NetFlow(Traffic flow)

[CANOPA]

Zdravim,
chtel bych se zeptat, jestil nekdo nezkousel pouzit Mikrotik k netflow?
Ze to funguje bez problemu v rezimu router, nebo pruchozi bridge vim..jsem zkousel a funguje dobre. Zajimala by me varianta, kdyz na cisco switchi namirroruju port, pripojim do ethernetu MK ...a na tom chci provadet netflow. Zatim se mi to nepodarilo rozchodit. Kdyz na tom rozhrani, pripojenem k switchi, dam TORCH ..provoz vidim, ale v traffic flow nic videt neni . Resil jste nekdo tento problem?Povedlo se to nekomu rozchodit, pokud to pres MK neprochazi?Predem moc dekuju za postrehy.
P.

[jnovak]

Otázce moc nerozumím. Ty chceš sbirat netflow na MK? Co jsem pochopil je, že nakonfiguruješ span port na Cisco switchi a k tomu připojíš MK. Ale proč tak? Netflow na MK funguje jako Netflow colectror. Na sbírání dat musíš použít nějakou Netflow aplikaci.

[CANOPA]

Diky za reakci.

Popisu tedy podrobneji, aby se to dalo lepe pochopit

Zjednodusene:-)


INTERNET
I
NAT
I I----------------------------MK---------------LINUX
I I
I---CISCO SWITCH----I
I I
I I
ROUTER ROUTER2
I I
I-------------------------I
I
MOJE SIT

Slovem: zakaznici -> routery -> cisco switch -> nat-router -> internet

vzhledem k tomu ze jde o velky datovy prutok(nekolik stovek Mbps)provoz nelze sbirat uz primo na routerech. Chteli jsme proto vyuzit mirror port na ciscu do nej zapojit MK ktery by provoz zanalyzoval a poslal do Linuxu, ktery by nam zacal "kreslit".Vim ze by to slo sbirat i na linuxu samotnem, ale chteli jsme vyuzit tu funkci, kdyz je v MK implementovana. Jeste doplnim ...ze kdyz na rozhrani pripojenem do cisca pustim TORCH, tak tam zrcadleny provoz vidim(tzn. ze promiskuitni rezim portu funguje), ale i pres to mi traffic flow nic nesbira..a nic nevidi.vypada to, ze to provoz se analyzuje pouze pres data ktera routerem protekaji skrz ...ale pokud je vidi jen na jednom portu tak s nima nic nedela. Nesetkal jste se s tim nekdo?Predem dekuji za kazdy poznatek.
Diky, P.

[CANOPA]

se ten obrazek pokazil..

INTERNET
I
I
NAT
I
I
CISCO SWITCH -->MK--->LINUX
I
ROUTER
I
ZAKAZNICI

[hapi]

tohle je pěkná kravina, buď nech posílat data z hlavního MK routeru na linux nebo připoj linux na mirror port a tam data zbírej přímo. Zbírat data z mirroru MKčkem a pak to stejně posílat na linux je zhovadilost. Takže si koukej do linuxu narvat další ethernet a zbírat to přímo a nevymejšlej.

[CANOPA]

Tedy děkuju, to je rada ke konfiguraci traffic-flow jak noha:-) Jinak tak jak pises to delat nemuzu..protoze tech paternich routeru mame po siti vic.. a stroj ktery chcem aby data shromazdoval je jen jeden. Reseni je, misto MKtiku tam dat nejak alix s linuxem..ale mne slo o to vyuzit MK, kdyz to umi. Odpoved typu "udelej to jinak" ...mi neprijde jako odpoved na to proc to na MK nejde, kdyz to ma jit. O to mi jde,chapes?Kdybych to slo takhle lehce naklikat, bude to lepsi.Diky za radu.

[reset]

tak proc to neposilas rovnout s masiny ROUTER nebo NAT ?

[hapi]

měl by sis rozmyslet co vlastně chceš. Máš dvě možnosti. Buď posílat net-flow přímo z routerů na linux, což nechápu proč nemůžeš když kolektor dat nic z cpu nesežere a přenos dat po síti k linuxu je minimální. A nebo prostě ke každýmu routeru dát switch s mirrorem a ke každýmu extra linux nebo linux s více ethernety pokud jsou routery u sebe.

Trochu nechápu jak člověk co má několik routerů s velkym průtokem dat, si nedokáže poradit s takovouhle věcí a nedokáže si to navrhnout a dělá kolem toho takovýhle kraviny. Bejt tebou tak nechám posílat MKčka net-flow na centrální linux. Nevidim v tom háček ani při průchodu několik stovek mbitů.

[CANOPA]

diky za prispevek;-)
jenom že ty routery nejsou MK ale Linux ...ale skrz nas rtsoft co nam na tom bezi to delat na tech routerech nemuzeme. Cisco swtiche ktere sou bezprostredne u tech routeru, 3750tky netflow neumi. Dalsi switch/router cisco 7604 to sice umi ale kvuli zatezi systemu to tam delat nechceme. Jako levna a jednoducha alternativa nas napadl RB450G ktery by se mohl pichnout do mirroru na te 3750ce. Nejde o to ze to nedokazeme vyresit jinak..to samozrejme ano. Jen jsem myslel ze kdyz to MK umi, bude to levne a efektivni reseni.Nechci tu rozvijet diskuzi jak to udelat jinak a lip...spis rozchodit k funkci traffic-flow na MK.
Tak se zeptam jeste jednou ...jde nejak prosim nastavit traffic-flow na MK tak aby analyzoval provoz z mirrorovaneho portu cisco switche? Jak jsem jiz psal...v torch na rozhrani ten provoz vidim.
Predem diky PS

[KoZLiCeK]

diky za prispevek;-)
jenom že ty routery nejsou MK ale Linux ...ale skrz nas rtsoft co nam na tom bezi to delat na tech routerech nemuzeme. Cisco swtiche ktere sou bezprostredne u tech routeru, 3750tky netflow neumi. Dalsi switch/router cisco 7604 to sice umi ale kvuli zatezi systemu to tam delat nechceme. Jako levna a jednoducha alternativa nas napadl RB450G ktery by se mohl pichnout do mirroru na te 3750ce. Nejde o to ze to nedokazeme vyresit jinak..to samozrejme ano. Jen jsem myslel ze kdyz to MK umi, bude to levne a efektivni reseni.Nechci tu rozvijet diskuzi jak to udelat jinak a lip...spis rozchodit k funkci traffic-flow na MK.
Tak se zeptam jeste jednou ...jde nejak prosim nastavit traffic-flow na MK tak aby analyzoval provoz z mirrorovaneho portu cisco switche? Jak jsem jiz psal...v torch na rozhrani ten provoz vidim.
Predem diky PS

Pokud ti provoz jede pres linux routery,tak netflow data sbirej primo znich.Proc to delat slozite kdyz to jednoduse,ze?Nekde tady na foru byl pekny postup JAK NA TO.

[CANOPA]

no diky za radu, ale jak jsem jiz psal ..na linux routerech to delat nemuzem kvuli nasemu informacnimu systemu a nasemu rtsoftu. Jak jsem psal...vim ze jsou jine zpusoby jak to resit, me ale zajima proc to nefunguje na MKtiku, kdyz to fungovat ma?!Diky.

[skrebon]

no diky za radu, ale jak jsem jiz psal ..na linux routerech to delat nemuzem kvuli nasemu informacnimu systemu a nasemu rtsoftu. Jak jsem psal...vim ze jsou jine zpusoby jak to resit, me ale zajima proc to nefunguje na MKtiku, kdyz to fungovat ma?!Diky.

Na MK to fungovať nebude...

Na MK je NetFlow resp. Traffic-Flow exportér. NetFlow exportér analyzuje prechádzajúce pakety. Ty potrebuješ pokiaľ sme to dobre pochopili NetFlow kolektor. NetFlow kolektor MK neobsahuje a asi ani obsahovať nebude. Nemá na to kapacitné prostriedky, aby dáta i uložil.

[hapi]

nesouhlasim, calea

[CANOPA]

skrebon:
ja potrebuju na MK ty data pouze analyzovat a pak ty analyzovana uz posilat nekam na linux kde se mi to bude shromazdovat.
Jak jsem uz psal..vim ze jsou jine zpusoby jak to resit, ja ale chci jen vedet jestli to tak funkce traffic-flow funguje i pro data z mirrorovaneho portu na switchi.Dle manualu by to fungovat melo..ale asi tomu tak neni.

[Maxik]

Neni problem v tom ze data z mirror portu ten mikrotik nejspise hned zahodi, co jinyho by s nima mohl delat, ze a tedy to neni zadny tok ktery by prochazel routerem hm ?