[sage] Bandbreitenmessung

Gert Doering gert at greenie.muc.de
Fri Jun 19 19:25:11 CEST 2009 

Hi,

On Fri, Jun 19, 2009 at 03:38:37PM +0200, Dirk Wetter wrote:
> Wenn ich Netflow-Daten (von Cisco) aufzeichnen
> und auswerten will: Was nehme ich am besten
> dazu?? Ciscos Netflow Collector+Analyzer
> oder OSS (Googeln kann ich selber, will wissen ob's
> und ggf. wie es funktioniert).

Ich bin ein ausgesprochen zufriedener Anwender von "nfdump" (OSS).

Bunte Bildchen kann man mit dem Zusatztool "nfsen" machen, das haben wir
aber nicht im Einsatz (wir machen unsere Bildchen $homegrown).

> Wie stabil ist das Ganze, habe von $KOLLEGE gehört,
> dass nicht nur die Router-CPU am Anschlag war, sondern
> sein Router (wohl wegen eines Bugs?) sporadisch
> abschmierte. Von daher hatte ich überlegt, alternativ
> mit Switches und Span-Ports das Ganze zu erledigen.

Also wir haben bisher keinen Crash, den ich eindeutig Netflow zuordnen
könnte - auf unterschiedlichen Ciscos, primär 7200 und 7600 mit 
verschiedenen IOS-Versionen.

Last erzeugt es aber natürlich, speziell auf den Software-Plattformen -
wenn die Kiste also vorher schon stark ausgelastet ist ("Bauchgefühl"
sagt "mehr als 40% im 5-Minuten-Mittel") würde ich es erstmal sehr
vorsichtig in Off-Peak-Zeiten testen.

*Wieviel* Last Netflow-Accounting erzeugt, hängt vom Trafficmuster ab 
- wir haben Kunden, die machen >1.5 Gbit/s Traffic, aber kaum CPU-Load im 
Netflow.  Das sind Kunden mit sehr lange laufenden "Session", also z.B.
Audio-Streaming, wo ein "Flow" ohne weiteres >15 Minuten laufen kann.

Das andere Extrem sind Werbe-Banner (ad-server), hier ist ein Flow 
typischerweise nach 10 Paketen oder so vorbei, und weil die Banner an
"das ganze Internet" ausgeliefert werden, ist der Churn im Flow-Cache
hoch, also "viel Load".  Amoklaufende Windows-Rechner (udp/1433) sind
übrigens auch nicht nett für Netflow-Router :-)


Die Alternative könnte natürlich ein SPAN-Port und dann ntop o.ä.  sein.

gert

-- 
USENET is *not* the non-clickable part of WWW!
                                                           //www.muc.de/~gert/
Gert Doering - Munich, Germany                             gert at greenie.muc.de
fax: +49-89-35655025                        gert at net.informatik.tu-muenchen.de

More information about the SAGE mailing list