» Cisco + Netflow (учет трафика)

Имеется сеть с выходом в интернет через Cisco.
Необходимо настроить на cisco учет входящего и исходящего трафика.
Насколько я понял это решается на cisco посредством Netflow.
Как это дело правильно организовать?
Может есть ссылки на подробные описания решения этой задачи (желательно на русском)?
Может кто поделится примерами конфигов?

на какой оси будеш делать учет
я пробовал 2 схемы
киска кидает нетфлоу пакеты на комп с 2003 сервером, там пробовал несколько софтин, но у всех них один минус - я их сливал из варезника, остальное видимо понятно

второе это киска кидает пакеты на фряху, там стоит nfsen и собирает статистику, не так красиво и удобно как на винде, но меня вполне устраивает

на киске
ip flow-export version 5
ip flow-export destination 192.168.1.2 9988
ip flow-export destination 192.168.1.4 20001

типа 2 компа и порты куда кидаются нетфлоу пакеты

Для начала на 2000-м сервере, если что потом буду о фре думать.
Под винду какие проги для анализа можно использовать? Ссылки и все остальное я уж найду...
Неужто на циске так все просто? Всего пара команд?
И почему на два компа кидаются пакеты? Чем отличаются?

на два компа это так, для сравнения
просто один 2003 а второй фря

на киске еще нужно

ip route-cache flow
ip flow ingress
ip flow egress

на тех интерфейсах с которых считать
вообще про это можно очень много найти, так что это не сложно
под виндой я тестил 2 софтины, netflow analizer и netflow tracker
работают вполне приемлемо

Прописал на циске

ip flow-export version 5
ip flow-export destination 192.168.0.1 9996

и на интерфейсе Dialer0

ip route-cache flow
ip flow ingress
ip flow egress

На винде поставил Netflow Analyzer 6.1

Данные идут, трафик вижу. Но непонятно что за Application с названием ESP_App?
Подозреваю, что это зашифрованный трафик проходящий через VPN. Если эо так, то можно ли увидеть его в нормальном виде? Т.е. с какого ip и порта пришел трафик с того конца VPN.

DmitriyK

Цитата:

ip flow ingress
ip flow egress

Эти параметры для чего? В мануале к NetFlow Analyzer ни слова.

И еще один момент необходимо чтобы ip cef работал ! Потому как если он не работает то и статистики не будет. Наступал на эти грабли ужо

Sterh84

Цитата:

И еще один момент необходимо чтобы ip cef работал ! Потому как если он не работает то и статистики не будет. Наступал на эти грабли ужо

Как проверить: работает или нет?

Markes
Эти команды прописываются в циске, чтобы включить подсчет входящего и исходящего трафика соответственно.

DmitriyK

Цитата:

Эти команды прописываются в циске, чтобы включить подсчет входящего и исходящего трафика соответственно.

Ясно. Без этих параметров циска просто будет тупо кидать на коллектор инфу кто, куда и как?

Кстати, обязательно использовать строку ip flow-export source FastEhernet0/1, где FastEhernet0/1 - тот интерфейс, с которого собирается инфа?

Не достаточно на данном интерфейсе прописать " ip route-cache flow "?

В представленном Markes виде не обязательно, можно и так как вы предложили
ip cef
interface имя_интерфейса
ip route-cache flow
ip flow ingress *
ip flow egress *
no ip mroute-cache *
и так на всех необходимых интерфейсах, а затем или до этого

ip flow-export (бла-бла, параметры, к примеру) version 5 peer-as bgp-nexthop
ip flow-export destination 1.2.3.4 9999 (IP, port)

* - если оно надо.