[sage] Bandbreitenmessung

[Dirk Wetter]

Moin!

Am 19.06.2009 19:25, Gert Doering schrieb:
> Hi,
> 
> On Fri, Jun 19, 2009 at 03:38:37PM +0200, Dirk Wetter wrote:
>> Wenn ich Netflow-Daten (von Cisco) aufzeichnen
>> und auswerten will: Was nehme ich am besten
>> dazu?? Ciscos Netflow Collector+Analyzer
>> oder OSS (Googeln kann ich selber, will wissen ob's
>> und ggf. wie es funktioniert).
> 
> Ich bin ein ausgesprochen zufriedener Anwender von "nfdump" (OSS).
> 
> Bunte Bildchen kann man mit dem Zusatztool "nfsen" machen, das haben wir
> aber nicht im Einsatz (wir machen unsere Bildchen $homegrown).
> 
>> Wie stabil ist das Ganze, habe von $KOLLEGE gehört,
>> dass nicht nur die Router-CPU am Anschlag war, sondern
>> sein Router (wohl wegen eines Bugs?) sporadisch
>> abschmierte. Von daher hatte ich überlegt, alternativ
>> mit Switches und Span-Ports das Ganze zu erledigen.
> 
> Also wir haben bisher keinen Crash, den ich eindeutig Netflow zuordnen
> könnte - auf unterschiedlichen Ciscos, primär 7200 und 7600 mit 
> verschiedenen IOS-Versionen.

Danke, nach Recherche schien mir das theoretisch auch der besten
Kandidat. Nur ich hatte eben von $EXFIRMA das mit der Stabilität der Router
gehört. Hintergründe weiß ich auch nicht. Aber das scheint
ja bei Dir und Karsten weniger der Fall zu sein, danke für die Info!
Die Aggregation ist ja auch hilfreich.

@andere:

Es soll für mehrere Clients (Windows-Büchsen) im Netz gemessen
werden. Server steht komplett woanders. Lokal messen an jeder
Büchse ist wenig sinnvoll.

SNMP hatte ich zuerst dran gedacht. Aber das sind mir zu wenig Infos,
da ich eben nicht nur dann und wann die Counter auslesen will, sondern
über bestimmte Verbindungen Statistiken haben will.

@jens: /Ich/ habe nicht zuviel Geld. ;-) Danke für den Hinweis auf
Deine Slides (leider nur den Hinweis auf das Bezahlvideo hatte ich
bei LNM gefunden).

> Last erzeugt es aber natürlich, speziell auf den Software-Plattformen -
> wenn die Kiste also vorher schon stark ausgelastet ist ("Bauchgefühl"
> sagt "mehr als 40% im 5-Minuten-Mittel") würde ich es erstmal sehr
> vorsichtig in Off-Peak-Zeiten testen.
> 
> *Wieviel* Last Netflow-Accounting erzeugt, hängt vom Trafficmuster ab 
> - wir haben Kunden, die machen >1.5 Gbit/s Traffic, aber kaum CPU-Load im 
> Netflow.  Das sind Kunden mit sehr lange laufenden "Session", also z.B.
> Audio-Streaming, wo ein "Flow" ohne weiteres >15 Minuten laufen kann.
> 
> Das andere Extrem sind Werbe-Banner (ad-server), hier ist ein Flow 
> typischerweise nach 10 Paketen oder so vorbei, und weil die Banner an
> "das ganze Internet" ausgeliefert werden, ist der Churn im Flow-Cache
> hoch, also "viel Load".  Amoklaufende Windows-Rechner (udp/1433) sind
> übrigens auch nicht nett für Netflow-Router :-)
> 
> 
> Die Alternative könnte natürlich ein SPAN-Port und dann ntop o.ä.  sein.


SG, Dirk