classic.ISPforum.cz

Máte prosím tip na software do Linuxu, který bude odečítat data z portů Mikrotiku pro data retention? Popřípadě ze síťovky přimo na Linuxu. Jen data retention, nic zbytečného. Momentálně používám upravený IPAudit, ale zkusil bych něco nového.
Děkuji

Netflow funguje na bazi proba/kolektor.

Kolektor (nfsen) si nainstaluj na linux.
Mikrotik umi flow export nastavis jen at ti posila data na kolektor.

Mám CRS317-1G-16S+ zapojený HW Offload bridge. Je možné nějak rozjet Traffic Flow? (Mirror, copy to CPU...)
Dik

Obavam se ze cokoliv tam zapnes tak to vypne hw offloading a stratis propustnost. Export bys mnel delat z routru, ne ze switche.

netflow na switchi jako takovém ne (pokud to nechceš tahat přes cpu což fakt nechceš), na switchi jen nastavíš port mirroring, k tomu strčíš nějaký počítač s vhodnou síťovkou a zprovozníš si sondu (např nprobe nebo ipt-netflow a budeš to lokálně posílat do flow-tools nebo zmíněného nfsen)

Do CRS317-1G-16S+ je zapojený hlavní a záložní Linux server (nat, shaping, retention...) a daný mikrotik používám na přepínání mezi nima. Chtěl jsem jenom mít konzistentní data retention při použití zálohy, tak mě napadlo to brát pomocí netflow z toho mikrotiku. V CRS317-1G-16S+ jsou zapojené venkovní i vnitřní síťovky serverů oddělené pomocí port isolation a používám script na přidání a odebrání portů z bridge. Tak asi bude nejlepší to z těch dvou Linuxů posílat další síťovkou do třetí mašiny jako kolektoru, kde to bude jako dva zdroje. Je toto řešení ok, či se mám stále zabývat tim netflow z CRS317-1G-16S+?
Dik

@pbg
nj jenze ten marvell co je v crs317 umi jen 1 mirror.
@felix
tak to asi nprobe i nfsen na obou. a posilat si export z lokalniho lokalne + ho posilat naproti. netusim ale jestli nprobe zaznamena traffic pre-nat nebo az post-nat. Hadam ze postnat je pro tebe irelevantni.

Pustil jsem softflowd na Linux serverech a docela to zatížilo CPU. Tak asi dám mirror na portu s pre-nat daty na CRS317-1G-16S+, zvlášt pc s 10Gbit jako softflowd sondu a posílání na oba Linux servery třeba na nfsen. (Je lepší flow-tools?) Jinak na obou serverech běží IPAudit propojený s mojí databází, takže toto bude spíš pro zálohu a na další analýzu dat.

felix píše:Pustil jsem softflowd na Linux serverech a docela to zatížilo CPU. Tak asi dám mirror na portu s pre-nat daty na CRS317-1G-16S+, zvlášt pc s 10Gbit jako softflowd sondu a posílání na oba Linux servery třeba na nfsen. (Je lepší flow-tools?) Jinak na obou serverech běží IPAudit propojený s mojí databází, takže toto bude spíš pro zálohu a na další analýzu dat.

jo to je cesta, jenom rikam ze ten marvell umi jenom 1 mirror pokud se nepletu tzn. budes moct sledovat jen jeden port.

Jakou verzi netflow používáte? Verzi 5, 9 či IPFIX? Nejlépe mi běhá v5, ale co IPV6? U v9 a IPFIX mi přesně nesedí délka spojení.