Разибить локальный трафик.

Rewop · Сообщение **Rewop** » Сб июл 30, 2005 23:52

Задача следующая: необходимо считать не только трафик интернет (входящий и исходящий), но и локальный трафик.
Например, имеется сеть 10.0.0.0/8 которая поделена на множество подсетей по 16 адресов. Необходимо подсчитать трафик, который исходит от каждого адреса в сеть и наоборот, соответственно исходящий локальный и входящий локальный.
Собираться трафик будет не в одном месте... после чего будет отправляться на сервер по порту 9996/udp (пока так и не выяснил может ли утм принимать netflow поток из множества источников).

Если бы классификация трафика выглядела более универсально, например, from <UIP> <port> <etc> to <SUBNET> <port> <etc> и from <SUBNET> <port> <etc> to <UIP> <port> <etc> (где UIP выделенная пользователю подсеть либо определённый адрес), то вопросов бы не возникло. Но в утм можно классифицировать трафик только по подсетям, что ставит в тупик в данном случае...

Может я что-то где просмотрел ?

spec · Сообщение **spec** » Вс июл 31, 2005 00:19

1. UTM может принимать несколько NetFlow-потоков из разных источников.
2. классифицировать трафик можно по любым признакам, информация о которых присутствует в netflow-записи.
это может быть как подсеть источника/получателя так и другие критерии, такие как:
порт маршрутизатора, протокол, TCP-флаги, TCP- и UDP- порты, автономные системы.

Т.е., ваша задача полностью реализуема средствами UTM 5.0

Rewop · Сообщение **Rewop** » Вс июл 31, 2005 02:14

Пример.
есть 2 пользователя - 10.0.4.12 и 10.0.8.45. Они расположены в разных подсетях, между ними 2 считающих роутера. Netflow передаст на сервер UTM 2 раза примерно одинаковую таблицу взаимодействия адресов пользователя 1 и пользователя 2.
Как обработать данные ?

spec · Сообщение **spec** » Вс июл 31, 2005 21:07

Нужно настроить роутеры так, чтобы не происходило дублирования информации о трафике.
Cisco делает это по умолчанию, так как считается только входящий в интерфейс трафик.
В ndsad есть гибкая система фильтров.

gravis · Сообщение **gravis** » Пн авг 01, 2005 06:40

Используйте FreeBSD и ng_netflow. Почти полная аналогия с циско.

Для подсчета _любого_ трафика нужно настроить сбор входящего трафика на "внешнем" интерфейсе, который смотрит в инет и на всех "абонентских" интерфейсах, после которых больше нет маршрутизаторов. Это исключает дублирование и гарантирует подсчет всего локального и внешнего трафика.

2 NetUp: Полезно было бы внести это в FAQ. Т.к. для FreeBSD это пожалуй самый оптимальный и надежный метод сбора статистики.