 5 MB constante... é
> normal isto!? Se aumentar o consumo de banda ele também aumentará isto?!
> Pergunto para ver se habilito na borda o netflow ou não. Ou se vou
> colocando
> de core em core......
>
>
> auth01 => 177.xxx.xxx.xxx 0b 0b 0b<= 5.02Mb 5.00Mb 4.66Mb
>
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Jorge L. Taioque - T.I LPNet
> Enviada em: segunda-feira, 28 de maio de 2012 10:24
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Como conviver sem a ferramenta Torchdo
> RouterOS(Mikrotik)
>
> Bom dia
>
> No caso se routers Juniper exite uma ferramenta baseada em TCPDUMP
> "Unix", que é uma ótima alternativa. Não sei se o Torch é baseado nessa
> ferramenta, porem é muito parecido, o conceito é o mesmo.
>
> root at router_01> monitor traffic ?
> Possible completions:
> <[Enter]> Execute this command
> absolute-sequence Display absolute TCP sequence numbers
> brief Display brief output
> count Number of packets to receive (0..1000000 packets)
> detail Display detailed output
> extensive Display extensive output
> interface Name of interface
> layer2-headers Display link-level header on each dump line
> matching Expression for headers of receive packets to match
> no-domain-names Don't display domain portion of hostnames
> no-promiscuous Don't put interface into promiscuous mode
> no-resolve Don't attempt to print addresses symbolically
> no-timestamp Don't print timestamp on each dump line
> print-ascii Display packets in ASCII when displaying in
> hexadecimal format
> print-hex Display packets in hexadecimal format
> resolve-timeout Period of time to wait for each name resolution
> (1..4294967295 seconds)
> size Amount of each packet to receive (bytes)
> | Pipe through a command
> root at router_01> monitor traffic
> root at router_01> monitor traffic interface ge-1/0/0 ?
> Possible completions:
> <[Enter]> Execute this command
> absolute-sequence Display absolute TCP sequence numbers
> brief Display brief output
> count Number of packets to receive (0..1000000 packets)
> detail Display detailed output
> extensive Display extensive output
> layer2-headers Display link-level header on each dump line
> matching Expression for headers of receive packets to match
> no-domain-names Don't display domain portion of hostnames
> no-promiscuous Don't put interface into promiscuous mode
> no-resolve Don't attempt to print addresses symbolically
> no-timestamp Don't print timestamp on each dump line
> print-ascii Display packets in ASCII when displaying in
> hexadecimal format
> print-hex Display packets in hexadecimal format
> resolve-timeout Period of time to wait for each name resolution
> (1..4294967295 seconds)
> size Amount of each packet to receive (bytes)
> | Pipe through a command
> root at router_01>
>
>
>
> > Pessoal, aproveitando o topico, onde posso obter subsídios teóricos(
> > documentação) sobre essas questões?! Benjamin, ntop, nfsen etc....
> > Uso, relatórios, como verificar ataques etc..?!
> >
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> > nome de Rubens Kuhl
> > Enviada em: domingo, 27 de maio de 2012 17:08
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Como conviver sem a ferramenta Torch do
> > RouterOS(Mikrotik)
> >
> >> Por exemplo, um cliente que está com um consumo alto, mas que não sabe o
> >> que está acontecendo, mas com a ajuda do torch, podemos em alguns
> segundos
> >> identificar origem , destino, porta, protocolo, pacotes por segundo e
> taxa
> >> daquela conexão específica.
> >>
> >> Sei que existe o famoso Netflow, mas infelizmente pelo que andei
> >> pesquisando, não existem ferramentas gratuitas e de fácil utilização. Já
> >> soluções pagam como o Plixer Scrutinizer e o famoso Arbor PeakFlow ,
> >> conseguem chegar próximo da facilidade e flexibilidade do Torch e com a
> >> vantagem de gerar relatórios. Infelizmente o preço destas soluções é bem
> >> alto e chega a ser mais caro que o próprio roteador.
> > Eu acho que você desistiu muito cedo do Netflow... como ele já é
> > exportado agregado(tipicamente), muitas vezes um "show ip cache flow"
> > num equipamento IOS já é suficiente para se chegar a mesma conclusão
> > que no Torch. Um export para console do flow-tools, idem...
> >
> > O Ntop analisando Netflow já deve dar o que você precisa, mas sugiro
> > instalar um "benjamin" no netflow e rodar diferentes ferramentas como
> > Nfsen, Flow Scan, Flow Matrix até concluir de quais você precisa
> > conforme o cenário (diagnóstico, detecção, resposta).
> >
> >
> > Rubens
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
>
>
> --
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list