|
31.08.2011 14:40:43
Добрый день.
Есть в цисках протокол нетфлоу. Есть ли другое железо с этим протоколом? Какая самая бюджетная циска с этим протоколом? как ещё можно снимать статистику с маршрутизатора? прокси не мой вариант. Спасибо.
Изменено: Алекс М - 31.08.2011 14:42:53
|
|
|
|
|
|
01.09.2011 18:49:07
да, это я читал.
А вот такой вопрос: существует аппаратный прокси? Т.е. шлюз, который бы авторизовывал из AD, хранил где нить какую статистику. Типа TMG, только в коробке. |
|
|
|
|
|
02.09.2011 15:57:46
посмотрите может в сторону Check Point
|
|
|
|
|
|
02.09.2011 20:21:42
Т.е. мне нужен сервер дающий статистику, но при этом трафик через сервер не идёт. а вот если вот такая ситуация: есть циска 2600. Она может по netflow отправлять данный на сервер анализатор. А сервер анализатор выдаёт мне статистику посещённых сайтов. Но мне говорят, что можно получить только статистику по IP, без имён. Всё зависит от анализатора? или с помощью netflow нельзя получить имена посещённых сайтов?
Изменено: Алекс М - 02.09.2011 20:25:17
|
|||||||
|
|
|
|
03.09.2011 14:46:48
А прочитать о формате NetFlow (сейчас применяется активно 5-я версия) мешает природная скромность?  Не будет там никаких имен. Только IP-адреса, количество байт, тип протокола, ну и всякая служебная информация - типа номеров автономок (если они есть), номер начальной и конечной последовательности NetFlow. Я уже устал убеждать людей, которые иногда заказывают детализацию, что ИМЕН САЙТОВ они там не увидят! А на одном IP может висеть туева хуча виртуальных сайтов. И совсем не обязательно, что обратная запись по IP скажет о том, какое у этого сайта имя. А с торрентами - это вообще тихий ужас. Но это уже другая тема. |
|||
|
|
|
|
03.09.2011 14:52:57
Кстати, если интересно - у нас схема такая. С магистральной циски льется НетФЛоу на коллектор (Linux-сервер), где запущен flow-capture, который, в свою очередь раз в 15 минут скидывает файлы НетФлоу на диск и запускает скрипт на перле, который вливает данные о трафике (не ДЕТАЛЬНЫЕ, а просто количество принятых байт по IP-адресам) в базу. С которой затем работает наш биллинг. Файлы НетФлоу потом можно использовать для получения детализации (используя flow-cat в связки с flow-print) - если опять же интересно - могу привести пример команды для получения детальки. Она впечатлит своей трехэтажностью - уверяю.
Кстати, циска льет на 2 коллектора (второй используется в качестве дубля - на случай потери трафика на основном коллекторе). Не помню точно - но вроде циска может лить только на 2 приемника, чтобы "растроить" ("расчетверить" и т.д.) данные - я в свое время использовал утилитку flow-fanout из состава Линуксового flow-tools. |
|
|
|
|
|
04.09.2011 16:03:43
SOLDIER, Так я не понял, у вас с помощью "используя flow-cat в связки с flow-print" есть статистика по именам?
Я так понял, что мне подойдёт прозрачные прокси. На сколько я понял, прозрачный прокси это тот же прокси, но трафик на который идёт не с помощью "прописи адреса в браузере", а с помощью маршрутизатора. Эффект тот же. Плюс, можно заворачивать только трафик HTTP, а остальные пропускать без прокси? |
|
|
|
|
|
04.09.2011 16:22:04
М-да... Мое предыдущее сообщение так и осталось непонятым. А еще при помощи "связки" есть статистика по группе крови, номеру телефона и религиозном вероисповедании. |
|||
|
|
|
|
04.09.2011 16:40:51
SOLDIER, ну я серьезно. Мне не до шуток.
|
|
|
|
|
|
04.09.2011 19:31:59
Я тоже серьезно.
|
|||
|
|
|
|
04.09.2011 19:37:27
И вот это.
Еще раз - NetFlow содержит данные уровня L3. На этом уровня сетевая модель не оперирует терминами "имя", только IP-адреса и номера портов (скажем, глядя на номер порта, равный 80, будет видно, что это http-трафик, порт 21/20 - FTP). Все остальное сказано выше. "Имя" посылается на более высоком уровне - на уровне приложений, ПОСЛЕ установления сессии. В случае протокола HTTP это "имя" содержится в поле Host: |
|||
|
|
|
|
04.09.2011 20:34:04
Т.к. ИП-пакет (который обрабатывает нетфлоу) не содержит имя отправителя\получателя, а только их адреса, то я не могу видеть в нетфлоу доменные имена... Правильно?
|
|||||
|
|
|
|
04.09.2011 22:35:06
Не совсем так. Приложение (браузер) оперирует с FQDN (именами), потом в дело вступает DNS, задача коего - установить IP-адрес на основе имени, чтобы на сетевом уровне (L3) оперировать с сущностями, с которыми работает этот уровень - то есть с IP-адресами. Сюда же передаются номера портов, определяемые в зависимости от приложения, которое работает (браузер - 80 порт при URL вида http, он же - 20/21 порт при URL вида ftp:). Так как НетФлоу "сливает" информацию L3-уровня, у него просто нет данных более высоких уровней. На уровне L3 они представлены в виде payload - то есть данных, включенных в пакет (инкапсуляция во всей красе). Грубо - количество байт, переданных (или принятых). Так же внутри этого пакета находятся полноценные URL, которые Вы формируете при работе с сайтом в браузере. Собственно, вот. Опять же - полный состав NetFlow приведен в ссылке выше. Ну и в соответствующих RFC, разумеется. Штука довольно мощная. Например, анализируя сливаемый поток можно выявлять зараженные компьютеры в сети. Хотя в большинстве случаев НетФлоу используется системами биллинга для обсчета (тарификации) трафика пользователей интернет-провайдерами.
Да нет. Не о Вас разговор. Это я о драгоценных пользователях нашей сети, которые периодически хотят детализации, будучи уверенными, что злой и поганый провайдер тырит их трафик. При этом они уверены, что в заказанной детализации будут и "имена" сайтов, куда они ходили и даже имена файлов, которые они скачивали. |
|||||
|
|
|
|
05.09.2011 11:46:57
В таком разе можно рассматривать установку openwrt, как сложную донастройку. ЗЫ: Что бы Вам могли дать правильный совет, опишите ситуацию подробно. 1. Конфигурация сети. 2. Количество рабочих станций и объем трафика. 3. Ценовой диапазон. 4. Требования на лицензии (GPL, проприентарные, etc.). 5. Ваша "грамотность". 6. Вопрос развернуто. |
|||||
|
|
|
|
05.09.2011 13:14:42
RU_LIDS,
1) доменная сеть, контроллер домена 2008. 2) 20 рабочих станций Вин, 10 МАС, 30 Смартфонов и типа того. Объём трафика - даже не знаю... пока не считал. 3) не знаю. 4) бесплатные лицензии. Или не дорогие. 5) в 9 классе было 4 по-русскому. В остальных 3... 6) нужно знать кто где был в интернете. Сейчас смотрю в сторону прозрачного прокси, но не могу понять, как будет себя вести маршрутизатор... Правило на шлюзе перенаправляет трафик на прокси, с прокси трафик возвращается на шлюз. Как шлюз определит что это трафик уже после прокси? ведь после прокси в заголовках по адресам отправителя ничего не меняется... Вот я чего не знаю. |
|
|
|
|
|
06.09.2011 09:32:21
|
|||
|
|
|
|
06.09.2011 11:28:37
да, я уже понял на счёт статистики.
Я хочу разобраться как работает прокси. и как мне объяснили, если используется прокси, то пользователи напрямую с интернетом не работают (т.е. интернет - шлюз - клиент). А работают через прокси, он для них всё делает и предаёт и на шлюзе будет активность только прокси, а не клиентов. |
|
|
|
|
|
06.09.2011 11:50:33
Прокси-проксирует. То есть, является посредником в канале пользователь-Интернет. Чтобы получать с некоего абстрактного прокси статистику пользователей по посещенным сайтам и объему трафика - надо так же абстрактно настроить этот абстрактный прокси. Поскольку прокси в Вашем случае является абстрактным - и советы Вам даются абстрактные. Если нужна некая конкретика - для примера скажу, что то, что Вам нужно умеет SQUID. На котором соответствующим образом настраивается sarg. Используя который - можно получить статистику (в том числе). Чтобы перенаправлять пользователей на прокси в случае Линукса (например) используется iptables. Только прокси работает только с протоколами http и ftp. Чувствуете засаду? Или еще нет? |
||||
|
|
|
|||