Подсчет трафика с помощью netflow между vlan

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-13 10:31:00

Добрый день!

Есть сервер с FreeBSD 8.2 c 2-мя сетевыми интерфейсами igb0 и igb1, на первом (igb0) затерминированы пользователи в vlan 1 - vlan N (около 250), на втором (igb1) затерминированы 2 аплинка (vlan 1000, vlan 2000).
Шейпинг построен на связке ipfw + dummynet c использованием таблиц.

Сети из первого аплинка vlan 1000 приезжают по BGP, во втором vlan 2000 находится default gateway.

Хочется снимать статистику сколько трафика с каждого из пользовательских vlan уехало в vlan 2000 для построения графиков.

Можно ли реализовать это с помощью ng_netflow? Как это можно сделать (хоть в общих чертах т.к. только изучаю netflow)?
Есть ли альтернативный вариант подсчета?
Soft like sex, it's better when free

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2011-10-13 12:55:11

только изучаю netflow
вас никто не ограничивает, изучайте дальше

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-13 12:58:45

Гость писал(а):
только изучаю netflow
вас никто не ограничивает, изучайте дальше
"Вы такие умные, Вам череп не жмет?" (с) кто-то
Soft like sex, it's better when free

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение lap » 2011-10-13 13:28:57

Конкретно про нг_нетфлоу не скажу, но в фловсе теоретически указывается входящий-исходящий интерфейс, которые можно использовать для определения направления куда ушли пакетики. Далее эти цыферки можно попробовать подсунуть какойнибудь МРТГе в ее формате...
Не сломалось - не чини.

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-13 14:56:09

Судя по структуре netflow пакета 5-й версии

0-3, srcaddr, Source IP address
4-7, dstaddr, Destination IP address
8-11, nexthop, IP address of next hop router
12-13, input, SNMP index of input interface
14-15, output, SNMP index of output interface
16-19, dPkts, Packets in the flow
20-23, dOctets, Total number of Layer 3 bytes in the packets of the flow
24-27, First, SysUptime at start of flow
28-31, Last, SysUptime at the time the last packet of the flow was received
32-33, srcport, TCP/UDP source port number or equivalent
34-35, dstport, TCP/UDP destination port number or equivalent
36, pad1, Unused (zero) bytes
37, tcp_flags, Cumulative OR of TCP flags
38, prot, IP protocol type - например TCP=6, UDP=17
39, tos, IP type of service (ToS)
40-41, src_as, Autonomous system number of the source, either origin or peer
42-43, dst_as, Autonomous system number of the destination, either origin or peer
44, src_mask, Source address prefix mask bits
45, dst_mask, Destination address prefix mask bits
46-47, pad2, Unused (zero) bytes

там присутствуют интересующие

12-13, input, SNMP index of input interface
14-15, output, SNMP index of output interface

Как можно отфильтровать данные на основании значений входящего и исходящего интерфейсов?
Soft like sex, it's better when free

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение lap » 2011-10-13 17:21:19

Выясни сначала есть-ли они в собранных тобой фловсах.

насчет фильтров - если пришло из внешнего и ушло к клиенту - входящий трафик, наоборот - исходящий. если у тебя засветился влан 1000, то пришло/ушло через первый канал. влан2000 - через второй.
Не сломалось - не чини.

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2011-10-13 17:39:08

allan_sundry писал(а):
Гость писал(а):
только изучаю netflow
вас никто не ограничивает, изучайте дальше
"Вы такие умные, Вам череп не жмет?" (с) кто-то
а вы такой глупый что даже отвечать вам не хочется (с) я
вы бы правильно вопрос свой гуглу сформилировали и он бы вам сразу подсказал
что нетфлов вам не нужен
man snmpd

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение lap » 2011-10-13 17:49:34

Гость писал(а): вы бы правильно вопрос свой гуглу сформилировали и он бы вам сразу подсказал
что нетфлов вам не нужен
man snmpd
я так понимаю что он по каждому юзеру хочет знать сколько куда уходит... а про то что такое можно только с помощью снмп сделать, мне слышать не доводилось.
Не сломалось - не чини.

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-13 18:13:52

Гость писал(а):
allan_sundry писал(а):
Гость писал(а):
только изучаю netflow
вас никто не ограничивает, изучайте дальше
"Вы такие умные, Вам череп не жмет?" (с) кто-то
а вы такой глупый что даже отвечать вам не хочется (с) я
вы бы правильно вопрос свой гуглу сформилировали и он бы вам сразу подсказал
что нетфлов вам не нужен
man snmpd
И как глубокоуважаемый гуру снимет snmp трафик в разрезе с какого интерфейса он вышел и в какой зашел? А также трафик в разрезе подсетей?

P.S. В очередной раз поражаюсь интеллекту людей кричащих "Читайте man" при этом не имеющих понятия о чем в нем написано! :-D
Soft like sex, it's better when free

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2011-10-13 20:23:16

что значит в какой вышел и в какой зашел?
вы уважаемый юноша озвучте более нормально вашу ТЗ
потому что? то что скармливается MRTG хватает с банальных snmp счетчиков на интерфейсах, будть то физика будьто vlan
в крайнем случае даже счетчиков с ipfw хватает

так что вы если не знаете что вы хотите считать
учите дальше как там работает netflow.. удачи

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-14 9:11:17

Гость писал(а):что значит в какой вышел и в какой зашел?
вы уважаемый юноша озвучте более нормально вашу ТЗ
потому что? то что скармливается MRTG хватает с банальных snmp счетчиков на интерфейсах, будть то физика будьто vlan
в крайнем случае даже счетчиков с ipfw хватает

так что вы если не знаете что вы хотите считать
учите дальше как там работает netflow.. удачи
Вы читать умеете? Или настолько глупы что отвечаете не прочитав тему?

Повторюсь: интересует сколько трафика из каждого клиентского vlan уехало в конкретный аплинк.
В ipfw клиенты заведены в виде таблиц с последующим динамическим шейпингом на 2 аплинка, а не в виде статических правил.

Может глубокоуважаемый гуру знает как привязать счетчики к динамическому шейпингу или снять snmp статискину сколько каждый клиент отправил трафика в каждый аплинк, или снова только треплетесь?
Вы же говорили что счетчиков ipfw и snmp достаточно :ROFL:
Soft like sex, it's better when free

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2011-10-14 12:22:47

вы глупы не подетски
кто такой клиенсткий аплинк?
кто его принимает? транк какогото умного свича который умеет snmp?
может вы будете думать прежде чем жевать?

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение hizel » 2011-10-14 12:29:07

ng_netflow -> flow-сapture(flow-tools)
для flow-capture сгенерируйте из тех же табличек файл тэгов(какой ip откуда пришел, куда ушел) и выбирайте статистику по тэгам, будет вполне быстро

индексы интерфейсов в ng_netflow есть но они скорее всего никак не пересекаются с snmp, snmp работает для роутеров из каропке типа сиско
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-14 12:30:04

Гость писал(а):вы глупы не подетски
кто такой клиенсткий аплинк?
кто его принимает? транк какогото умного свича который умеет snmp?
может вы будете думать прежде чем жевать?
Да Вы дурачек или троль! Читайте по слогам "из каждого клиентского vlan уехало в конкретный аплинк" написано в моем посте и в Вашем "клиентский аплинк". Не чувствуете разницы - клинический случай.

P.S. Зарегистрироваться на форуме не осилили? Гость-онанимус
Soft like sex, it's better when free

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2011-10-14 14:06:28

кто такой конкретный аплинк? вы в технологии vlan вообще разбираетесь? как они в транк упаковываются, как они разворачиваются итп
где и куда развернулась противоположная точка vlan ? там где она развернулась там и почитайте прошедший траффик

мейби вы вообще полный баран, и vlan здесь не причем
а конкретный аплинк имеется ввиду банальная sort | unique по какому то хосту, я угадал? тогда к чему были притянуты зауши vlan-ы?

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-14 14:10:15

Гость писал(а):кто такой конкретный аплинк? вы в технологии vlan вообще разбираетесь? как они в транк упаковываются, как они разворачиваются итп
где и куда развернулась противоположная точка vlan ? там где она развернулась там и почитайте прошедший траффик

мейби вы вообще полный баран, и vlan здесь не причем
а конкретный аплинк имеется ввиду банальная sort | unique по какому то хосту, я угадал? тогда к чему были притянуты зауши vlan-ы?
Научись читать и думать в первом посте все написано
Soft like sex, it's better when free

Аватара пользователя
allan_sundry
мл. сержант
Сообщения: 98
Зарегистрирован: 2009-02-16 15:30:01

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение allan_sundry » 2011-10-14 15:18:05

hizel писал(а):ng_netflow -> flow-сapture(flow-tools)
для flow-capture сгенерируйте из тех же табличек файл тэгов(какой ip откуда пришел, куда ушел) и выбирайте статистику по тэгам, будет вполне быстро

индексы интерфейсов в ng_netflow есть но они скорее всего никак не пересекаются с snmp, snmp работает для роутеров из каропке типа сиско
Спасибо! Наверное так и сделаю
Soft like sex, it's better when free

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-10 9:19:08

Нехочу плодить темы, напишу сдесь.
У меня нету биллинга, но очень хочу понять и разобраться и сделать свою считалку трафика.
У меня как и создателя темы есть куча вланов, все подняты на freebsd9.2x64 шлюхе, из каждого влана могут подключиться к mpd серверу и выйти в мир.
Хотелось бы считать (чем лучше и проще и надежнее?) трафик из ng* (vpn сессия) для каждого пользователя, с детальной статистикой.
Спрашивал парней которые со мной работают, они развернули биллниг и не парились особо, биллинг сам все делает, но сказали что Netflow дать может детальную статистику, а счетчик в ipfw, даст только количество пакетов и мегабайт для каждого отдельного правила ( пример -> у меня для пользователя 1 есть правило которое включается когда он подымает сессию, и каждые 5 минут Ipfw будет снимать статистику с этого правила и ложить в нейкий файл под именем пользователя) - бред.
Хочу открыть веб браузер, ввести логин пароль админский, открыть статистику пользователя и более менее глянуть куда же он потратил свои мегабайты на какие сайты( я в курсе что есть squid и им тоже буду пользоваться), но вот именно считалка трафика нужна.
Я прочитал про netflow пару (1-5) статей, на вики статья про то что есть сенсор (генерирует трафик для коллектора, но непонятно он копирует проходящий трафик через указываемый интерфейс и порт или как?)
Есть некий коллектор, который собирает потом этот трафик с сенсора, по указанному тому же интерфейсу и порту, и который кладет (допустим раз в 5 минут) все логи с сенсора в файлики.
Есть анализатор - программа которая может ЧИТАТЬ данные коллектора.
я ничего не упустил?
Ах да, "как люди идут в мир?" спросите вы, через поднятую, там же на шлюзе, vpn сессию, то есть mpd подымает vpn, и через нее выпускает другие vpnв мир.
По логике мне ведь надо собирать трафик с той главной vpn? (ng0)
Я и сенсор на нее настроил и коллектор настроил на данный интерфейс и порт. Верно?
Файлы пока не сыпаться но думаю это из-за настроек ipfw, я еще не разрешил там слушать или что-то делать по порту для netflow.

конфиг Ipfw.

Код: Выделить всё

#Sbros vseh pravil
${ipfw} flush
${ipfw} pipe flush
${ipfw} queue flush

#Razreshaem vse po local intface
${ipfw} add 10 allow all from any to any via lo0
${ipfw} add 11 deny all from any to 127.0.0.0/8
${ipfw} add 12 deny all from 127.0.0.0/8 to any

#Ping
${ipfw} add 210 allow icmp from any to me icmptypes 0,3,5,8

#Podkluchenie SSH & VPN 1723(vpn) 22(ssh)
${ipfw} add 250 allow gre from any to any
${ipfw} add 250 allow all from me to any keep-state
${ipfw} add 250 allow all from ${worknet} to 172.17.15.252 22,80,1723,5006,8080,10000 keep-state
${ipfw} add 250 allow all from ${vlan20} to me 1723,22,161,23 keep-state

#bibl
${ipfw} add 250 allow all from 192.168.168.1 to me keep-state
${ipfw} add 250 allow all from me to 192.168.168.1 keep-state
${ipfw} add 250 divert natd all from 192.168.10.16 to any out via vlan168 keep-state
${ipfw} add 250 allow all from 192.168.10.16 to any out via vlan168 keep-state


${ipfw} add 250 allow all from ${vlan200} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan201} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan202} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan204} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan205} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan206} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan207} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan208} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan209} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan210} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan211} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan212} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan213} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan214} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan215} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan216} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan217} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan218} to me 1723,22 keep-state
${ipfw} add 250 allow all from ${vlan219} to me 1723,22 keep-state

${ipfw} add 260 allow all from 192.168.10.0/23 to me keep-state
${ipfw} add 260 allow all from 192.168.10.0/23 to ${worknet} keep-state
${ipfw} add 260 allow all from 192.168.10.0/23 to ${vlan20} keep-state
${ipfw} add 260 allow all from 192.168.10.0/23 to 172.16.0.0/23 via ng* keep-state
${ipfw} add 260 allow all from 192.168.10.0/23 to 192.168.100.0/23 via ng* keep-state
${ipfw} add 260 allow all from 192.168.10.13/32 to any via ng* keep-state
${ipfw} add 260 allow all from 192.168.10.12/32 to any via ng* keep-state
${ipfw} add 260 allow all from 192.168.10.14/32 to any via ng* keep-state 
${ipfw} add 260 allow all from 192.168.10.15/32 to any via ng* keep-state

#from usernet to 172.17.12.17 vpn
${ipfw} add 260 allow all from 172.20.1.251/32 to 172.17.12.0/22  keep-state
${ipfw} add 260 allow all from 172.20.4.251/32 to 172.17.12.17/32 1723 keep-state

${ipfw} add 260 deny all from any to 192.168.10.0/23 via ng*
${ipfw} add 260 allow all from any to any 8818
${ipfw} add 270 deny all from any to any via ng*

#logs
${ipfw} add 500 deny log all from any to any

#netflow
${ipfw} add 14000 netgraph 20 all from any to any via ng*
${ipfw} add 14001 netgraph 20 all from any to any via xl*

#Vsem VSE
#${ipfw} add 65000 allow all from any to any

#NATip
/sbin/ipnat -CF -f /etc/ipnat.rules
параметр нетфлоу верно указан или не с тех интерфейсов данные беру?
:bn:

Гость
проходил мимо

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение Гость » 2014-12-10 12:03:31

Нехочу плодить темы, напишу сдесь.
wrong
freebsd9.2x64 шлюхе
всё так

Далее, tl;dr, mpd умеет отдавать netflow.

И да
Хотелось бы считать (чем лучше и проще и надежнее?) трафик из ng* (vpn сессия) для каждого пользователя,
ppp сессионные, mpd дает кол-во потребленных ресурсов во время сессии и в конце отдает расклад по сессии, man radius и опять же man mpd
netflow-ом считают тогда когда radius не тащит и для надзирающих органов

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-10 17:30:33

Гость писал(а): Далее, tl;dr, mpd умеет отдавать netflow.
точно нету ошибки в словах?
Гость писал(а): ppp сессионные, mpd дает кол-во потребленных ресурсов во время сессии и в конце отдает расклад по сессии, man radius и опять же man mpd
netflow-ом считают тогда когда radius не тащит и для надзирающих органов
То есть надо поднять радиус чтобы верно считать трафик сессий? Я вообще думал с Радиусом не заморачиваться и не ставить его.
Как mpd отдаст расклад мне? - с помощью радиуса который будет следить за сессией?
http://vadim.zvoznikov.by/2012/06/freebsd-mpd5-conf/ - пойдет как man mpd5?

И еще что значит нетфлоу нужен когда радиус не тащит и когда надзирающий орган? (из-за того что нетфлоу дает детальную стату?)
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-10 17:38:38

Еще дурацкий вопрос - (не посылайте на гугл), как во всей этой каше, которую я написал выше, используется ngctl, и используется ли он вообще? ... для чего он вообще нужен?
И еще, я видимо до этого не дошел, но как мне потом делить трафик на пользователей которые у меня подымают сессии на Mpd?
Типа весь трафик который был на ng0 я, допустим, посчитаю и дальше как и чем делить его? =)
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-10 18:26:10

вообще было бы охиренно, если бы кто-то на пальцах объяснил как ведет себя пакет, типа начинает он свой путь запросом от юзера, потом через ipfw,в мир, потом обратно через определенное правило и вот тут ...... radius,netflow,Mpd+netflow,flowcapture,softflowd, fprobe? что куда, как и почему.. я бы вообще памятник вам поставил (конечно нет,просто к слову)
:bn:


Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-11 12:22:19

ok
:bn:

Аватара пользователя
k0ma
сержант
Сообщения: 217
Зарегистрирован: 2010-12-07 8:13:09
Откуда: Глубоко в Сибири

Re: Подсчет трафика с помощью netflow между vlan

Непрочитанное сообщение k0ma » 2014-12-14 17:48:37

вопрос вот какой.
в ipfw прописано правило

Код: Выделить всё

${ipfw} add 14000 netgraph 20 all from any to any via ng* 
данное правило уже считает трафик? если да то это правило работает как сенсор или как коллектор? и как указать in и out ?

чуть выше я писал что пытался считать трафик через сенсор softflowd и коллектор flowcapture.
То есть там можно и так (скрипты писать softflowd+flowcapture) , а можно просто в правилах фаервола написать пару правил и будет одно и тоже? В чем разница?
:bn: