Первые впечатления от нетфлоу модуля и вопросы.
1. Если не задан файл prefix_table в конфиге, то через некоторое время oops молча падает. 2. В экспортированых данных поля srcport и dstport = 0, это так нужно? Т.е. через нетфлоу не совсем видно качал ли клиент по http или например ftp. 3. С целью резервирования данных у нас стоит экспорт в несколько коллекторов на разных серверах. Циска умеет сливать в несколько коллекторов, а как научить этому oops? 4. Можно ли задавать периодичность сброса данных? Т.е. например чтобы он не сливал на каждый хит и мисс, а держал в буфере и потом уже отправлял? Или так и сделано, только таймауты жестко прошиты? С уважением, Сергей. ----- Original Message ----- From: "Igor Khasilev" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, October 23, 2003 5:14 PM Subject: Re: [OOPS] Re: [OOPS] Re: [OOPS] Re: [OOPS] пробшый шар на тему 1.5.23 > On Thu, 23 Oct 2003, Sergei Golod wrote: > > > > написано по просьбе :) > > > > > > > > > > > Вопрос к Игорю: туда будет отправляться весь трафик? Включая TCP_HIT, > > > > TCP_MEM_HIT, TCP_DENIED? (названия взяты от сквида, но я думаю вопрос > > > > понят). > > > > > > Да. Весь. Честно говоря, я пока не получил отзывов о реальной работе этого > > > модуля, он тестирован на стенде, поэтому нужно с ним быть повнимательнее. > > > > Посмотрим. А пока еще вопросы: > > 1. Будет ли в дальнейшем возможность исключать например уже кэшированый > > трафик? Т.е. экспортировать только TCP_MISS или задаваемые самостоятельно > > типы. > > в принципе сделать несложно - вся необходимая информация в модуль попадает. > > > 2. Какие именно адреса подставляются в поле src и другие поля? Адрес прокси > > src - адрес откуда взят документ(peer/http-server), dst - адрес клиента. аналогично ASN. > > > сервера и соответсвенно порт прокси? Или адрес и порт откуда пришел ответ на > > запрос клиента? Т.е. как будет отличаться например одна запись в нетфлоу, > > если клиент пошел через прокси или пошел напрямую на один и тот же хост? > > Отличаться будет, конечно. но не полями src,dst,src_as,dst_as. > Не учитывается траффик от клиента. > > > Если клиент идет напрямую, то информация которую сольет рутер ясна - > > srcaddr:srcport - dstaddr:dstport. Как можно будет отличить записи в > > нетфлоу, которые сделал oops от записей сделанных другими > > flow-collector-ами. > > Ну как минимум по ip-адресу экспортера :) > > На самом деле - еще по полям в header-e пакета, но учитывают ли их > flow-коллекторы - не знаю. Я пользуюсь cflow - не нашел отражения полей > > 20 engine_type Type of flow-switching engine > 21 engine_id Slot number of the flow-switching engine > > в его дампе. > > еще - все snmp-индексы равны нулю, и вообще - всё, что не определено - > обнулено. > > > > > С уважением, Сергей. > > > > p.s. И все-таки это очень красиво! :))) Я полез в списки рассылки squid и > > пока не нашел аналогичной вещи. > > > > > > ===================================================================== > > If you would like to unsubscribe from this list send message to > > [EMAIL PROTECTED] with "unsubscribe oops" in message body. > > Archive is accessible on http://lists.paco.net/oops-rus/ > > > > Igor Khasilev | > PACO Links, igor at paco dot net | > > ===================================================================== > If you would like to unsubscribe from this list send message to > [EMAIL PROTECTED] with "unsubscribe oops" in message body. > Archive is accessible on http://lists.paco.net/oops-rus/ > ===================================================================== If you would like to unsubscribe from this list send message to [EMAIL PROTECTED] with "unsubscribe oops" in message body. Archive is accessible on http://lists.paco.net/oops-rus/
