Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

уфбфшй

ретупобмшопе

ртпзтбннщ

рйыйфе
рйушнб

бтийч :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[inet-admins] =?Windows-1251?B?bmV0ZmxvdyDx8vDg7e376SDw4PHq6+Dk?=

To: inet-admins@info.east.ru
Subject: [inet-admins] netflow странный расклад
From: vlad f kropachew <vlad@ccs.ru>
Date: Wed, 1 May 2002 13:49:51 +0400

приветствую. письмо немножко длинное, но в меньший обьём проблемы не
впихать. ситуация: есть коллектор netfltools, не вызывавший никаких
нареканий в работе, до недавнего времени. возникает странная ситуация:
есть аплинк, комкоровкий роутер с номер 8732. линк на него - serial1/1
имеет индекс 3. входящий с этого интерфейса трафик, если считать по
параметру source interface index - один. если считать через source as
- совершенно другой. расхождение чуть не на порядок. я синхронно
снимаю каунтеры и вижу:

flt cm0 1020244961 1020244989 162 64243 21 18
flt cm1 1020244961 1020244989 6919 466439 2326 73

третья и четвёртя цифири - это число пакетов попавших на каждый из
каунтеров (первый по индексу интерфейса, второй по автономке). пятая
некий параметр total time (не знаю что означает) и шестое - число
фловов попавшем на каждый из каунтеров.

потом я поставил каунтер с таким условием что src_as == 8732 &&
src_intf != 3 (т.е. пакета с номерами автономок комкора, но приходящих
с другого интерфейса). и выяснилось, что существует оказывается
трафик, который приходит от другого (!) аплинка и имеющим src_as как
комкоровский. этот другой аплинк есть мту (автономка 8359). интерфейсы
смотрящие на него с индексом 2 и 5.

netflcon> show slices1 colonel:test2 src_intf
            packets :           octets :   pkts/s :  octets/s :   total time :  
   nflows
    5:         7094 :           578073 :    44.62 :   3635.68 :         3462 :  
      261
    2:         6653 :           533473 :    41.84 :   3355.18 :         2966 :  
      262
Slices created: Wed May  1 13:40:06 2002

и вот за счёт такого рода трафика и образуется разница в каунтерах.
причём доподлинно известно, что трафик этот относится именно к мту,
т.к. на snmp каунтерах и по show interface этого трафика не видать.
может кто-нибудь обьяснить природу такого эффекта? или порекомендовать
как ещё этот трафик посмотреть чтоб докопатся до причины. у меня
никаких мыслей нет совсем, и я впал в нирвану.

vfk.


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Follow-Ups:
- Re: [inet-admins] netflow =?koi8-r?B?09TS?==?koi8-r?B?wc7O2cog0sHTy8zBxA==?=
  - From: Dmitri Kalintsev
- Re: [inet-admins] netflow странный расклад
  - From: Andrey Zimin

Prev by Date: Re: [inet-admins] stateful rt/fw redundancy
Next by Date: Re: [inet-admins] netflow странный расклад
Previous by thread: [inet-admins] gatekeepers ...
Next by thread: Re: [inet-admins] netflow странный расклад
Index(es):
- Date
- Thread