Отзеркалить netflow поток на несколько коллекторов

[n0mad]

Помнится у NetUP была программка которая позволяла принятый netflow поток отправить на несколько других коллекторов. Подскажите ее имя, а так-же может кто укажет на другие подобные программы?

[Mihail Z.]

А откуда этот поток собирается?

[freebsd4.10-r]

Помнится у NetUP была программка которая позволяла принятый netflow поток отправить на несколько других коллекторов. Подскажите ее имя, а так-же может кто укажет на другие подобные программы?

чего-то я не помню такой нетаповской проги

попробуй в источнике Нетфлоу указать два адресата

[igor-itl]

Тебе поможет набор утилит flow-tools, в частности flow-fanout.

flow-fanout - Replicate NetFlow datagrams to unicast or multicast destinations. Flow-fanout is used to facilitate multiple collectors attached to a single router.

[Nick]

http://www.switch.ch/tf-tant/floma/sw/samplicator/

[n0mad]

Всем спасибо за наводки..... а на счет нетап - когда мне понадобилось реплицировать netflow - я обратился к ним и мне прислали как раз бинарник samplicator..... но видимо flow-fanout более грамотный инструмент ну и как минимум есть в стандартном репозитории Debian 4.0

Хотя с другой стороны samplicator судя по поисанию тупо множит все что получил на определенном порту и отправляет нескольким получателям оставляя в адресе источника адрес того источника от которого получил сам.

В случае использования нескольких источников - он нормально все размножит не заморачиваясь на содержимом пакетов.

flow-fanout-же судя по описанию обрабатывает более интелектуально и исходящий от него поток на определенного получателя имеет сквозной netflow sequence id, в документации для обработки netflow потоков с разных источников рекомендуют запускать несколько копий netflow-fanout - по одной копии на каждый источник.

В общем таки пока дилемма - что-же лучше использовать

[Mihail Z.]

А что будет лучше работать, то и использовать, имхо.

[n0mad]

Ну не скажи..... в flow-fanout есть одна заманчивая фича - подстановка номера AS в поток, а в UTM5 насколько я понимаю можно классифицировать трафик как раз по номеру AS который берется из потока. т.е. по идее с его помощью можно потоки входящие с разных роутеров тарифицировать по разному......

Правда еще спорный вопрос - а надо-ли это

А на счет "лучше работает" - как мне кажется они обе должны нормально работать, не такая-уж это сверхсложная задача.

[XoRe]

2n0mad:
Потоки с разных роутеров можно тарифицировать по IP этих роутеров.
Поле "IP маршрутизатора" в админке и поле ip_from в БД.
Кроме того, в настройке классов трафика есть поле "номер интерфейса".
Такие генераторы netflow, как ipcad умеют переделывать всякие fxp* в номера.

#
# NetFlow protocol exports an SNMP id instead of the interface name
# (i.e., "eth0", "ppp32"). The following statements options define
# mapping between the interface names and a set of "SNMP identifiers".
#
netflow ifclass eth mapto 0-99; # i.e., "eth1"->1, "eth3"->3
netflow ifclass fxp mapto 0-99; # i.e., "fxp4"->4, "fxp0"->0
netflow ifclass ppp mapto 100-199; # i.e., "ppp32"->532, "ppp7"->507
netflow ifclass gre mapto 200-299;
netflow ifclass tun mapto 300-399; # i.e., "tun0"->300
netflow ifclass bge mapto 400-499;

Поэтому я думаю, что с AS заморачиваться не стоит )
Оно может и в дальнейшем пригодиться.

[Cramac]

Всем привет. А никто не сталкивался с проблемами потерь в flow-fanout?