Помогите правильно получить статистику
Модераторы: Trinity admin`s, Free-lance moderator`s
-
skf
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Помогите правильно получить статистику
Имеется корпоративная сеть, а так-же ряд удаленных филиалов, которые объеденины через MPLS VPN Cloud для которого с нашей стороны имеются 2 T1, в ряде филиалов тоже по 2 T1 а кое-где по 1 T1. Для интернета с нашей стороны заведены отдельные линии, а части филиалов интернет идет через VPN. Все оборудования для организации VPN - провайдера(cisco2820), соответсвенно доступа к нему нет. С нашей стороны стоит switch HP Procurve, на котором поднято 2 VLAN. Один для компьютеров, один серверный в который и заходит Erhernet от VPN. Необходимо понять что ходит по MPLS VPN,а также от кого и куда, поскольку канал временами забит до 70%. По рекомендации был куплен Fluke TAP 100. Подключили его в разрыв между свичем и cisco. Был установлен Debian и на нем поднят ntop. Показывает все очень красиво, но только совсем не то что надо. Вместо траффика ходящего по VPN , он показывает практически все что ходит через свитч. Посему больая просьба к профессионалам , подскажите что необходимо сделать чтобы видеть правильный траффик черех ntop или если ntop не совсем то что надо, посоветуйте пожалуйста , что можно использовать для решения моей задачи.
Чтобы увидеть VPN-ный трафик надо наложить фильтр. В него включить IP-адреса только удаленных сетей.
Запустите ethereal (недавно переименовался в wireshark). Увидите более подробно.
У ntop есть опция -F --flow-spec которая позволяет наложить фильтр.
Полезным трафиком будет тот, в котором есть пакеты в которых адрес получателя или отправителя равен адресам ваших компов "по другую сторону VPN.
Тогда фильтр будет выглядеть типа так: host 10.1.1.1 or host 10.1.1.2 or host 10.1.1.3
Если ваша сеть разбита на подсети, то типа так: (net 10.1.1.0 mask 255.255.255.0) or (net 10.1.2.0 mask 255.255.255.0)
Естественно 10.1.1.0 и 10.1.2.0 - это адреса офисных сетей "по другую сторону VPN".
Идея ясна?
Запустите ethereal (недавно переименовался в wireshark). Увидите более подробно.
У ntop есть опция -F --flow-spec которая позволяет наложить фильтр.
Полезным трафиком будет тот, в котором есть пакеты в которых адрес получателя или отправителя равен адресам ваших компов "по другую сторону VPN.
Тогда фильтр будет выглядеть типа так: host 10.1.1.1 or host 10.1.1.2 or host 10.1.1.3
Если ваша сеть разбита на подсети, то типа так: (net 10.1.1.0 mask 255.255.255.0) or (net 10.1.2.0 mask 255.255.255.0)
Естественно 10.1.1.0 и 10.1.2.0 - это адреса офисных сетей "по другую сторону VPN".
Идея ясна?
-
skf
- Power member
- Сообщения: 47
- Зарегистрирован: 12 окт 2006, 19:32
- Откуда: Boston
- Контактная информация:
Спасибо за ответ идея в принципе понятна, но вопрос такой кагда срабатывает failover и наши адреса начинают ходить в и-нет.
Соответсвенно у меня сеть 10.1.1.0/24 Если я ее не закладываю в фильтр, то я и не увижу часть траффика через MPLS VPN
Соответсвенно у меня сеть 10.1.1.0/24 Если я ее не закладываю в фильтр, то я и не увижу часть траффика через MPLS VPN
and3008 писал(а):Чтобы увидеть VPN-ный трафик надо наложить фильтр. В него включить IP-адреса только удаленных сетей.
Запустите ethereal (недавно переименовался в wireshark). Увидите более подробно.
У ntop есть опция -F --flow-spec которая позволяет наложить фильтр.
Полезным трафиком будет тот, в котором есть пакеты в которых адрес получателя или отправителя равен адресам ваших компов "по другую сторону VPN.
Тогда фильтр будет выглядеть типа так: host 10.1.1.1 or host 10.1.1.2 or host 10.1.1.3
Если ваша сеть разбита на подсети, то типа так: (net 10.1.1.0 mask 255.255.255.0) or (net 10.1.2.0 mask 255.255.255.0)
Естественно 10.1.1.0 и 10.1.2.0 - это адреса офисных сетей "по другую сторону VPN".
Идея ясна?
Либо делайте зеркалирование трафика на коммутаторах.Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей