Есть такая проблемка.
flow-capture находится на линуксе. в его логах вижу очень много записей:
Jul 1 11:23:57 nf01 flow-capture[24474]: ftpdu_seq_check(): src_ip=10.10.4.106 dst_ip=10.10.4.111 d_version=5 expecting=86900734 received=5773853 lost=4213840414
Jul 1 11:23:57 nf01 flow-capture[24474]: ftpdu_seq_check(): src_ip=10.10.4.106 dst_ip=10.10.4.111 d_version=5 expecting=5773883 received=3778755 lost=4292972167
Jul 1 11:23:57 nf01 flow-capture[24474]: ftpdu_seq_check(): src_ip=10.10.4.106 dst_ip=10.10.4.111 d_version=5 expecting=3778785 received=11285223 lost=7506438
Jul 1 11:23:57 nf01 flow-capture[24474]: ftpdu_seq_check(): src_ip=10.10.4.106 dst_ip=10.10.4.111 d_version=5 expecting=11285283 received=6726884 lost=4290408896
Jul 1 11:23:57 nf01 flow-capture[24474]: ftpdu_seq_check(): src_ip=10.10.4.106 dst_ip=10.10.4.111 d_version=5 expecting=6726914 received=6956486 lost=229572
ng_netflow задан так:
mkpeer vlan36: netflow lower iface0
name vlan36:lower br0in
connect br0in: vlan36: iface1 upper
connect br0in: br0in: out0 out1
mkpeer br0in: ksocket export inet/dgram/udp
name br0in:export ks_br0in
msg ks_br0in: connect inet/10.10.4.111:9000
mkpeer vlan44: netflow lower iface2
name vlan44:lower br0out
connect br0out: vlan44: iface3 upper
connect br0out: br0out: out2 out3
mkpeer br0out: ksocket export inet/dgram/udp
name br0out:export ks_br0out
msg ks_br0out: connect inet/10.10.4.111:9000
подозреваю что сообщения в логах из за нескольких одновременных ksocket на flow-capture. как можно обойти данную ситуацию?
можно както создать один ksocket и в него уже законнектить несколько ng_netflow ?
www.unix.org.ua
ng_netflow + flow-capture
Moderator: sva
4 posts • Page 1 of 1
Re: ng_netflow + flow-capture
by Alexander Motin on Wed Jul 14, 2010 10:39 am
Ты создаеш по отдельному экземпляру ng_netflow и ng_ksocket на каждый интерфейс. Принимающий flow-capture видимо достаточно глуп чтобы не
понять что к нему идет два потока netflow с разных портов одного IP. Все что тебе нужно - вместо создания нового ng_netflow для второго и
последующих интерфейсов подключаться к уже существующему.
Если я правильно понял что ты так сложно тут накрутил - в этом вероятно нет нужды. Современный ng_netflow способен генерировать netflow для
трафика в обоих направлениях без подобных выкрутасов. Достаточно его для этого сконфигурировать командой "setconfig". Заодно ты можеш избежать
двойного подсчета включив там еще одну опцию.
понять что к нему идет два потока netflow с разных портов одного IP. Все что тебе нужно - вместо создания нового ng_netflow для второго и
последующих интерфейсов подключаться к уже существующему.
Если я правильно понял что ты так сложно тут накрутил - в этом вероятно нет нужды. Современный ng_netflow способен генерировать netflow для
трафика в обоих направлениях без подобных выкрутасов. Достаточно его для этого сконфигурировать командой "setconfig". Заодно ты можеш избежать
двойного подсчета включив там еще одну опцию.
- Alexander Motin
Re: ng_netflow + flow-capture
by Denis Ognewsky on Wed Jul 14, 2010 10:40 am
да ладно бы входящий и исходящий. у меня интерфейсов много, так что эффект опять повторится.
или их тоже в один ng_netflow можно завернуть ?
был бы премногоблагодаерн за примерчик
или их тоже в один ng_netflow можно завернуть ?
был бы премногоблагодаерн за примерчик
- Denis Ognewsky
Re: ng_netflow + flow-capture
by Mykola Dzham on Wed Jul 14, 2010 10:40 am
Дык в man ng_netflow второй же пример.
- Mykola Dzham
4 posts • Page 1 of 1
Who is online
Users browsing this forum: No registered users and 9 guests