Настройка netflow на Huawei

Я’пытаюсь настроить NETSTREAM, но я’немного запутался. Следую этим учебникам: Configuring NetStream export и Huawei: NetStream Configuration.

Я настраиваю netstream на Huawei Ne20e .

Глобальные конфигурации:

ip netstream export source x.x.x.x ip nestream export host x.x.x.x port

Объясняя, что я сделал, командой source я настроил Huawei ip адрес и командой host PRTG ip адрес udp порт для получения потоков.

После этого я настраиваю на определенном интерфейсе отправку нетстрима.

interface Gigabitethernet 0/3/3 ip netstream inbound ip netstream outbound

Есть ли какие-нибудь способы отладить эту проблему и найти решение? Это первый раз, когда я его настраиваю!

Пересматривая материал по PRTG, я увидел, что в PRTG нет родных сенсоров Huawei. Но я хочу подтвердить, что есть ‘не пропущенная команда

Источник: kzen.dev

Cisco = 1, Huawei = 100: NetFlow не равен NetStream

NetFlow и Netstream — это инструменты для мониторинга, сбора статистики о трафике, и задачи они имеют одни и те же, но реализации имеют разные. Недавно мы рассматривали кейс, когда после интеграции нескольких железок Huawei в существующую сеть Cisco, на Huawei был настроен Netstream аналогично конфигурации NetFlow на Cisco, но трафик c Huawei считался в сто раз меньше того количества, которое ему отправлял Cisco:

How to Configure NetFlow for Cisco Routers and Switches Running IOS

—-router Cisco —>100 пакетов —> router Huawei AR6280 —>1 пакет—-

Следили за этим явлением на месте в сети, где между Cisco и Huawei был прямой канал по оптике 100Mbps, то есть входящий трафик первого маршрутизатора был исходящим трафиком другого. Сетевым инженером было замечено: «Wireshark’ом смотрели пакеты с обеих сторон — все стандартно, протокол CFLOW, версия 5, поля идентичные, размер данных передавались количеством октетов, с той лишь разницей, что с Cisco приходили пакеты с одинаковым количеством PDU — 30 шт, а с Huawei в пакете могло быть 18,12, в общем, разное количество PDU. Никаких режимов агрегации на Huawei включено не было, Huawei слал ту же самую информацию, что и Cisco в октетах, но при этом при одинаковой нагрузке на каждые 5-7 пакетов (имеется ввиду пакетов NetFlow) с Cisco (с 30 pdu в каждом) приходит 1-2 пакета с Huawei с разным и меньшим количеством pdu».

Сначала была выдвинута версия настроить через полисер. Но известно, что полисер применяется для уменьшения количества пакетов в потоке, или для измерения только определенного трафика, в то время как требовалось мониторить сколько трафика гененируется в исходном количестве (exporting of ipv4 original flow statistics) с используемыми по умолчанию таймерами.

Дале, чтобы проверить, что Huawei не отбрасывал трафик, был проведен эксперимент, когда с одного из ПК был отправлен ISO файл размером 10GB на сервер через упомянутый канал Cisco-Huawei. Файл дошел в целостности. Это натолкнуло на мысль, что дело именно в настройках сбора статистики.

NetFlow Configuration and Verification

В документации Huawei по продукту есть упоминание, что по умолчанию на AR Huawei маршрутизаторах собирается только каждый 100-ый пакет.

«By default, the packet-based regular sampling is used. The default packet sampling ratio is 100. «

При этом на других продуктах это может быть и каждый 1000-ый пакет.

Чтобы изменить это — в представлении интерфейса на AR6280 указываем 1 вместо дефолтных 100:

undo ip netstream inbound
ip netstream sampler fix-packets 1 inbound
ip netstream inbound

Предположительно, такое поведение может быть связано с техническими особенностями чипов и процессоров, и рисками возникновения чрезмерной их утилизации в сценариях, о которых вендоры обычно не говорят открыто, или сами не знают, поэтому страхуются, устанавливая изначально такие пороговые значения.

Источник: habr.com

Настройка netflow на huawei

Добрый день давно использую manageengine netflow analyzer. Собирал данные с нескольких Cisco 2911
конфигурация везде одинакова:
ip flow-cache timeout active 1
ip flow-export source bla_bla_interface
ip flow-export version 5
ip flow-export destination адрес порт теперь появилось несколько Huawei AR6280 с конфигурацией
ip netstream timeout active 1
ip netstream timeout inactive 15
ip netstream export source loopback_ip_address
ip netstream export host адрес порт бросилось в глаза, что трафик с Huawei не правдоподобно маленький
снимаю данные о трафике с нескольких ключевых маршрутизаторов и есть место где между Cisco и Huawei есть точка-точка прямой канал по оптике 100Мбит, т.е. по сути IN одного маршрутизатора это OUT другого и наоборот, картинки с обоих за конкретное время прямо одинаковы, НО данные с Huawei в 100 раз меньше чем с Cisco поставил на коллекторе Wireshark и посмотрел пакеты с обоих — все стандартно, протокол CFLOW, версия 5, поля идентичные, размер данных передаются количеством октетов, с той лишь разницей, что с Cisco приходят пакеты с одинаковым количеством PDU — 30 шт, а с Huawei в пакете может быть 18,12 в общем разное количество PDU никаких режимов agregation на Huawei не включено, шлет ту же инфу что и Cisco в октетах Как такое может быть? Ни кто не сталкивался? Куда копать?

• https www site24x7 com help netflow configuring-flow-exports huawei html, ogiss (?), 07:35 , 28-Окт-22, (1)
• Если видите что именно СЫРЯК нормальный, то причем тут агент Мож у вас таки колл, Pahanivo пробегал (?), 14:50 , 29-Окт-22, (2)

• Хм что то я действительно зациклился на настройке хуавеевПокопаю с другой стор, astar (ok), 15:46 , 29-Окт-22, (3)

• Однако коллектор оказался не причем Сессия wireshark а на коллекторе с фильтром, astar (ok), 07:10 , 03-Ноя-22, (4)

Сообщения

[Сортировка по времени | RSS]

> никаких режимов agregation на Huawei не включено, шлет ту же инфу что
> и Cisco в октетах

Если видите что именно СЫРЯК нормальный, то причем тут агент?
Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.

> Если видите что именно СЫРЯК нормальный, то причем тут агент?
> Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.

Хм.. что то я действительно зациклился на настройке хуавеев
Покопаю с другой стороны

Спасибо

>> Если видите что именно СЫРЯК нормальный, то причем тут агент?
>> Мож у вас таки коллектор мозги полоскает? Или парсится где-то криво.
> Хм.. что то я действительно зациклился на настройке хуавеев
> Покопаю с другой стороны
> Спасибо

Однако коллектор оказался не причем. Сессия wireshark’а на коллекторе с фильтром «пакеты от двух маршрутизаторов циско и хуавей с примерно одинаковой нагрузкой» показала что на 5 -7 пакетов с циски с 30 pdu в каждом приходит 1-2 пакета с хуавей с разным и меньшим числом pdu заставила еще раз вчитаться в configuration guide. Добавление на интерфейсе к строчке

ip netstream inbound
еще и
ip netstream sampler fix-packets 1 inbound
сразу исправило ситуацию. по умолчанию на AR6280 sampler rate = 100 (в целях уменьшения служебного трафика)
вот оно и отличие в 100 раз 🙂

Источник: www.opennet.ru