Добрый день!
Недавно была замечена проблема - для больших объемов трафика (порядка 3-4 терабайт в месяц) не определяется IP адрес получателя. Вот так вот примерно
0 unknown Incoming (10) 136901.4317111969 0.0 0.0 0.0.0.0
0 unknown Outgoing (20) 54655.235924720764 0.0 0.0 0.0.0.0
где 0 -id аккаунта, unknown -логин, 0.0.0.0 - ip получателя. Подскажите, в чем проблема? Это косяк netflow (у нас суммарная скорость до 150 мегабит доходит, этот трафик идет через два роутера, которые отдают статистику по netflow)? Или же здесь пахнет багом биллинга?
Неопределен IP в отчете
-
plaguekriz
- Сообщения: 64
- Зарегистрирован: Пн июн 15, 2009 15:28
-
plaguekriz
- Сообщения: 64
- Зарегистрирован: Пн июн 15, 2009 15:28
Вот например incoming.
0.0.0.0 0.0.0.0 172.23.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 123.456.78.0 255.255.252.0 0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.200.0 255.255.255.0 0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.40.0 255.255.255.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.37.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.49.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.52.0.0 255.255.0.0 0 0.0.0.0
где 0.0.0.0 0.0.0.0 - ip и маска источника, 172.23.0.0 255.255.0.0 - ip и маска сети нашей.
0.0.0.0 0.0.0.0 172.23.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 123.456.78.0 255.255.252.0 0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.200.0 255.255.255.0 0 0.0.0.0
0.0.0.0 0.0.0.0 192.168.40.0 255.255.255.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.37.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.49.0.0 255.255.0.0 0 0.0.0.0
0.0.0.0 0.0.0.0 172.52.0.0 255.255.0.0 0 0.0.0.0
где 0.0.0.0 0.0.0.0 - ip и маска источника, 172.23.0.0 255.255.0.0 - ip и маска сети нашей.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
-
plaguekriz
- Сообщения: 64
- Зарегистрирован: Пн июн 15, 2009 15:28
-
andrew.rbe
- Сообщения: 36
- Зарегистрирован: Ср фев 10, 2010 14:05
С netflow может быть такой косяк - передается не весь траф и считается меньше чем есть. Еще если порт флоу-коллектора (ядро utm-ма) открыт для всех то кто то мог и сгенерить вам такой объем с любыми ип источника - получателя.plaguekriz писал(а):три терабайта космического излучения?))Шеф не поверит) Может ли это быть косяк netflow? Я где-то читал, что он плохо работает с большими потоками (какими большими не уточнялось). Есть ли такие косяки, есть считать статистику через радиус?
-
plaguekriz
- Сообщения: 64
- Зарегистрирован: Пн июн 15, 2009 15:28
Сделайте детализацию, и посмотрите, что за трафик прошёл нулевым (например, через grep -E "[0123456789]{9} 0 ").
В старых версиях адреса временами пропадали из какой-то внутренней таблицы и шли нулевым аккаунтом. Кто-то из нетапа тут в форуме даже обещал, что при высланном логе предоставят исправленную версию, правда найти что-то в логе на десятки гигабайт проблематично, так что миримся с этим, проверяем и исправляем такие связки ручками.
В старых версиях адреса временами пропадали из какой-то внутренней таблицы и шли нулевым аккаунтом. Кто-то из нетапа тут в форуме даже обещал, что при высланном логе предоставят исправленную версию, правда найти что-то в логе на десятки гигабайт проблематично, так что миримся с этим, проверяем и исправляем такие связки ручками.
-
andrew.rbe
- Сообщения: 36
- Зарегистрирован: Ср фев 10, 2010 14:05
-
plaguekriz
- Сообщения: 64
- Зарегистрирован: Пн июн 15, 2009 15:28