URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2648
[ Назад ]

Исходное сообщение
"netflow analyzer данные с Cisco и Huawei отличаются на порядок"
Отправлено astar , 27-Окт-22 14:45

Добрый день
давно использую manageengine netflow analyzer. Собирал данные с нескольких Cisco 2911
конфигурация везде одинакова:
ip flow-cache timeout active 1
ip flow-export source bla_bla_interface
ip flow-export version 5
ip flow-export destination адрес порт
теперь появилось несколько Huawei AR6280 с конфигурацией
ip netstream timeout active 1
ip netstream timeout inactive 15
ip netstream export source loopback_ip_address
ip netstream export host адрес порт
бросилось в глаза, что трафик с Huawei не правдоподобно маленький
снимаю данные о трафике с нескольких ключевых маршрутизаторов и есть место где между Cisco и Huawei есть точка-точка прямой канал по оптике 100Мбит, т.е. по сути IN одного маршрутизатора это OUT другого и наоборот, картинки с обоих за конкретное время прямо одинаковы, НО данные с Huawei в 100 раз меньше чем с Cisco
поставил на коллекторе Wireshark и посмотрел пакеты с обоих - все стандартно, протокол CFLOW, версия 5, поля идентичные, размер данных передаются количеством октетов, с той лишь разницей, что с Cisco приходят пакеты с одинаковым количеством PDU - 30 шт, а с Huawei в пакете может быть 18,12 в общем разное количество PDU
никаких режимов agregation на Huawei не включено, шлет ту же инфу что и Cisco в октетах
Как такое может быть? Ни кто не сталкивался? Куда копать?

Содержание

netflow analyzer данные с Cisco и Huawei отличаются на порядок,ogiss, 07:35 , 28-Окт-22
netflow analyzer данные с Cisco и Huawei отличаются на порядок,Pahanivo пробегал, 14:50 , 29-Окт-22
- netflow analyzer данные с Cisco и Huawei отличаются на порядок,astar, 15:46 , 29-Окт-22
  - netflow analyzer данные с Cisco и Huawei отличаются на порядок,astar, 07:10 , 03-Ноя-22

Сообщения в этом обсуждении

"netflow analyzer данные с Cisco и Huawei отличаются на порядок"
Отправлено ogiss , 28-Окт-22 07:35

https://www.site24x7.com/help/netflow/configuring-flow-expor...

"netflow analyzer данные с Cisco и Huawei отличаются на порядок"
Отправлено Pahanivo пробегал , 29-Окт-22 14:50

> никаких режимов agregation на Huawei не включено, шлет ту же инфу что
> и Cisco в октетах
Если видите что именно СЫРЯК нормальный, то причем тут агент?
Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.

"netflow analyzer данные с Cisco и Huawei отличаются на порядок"
Отправлено astar , 29-Окт-22 15:46

> Если видите что именно СЫРЯК нормальный, то причем тут агент?
> Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.
Хм.. что то я действительно зациклился на настройке хуавеев
Покопаю с другой стороны
Спасибо

"netflow analyzer данные с Cisco и Huawei отличаются на порядок"
Отправлено astar , 03-Ноя-22 07:10

>> Если видите что именно СЫРЯК нормальный, то причем тут агент?
>> Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.
> Хм.. что то я действительно зациклился на настройке хуавеев
> Покопаю с другой стороны
> Спасибо
Однако коллектор оказался не причем. Сессия wireshark'а на коллекторе с фильтром "пакеты от двух маршрутизаторов циско и хуавей с примерно одинаковой нагрузкой" показала что на 5 -7 пакетов с циски с 30 pdu в каждом приходит 1-2 пакета с хуавей с разным и меньшим числом pdu заставила еще раз вчитаться в configuration guide. Добавление на интерфейсе к строчке
ip netstream inbound
еще и
ip netstream sampler fix-packets 1 inbound
сразу исправило ситуацию. по умолчанию на AR6280 sampler rate = 100 (в целях уменьшения служебного трафика)
вот оно и отличие в 100 раз :-)