cisco + utm пользователь уходит в минус

Vladimir_A

доброго времени суток
имеется связка Router Cisco 2851 + UTM5, на циске нат.
трафик с циски посылается по netflow.
бывает такое что если пользователь подхватил вирус и просто что то качает баланс уходит в минус.
пробовали сами скачать файл предварительно добавив в биллинг пару рублей. в итоге пока файл полностью не скачается utm не посылает команду на циску на отключение ( т.к. сказать сессия пока не закроется.

подскажите плиз у кого такое бывало, как побороть это?
p.s. traffic_agregation_interval = 30

bear · Сообщение **bear** » Пн фев 16, 2009 16:34

так как билинг не реального времени(такие билинги стоят нереально много денег и стоят у тру ОПСОСов типа МТС/Билайн/Мегафон и т.п.)
боюсь что никак, пока флоу пакет не пришел, билинг не знает, что пора гасить абона
вариант только уменьшать время отдачи флоу, но это грузит оборудование

JAO · Сообщение **JAO** » Пн фев 16, 2009 17:26

А биллинг реального времени знает, когда гасить? Откуда он это знает? У него есть способность заглянуть в будущее? Не оттуда ли знает, что его так же по-черному грузят? Пока данные со счетчиков не придут к нему, ничего он знать не будет ни в реальном времени, ни без него.

Oleg_121

Все дело в том что циска шлет данные по ОКОНЧАНИЮ сессии ! И именить это ИМХО никак нельзя. Именно поэтому мы отказались от их использования. Очень хотелось бы услышать мнение что я ошибаюсь!

MiO · Сообщение **MiO** » Пн фев 16, 2009 23:18

Oleg_121 а чем заменили циски если не секрет?

bear · Сообщение **bear** » Вт фев 17, 2009 09:12

JAO писал(а):А биллинг реального времени знает, когда гасить? Откуда он это знает? У него есть способность заглянуть в будущее? Не оттуда ли знает, что его так же по-черному грузят? Пока данные со счетчиков не придут к нему, ничего он знать не будет ни в реальном времени, ни без него.

имеется в виду, что данные приходят каждую секунду, а не по завершении пакета/ссесии

mikkey finn

ошибаешься. У цисок есть настройка таймаутов активного и неактивного потока. Нетфлоу шлется по таймауту.

JAO · Сообщение **JAO** » Вт фев 17, 2009 11:31

Есть у них это, есть. Если очень хочется приближенного к реальному, проставьте 30 секунд таймауты. У меня не дожидается конца сессии, оборвал да и делу конец. Минусы конечно при этом есть, но не великие.

Vladimir_A

mikkey finn писал(а):ошибаешься. У цисок есть настройка таймаутов активного и неактивного потока. Нетфлоу шлется по таймауту.

может подскажешь чего в циску надо прописать?

JAO · Сообщение **JAO** » Вт фев 17, 2009 11:49

Пробуйте это:

Код: Выделить всё

ip flow-cache timeout active 1
ip flow-cache timeout inactive 1

Число - это минуты, циска секунды не ставит, во всяком случае у меня. Чем меньше это число, тем сильнее поток netflow. Поэтому играть этими вещами надо осторожно

Vladimir_A

JAO писал(а):Пробуйте это:
Код: Выделить всё
ip flow-cache timeout active 1
ip flow-cache timeout inactive 1
Число - это минуты, циска секунды не ставит, во всяком случае у меня. Чем меньше это число, тем сильнее поток netflow. Поэтому играть этими вещами надо осторожно

Спасибо, заработало

JAO · Сообщение **JAO** » Вт фев 17, 2009 16:44

Гут.

anhes · Сообщение **anhes** » Чт апр 09, 2009 13:39

постойте!!! а я не понял ))
еще раз, речь шла о том, что циска пошлет UTM-у stop, только при окончании сессии, иницированным пользователем.
разве

Код: Выделить всё

ip flow-cache timeout active 1 
ip flow-cache timeout inactive 1

что -то изменит, если сессия рабочая и закачка все ще висит?

bear · Сообщение **bear** » Чт апр 09, 2009 14:12

если обсчет стоит по флоу, то циска будет отправлять флоу пакеты через определенный промежуток времени указанный в конфиге циски, тогда будет обсчет будет идти почти в реальном времени
если настроенно что обсчет идет по стоп пакету, то циска будет отправлять билингу отчет об сессии только в конце сессии

anhes · Сообщение **anhes** » Чт апр 09, 2009 14:23

ну да, по "стоп пакету" - конец сессии.
по нетфлоу -сам трафик.
а значит есть варианты по отдельности)) либо так, либо по-другому?
просветите плз, кажется туплю...