IsarFlow Überblick - decus.de · 13 10.120.97.159 10.5.65.161 ncp 23.43 mb 1.30 14 10.5.65.161 10.120.97.159 ncp 21.88 mb 1.22 15 10.92.161.30 10.88.36.33 sap 20.31 mb 1.13 16 10.5

IsarFlowIsarFlow ÜÜberblickberblick

IT-Symposium 2007, HP User Society

Nürnberg, 19. April 2007

[email protected]

10.04.2007 IsarFlow Überblick Q1/2007 - © 2007 IsarNet SWS GmbH Seite 2

Agenda

• Kurzüberblick IsarNet

• Netflow Grundlagen

• IsarFlow Analyse-Möglichkeiten

• IsarFlow Stärken

IT-Symposium 2007 19.04.2007

www.hp-user-society.de 1


IsarNet

• 1999 Gründung durch 5 erfahrene Netzwerk-Spezialisten

• Sitz in München im Airport Business Center

• Januar 2007: 22 Mitarbeiter, 26 CCIE-Zertifizierungen

�� Umfassendes Netzwerk Know How

ÜÜber unsber uns

IsarNet bietet hoch spezialisierte Beratung (1999), Workshops (1999) und Management-Applikationen (2002), in allen Bereichen des Networking

Netflow GrundlagenNetflow Grundlagen

IT-Symposium 2007 19.04.2007



Infrastruktur & AnwenderverkehrNetFlowNetFlow

GrundlagenGrundlagen

Infrastruktur->SNMPAnwenderverkehr ??


NetFlow Historie

• Einführung von NetFlow 1998 / IOS™ 11.1(18)CC

• Ursprünglich von Cisco Systems™ als performanter Switching Pfadentwickelt

• NetFlow ist primär eine Layer-3 Technologie

• NetFlow beantwortet die Schlüssel-Fragen zum IP Verkehr:

– Wer macht (IP-Adressen)

– Was (Protokoll / Destination-Port)

– Wann (Zeitstempel)

– Wo (Router-IP & SNMP Interface Index)

– Wie und in (QoS)

– Welchem Umfang ? (Packets & Bytes)

NetFlowNetFlowGrundlagenGrundlagen

IT-Symposium 2007 19.04.2007



Was ist ein Flow ? (I)

Ein Flow wird definiert durch 7 Header-Eigenschaften eines IP-Packetes :

– Source IP Address

– Destination IP Address

– Source port

– Destination port

– Layer 3 Protocol

– TOS byte

– Input interface (ifIndex)

Flow Cache

Paket & Byte Zähler werden mit jedemPaket erhöht



No. Bytes Contents Description1 0–3 srcaddr Source IP address2 4–7 dstaddr Destination IP address3 8–11 nexthop IP address of next hop router4 12–13 input SNMP index of input interface5 14–15 output SNMP index of output interface6 16–19 dPkts Packets in the flow7 20–23 dOctets Total number of Layer 3 bytes in the packets of the flow8 24–27 First SysUptime at start of flow9 28–31 Last SysUptime at the time the last packet of the flow was received

10 32–33 srcport TCP/UDP source port number or equivalent11 34–35 dstport TCP/UDP destination port numberor equivalent12 36 pad1 Unused (zero) bytes13 37 tcp_flags Cumulative OR of TCP flags14 38 prot IP protocol type (for example,TCP=6; UDP=17)15 39 tos IP typeof service (ToS)16 40–41 src_as Autonomous system number of the source, either origin or peer17 42–43 dst_as Autonomous system number of the destination,either origin or peer18 44 src_mask Source address prefix mask bits19 45 dst_mask Destination address prefix mask bits20 46–47 pad2 Unused (zero) bytes

NetFlow Cache Einträge enthalten noch etliche weitere EigenschaftenExport Format v5 (aktuell Standard) :

NetFlow Felder

NetFlow Export Format v9 kann bis zu 60 Felder pro Session enthalten


IT-Symposium 2007 19.04.2007



Was ist ein Flow ? (II)

Flows sind immer unidirektional

1 Client/Server – Session = 2 flows

Source IP

Destination IP

Source IP

Destination IP



NetFlow Export (I)NetFlowNetFlow


Inactive Timer • Ein Eintrag wird aus dem Flow Cache entfernt, wenn 15 Sekunden

(Default) lang kein Paket mehr über den Router läuft, was diesem Flow zugeordnet werden kann.

• Sekündlicher Check:ist der inactive timer für Flow Cache Einträge abgelaufen ?� Drop aus Cache & Flow exportieren (wenn konfiguriert)

Flow Cache Einträge

Collector / AnalyzerNetflow Export Paket

(max. 30 flows)

IT-Symposium 2007 19.04.2007



NetFlow Export (II)NetFlowNetFlow


• NetFlow Exporte werden via UDP übertragen • UDP Port einstellbar (typisch 9995 oder 2055)• NetFlow Export Formate : v1, v5, v7, v8 und v9

Flow Cache Einträge

Collector / AnalyzerNetflow Export Paket

(max. 30 flows)


Netflow auf Layer 2

Layer-2-Informationen können ausgewertet werden ab IOS / CatOS :

VLAN 21VLAN 20 VLAN 22 VLAN 23= netflow enabled

Analyzer

Ab CatOS 8.1Nur für Sup1A/PFC

Sup2/PFC2(Keine MSFC benötigt)Kein Support für Sup720

Ab IOS 12.2(18)SXENur für PFC3B or PFC3BXL

catos>set mls bridged-flow-statistics enable 23

IOS(config)# ip flow ingress layer2-switched vlan vlan_ID[- vlan_ID] [, vlan_ID[- vlan_ID]]


IT-Symposium 2007 19.04.2007



1998

Platform- & Softwaresupport

SiSiSiSi

GSR 12000

Catalyst 4500

700072007500

36003700

25002600

AS5300AS58004000

45004700

140016001700

Catalyst 500065007600

ESR10000

Cisco IOS™ Software Release Version

11.1CA, 11.1CC11.211.312.012.112.212.312.4

800



Standardisierung

• Die IETF Arbeitsgruppe ipfix (IP Flow Information eXchange) hat einenStandard für die Erfassung von IP-Verkehr erarbeitet

• Die von Cisco Systems entwickelte Technologie NetFlow ist bereits von mehreren Herstellern als Defacto-Standard übernommen worden:

http://tools.ietf.org/wg/ipfix/draft-ietf-ipfix-protocol/

• Einen konkurrierenden Ansatz stellt sFlow dar :


IT-Symposium 2007 19.04.2007


Wie profitiert man durch Wie profitiert man durch den Einsatz von den Einsatz von IsarFlowIsarFlow ??

TransparenzTransparenz : was passiert im Netzwerk ?: was passiert im Netzwerk ?

SecuritySecurity : gibt es interne Attacken ?: gibt es interne Attacken ?

QoSQoS : ausf: ausfüührliches Monitoringhrliches Monitoring

AccountingAccounting : wer verursacht welche Kosten ?: wer verursacht welche Kosten ?


Link Transparenz : SNMPTransparenzTransparenz

Welche Informationen liefert Ihr SNMP Netzwerk-Management ?„Eine Hohe Last auf der Leitung“ – keine wirklich neue Information !

Auf einer Leitung gibt es Probleme mit SAP :

??????

IT-Symposium 2007 19.04.2007



Link Transparenz : IsarFlowTransparenzTransparenz

Welche Informationen liefert Ihnen IsarFlow ?

Auf einer Leitung gibt es Probleme mit SAP :

………

………

0.8415.23 MBSNMP

1.4426.14 MBEPMAP

1.6930.62 MBHTTPS

2.9253.06 MBSOCKS

3.6666.53 MBRTP-AUDIO

4.3779.36 MBNCP

7.39134.20 MBGRE

19.19348.50 MBSAP

20.85378.62 MBNETBIOS-NS

35.10637.54 MBWWW-HTTP

%ByteProtocol

No. Source Destination Protocol Byte Percentage1 193.27.112.2 10.5.29.102 WWW-HTTP 128.97 MB 7.18 2 64.236.34.196 10.5.29.85 WWW-HTTP 87.79 MB 4.89 3 10.5.65.164 10.120.97.164 SAP 73.62 MB 4.10 4 10.120.97.164 10.5.65.164 RTP-AUDIO 65.02 MB 3.62 5 10.5.254.25 10.120.254.3 GRE 64.52 MB 3.59 6 209.61.191.11 10.5.29.72 WWW-HTTP 56.02 MB 3.12 7 10.5.254.9 10.120.254.3 GRE 52.56 MB 2.93 8 10.120.97.164 10.5.29.34 SAP 47.49 MB 2.65 9 194.138.38.22 10.5.29.102 WWW-HTTP 32.05 MB 1.79 10 10.5.29.34 10.120.97.164 SAP 25.95 MB 1.45 11 10.120.106.250 10.5.67.36 SAP 24.81 MB 1.38 12 193.225.54.240 10.5.29.114 WWW-HTTP 24.60 MB 1.37 13 10.120.97.159 10.5.65.161 NCP 23.43 MB 1.30 14 10.5.65.161 10.120.97.159 NCP 21.88 MB 1.22 15 10.92.161.30 10.88.36.33 SAP 20.31 MB 1.13 16 10.5.65.110 10.120.104.242 SOCKS 16.78 MB 0.93 17 10.5.65.110 10.120.106.247 SOCKS 16.66 MB 0.93 18 10.92.161.25 10.5.67.167 SAP 15.04 MB 0.84 19 10.120.104.244 10.5.67.8 NETBIOS-SSN 13.34 MB 0.74 20 204.157.3.229 10.5.29.72 WWW-HTTP 13.26 MB 0.74

sum 824.10 MB 45.91total traffic 1.75 GB 100%

Top SessionsView: WAN link Shanghai

There were no filters selected8/13/2004 00:55 - 23:55

10.5.29.10210.5.29.102

10.5.29.8510.5.29.85

HTTPHTTP


Wer benutzt die Hauptanwendungen (bezogen auf die Volumina) ? PlanungPlanung

Rechenzentrum ParisRechenzentrum Paris

VPN USVPN US

MarketingMarketing

VertriebVertriebProduktion Produktion AsienAsien

IsarFlow erlaubt beliebige “View“ Definitionen-basierend auf physikalischenInterfaces oder IP Adressenbzw. Subnets

IT-Symposium 2007 19.04.2007



Kommunikations Matrix

637.76 MBSumme der Bytes:

0.00 B18.39 KB257.13 MB0.00 B2.84 MB308.65 KBRestverkehr

4.19 MB0.00 B0.00 B0.00 B499.03 KB 0.00 BIsarNet-office

56.25 MB0.00 B9.87 KB 0.00 B277.74 KB 65.43 MB Office

0.00 B0.00 B0.00 B0.00 B0.00 B0.00 BMgmt

36.50 MB0.00 B248.00 B 0.00 B0.00 B6.75 KB Server

2.73 MB0.00 B190.90 MB 0.00 B20.71 MB 0.00 BProd

RestverkehrIsarNet-officeOfficeMgmtServerProdSender / Empfänger

ServerProduction

Office

Mgmt

Passt die aktuelle Infrastruktur zu den Datenströmen ?Macht eine Server-Zentralisierung Sinn ?…

PlanungPlanung

Anteil an dargestellter Bytesumme

90% - 100%

80% - 90%

70% - 80%

60% - 70%

50% - 60%

40% - 50%

30% - 40%

20% - 30%

10% - 20%

< 10%


SecuritySecuritySecurity

Security Alarm report

IsarFlow untersucht alle IP Adressenim Netz einmal pro 5 Minuten-Intervallund schickt Reports bei auffälligemVerhalten

IT-Symposium 2007 19.04.2007



Hilfe bei der Einführung von QoSQoSQoS

Stellen Sie QoS-Konzepte mit Daten aus Ihrem Netz zusammen :

• Welche Volumina pro Anwendung gibt es ?• Gibt es Lokations-typischen Verkehr ? => Design der QoS policies !• In welchen Bereichen wird VoIP verwendet ?

* Eine Anwendung wird durch eine Farbe identifiziert


QoS : Kontrolle des Verkehrs pro Klasse

Trend QoS Analyse

Es wurden keine Filter ausgewählt

23.10.2004 - 22.11.2004(Intervall 1 Tag)

100.00260.97 GBSumme

0.0115.26 MB(PREC 7)

0.0128.35 MB(PREC 1)

0.0243.74 MB(PREC 3)

0.05121.17 MBIP Precedence 2 (PREC 2)

0.22589.80 MB(PREC 4)

3.047.92 GBIP Precedence 6 (PREC 6)

25.7367.15 GBIP Precedence 5 (PREC 5)

70.94185.12 GB(PREC 0)

%byteTOS

Trend Analyse

TOS: Precedence 523.10.2004 - 22.11.2004

(Intervall 1 Tag)

1.651.09 GBPRINTER

1.751.16 GBHTTP-PROXY

2.021.34 GBNCP

2.421.60 GBSOCKS

3.732.47 GBPORT_9100_TCP

4.793.18 GBPORT_3230_TCP

4.803.18 GBNETBIOS-SSN

6.324.19 GBPORT_3201_TCP

7.354.87 GBDOMINO

8.595.70 GBGRE

22.9415.21 GBWWW-HTTP

25.0316.59 GBTCP-OTHER

%byteProtokoll

Arbeitet QoS wie geplant ?

Welche Anwendungen werden in einer bestimmten Klasse transportiert ?

QoSQoS

IT-Symposium 2007 19.04.2007



QoS : Alarm für verworfene Pakete

Service-Policy 'ce_output_llq_mark'

100%170.05 KB1.19 GBSumme

0.03 0.00 B 393.60 KB ce-management-output

28.18 0.00 B 344.26 MB ce_class_output

71.77 170.05 KB 876.67 MB class-default

%dropped bytesbytesKlassenname

Werden an irgendeinem Interface, inirgendeiner Klasse Pakete verworfen ?

IsarFlow kann konfiguriertwerden, Alarme zu schicken, wenn Schwellwerte über-schritten werden.

QoSQoS

QoS KlassenübersichtEs wurden keine Filter ausgewählt

15.3.2005 05:00 - 18:00 (Intervall 5 min)Device: 172.16.11.196, mpls_singapure, Interface: Se0/0

Output QoS Policy: ce_output_llq_mark(Hierarchy Level 1, Reference Bandwidth 1152 kbps)


AccountingAccountingAccounting

Subnet 1 Subnet 2 Bytes Packets10.0.0.0/24 10.0.0.0/24 19831610 229827217.233.0.0/16 217.233.0.0/16 30121694 10659910.0.1.0/24 10.0.1.0/24 3058186 2832510.0.0.0/24 10.0.1.0/24 2004413 25993217.172.0.0/16 217.233.0.0/16 67038 5810.0.0.0/24 217.172.0.0/16 3506 43

Subnet VPN Bytes Packets

10.0.0.0/24 VPN-A 994,779,209 7,877,820

10.0.0.0/24 VPN-B 827,942,465 5,861,859

10.0.1.0/24 VPN-A 247,337,971 1,194,709

10.0.1.0/24 VPN-B 227,521,032 1,124,320

10.0.0.0/24 VPN-C 12,156,078 82,217

Subnet TOS Bytes Packets

10.0.0.0/24 Class 1 248,516,917 4,080,459

10.0.0.0/24 Best Effort 676,835,942 3,560,342

172.20.0.0/16 Best Effort 603,613,403 2,399,300

10.0.1.0/24 Best Effort 290,322,449 1,384,079

172.20.0.0/16 Class 1 93,166,403 700,725

10.0.0.0/24 Class 2 113,686,488 477,787

172.20.0.0/16 Class 2 106,774,196 357,470

10.0.1.0/24 Class 1 16,859,674 287,261

10.0.1.0/24 Class 2 1,358,909 17,632

Department Server Bytes PacketsOFFICE File-Server 1004824231 1613270VPN File-Server 990160195 1421661OFFICE CENTRAL_SER

VER11683486 163493

LAB-Netz File-Server 1444655 14326LAB-Netz GSX 1091862 10400VPN CENTRAL_SER

VER72492 1340

LAB-Netz CENTRAL_SER 41039 302

BusinessBusinessUnit AUnit A

BusinessBusinessUnit BUnit B

BusinessBusinessUnit CUnit C

Verschiedene Unternehmens-Bereiche nutzen weltweit anallen Lokationen die gleicheInfrastruktur und müssen einzeln abgerechnet werden.IsarFlow bietet beliebigdefinierbare Abrechnungs-Modelle !

IT-Symposium 2007 19.04.2007



Accounting InfrastrukturSAP

Kunden Informationen (Kostenstellen, Topologie / Filter- Definitionen,…)

Analysen &Administration

täglicherExport

täglicher Upload

täglicher Import

IsarFlowPortal

IsarFlowAnalyzer

AccountingAccounting

Wodurch zeichnet sich Wodurch zeichnet sich IsarFlowIsarFlow allgemein ausallgemein aus ??

Skalierbarkeit, StabilitSkalierbarkeit, Stabilitäät, Hochverft, Hochverfüügbarkeitgbarkeit

FlexibilitFlexibilitäätt

VielfVielfäältige Anwendungsbereiche ltige Anwendungsbereiche

Service & SupportService & Support

IT-Symposium 2007 19.04.2007



• Linux, SLES 9.0, redundant hardware• monitoring of system hardware & processes

Hig

h a

vailabili

tysc

ala

bili

tyst

ability

• auto-sampling mode• more processes to be monitored• snmptraps

StandbyActive

IsarFlowPortal 1

IsarFlowPortal 2

SyncSync

NetflowDistribution

IsarFlowAnalyzer

NetflowexportingRouter & L3-Switches

Active Standby

IsarFlowAnalyzer

Hot StandbyIP Analyzer 1

Netflow exportingRouter & L3-switches

Standby (1) + Active (2)

Hot Standby-IP Analyzer 2Active (1) +

Standby (2)

IsarFlowAnalyzer

FlowFlowdistributiondistribution

PortalPortalredundancyredundancy

Stabilität, Skalierbarkeit, Hochverfügbarkeit

WeiterentwicklungWeiterentwicklung



IsarFlowIsarFlow






IT-Symposium 2007 19.04.2007



flexiblere Zeiträume

• Auswahl beliebiger Zeiträume für scheduled reports• Analysen über Tagesgrenzen hinweg (siehe Graphik)• v4.6.1 : Trend-Analysen limitiert für business hours

(z.B. letzten 3 Monate nur für Verkehr zwischen 7:00 – 16:00)



Flexible Accounting Regeln

[VPN_per_IP]

DEFINITION = hash(VPN_INFO, inet_ntoa(ed_ip), input), \match(DEFAULT, src, dst), sum(bytes)

IMPORT3 = VPN_INFO, \/usr/local/IsarNet/IsarFlow/etc/vpn_info.txt

TRIGGERED_SCRIPT = split_per_vpn.pl...

[VPN_Protokoll]

DEFINITION = hash(VPN_INFO, inet_ntoa(ed_ip), input), \translate_protocol(protocol), sum(bytes)

HEADLINE = VPN, Protokoll, BytesIMPORT3 = VPN_INFO, \

/usr/local/IsarNet/IsarFlow/etc/vpn_info.txtSORTING = Bytes-…

Accounting Konfigurations Beispiele

VPN_per_IP result:

VPN_A, 172.16.43.4, 1235932VPN_A, 10.13.65.3, 77677VPN_B, 10.13.4.2, 3256634VPN_B, 10.13.65.3, 77677VPN_C, 172.17.54.3, 783532VPN_C, 172.17.10.2, 423667VPN_C, 10.14.4.2, 3256634…

Accounting framework

customer specific

implementation

accounting configuration

language

VPN_Protokoll result:

VPN_A, http-proxy, 1235932VPN_A, Application1, 783532VPN_A, SAP, 423667VPN_B, microsoft-ds, 123864VPN_C, Application2, 643677…

Accounting framework

customer specific

implementation

accounting configuration

language


IT-Symposium 2007 19.04.2007



Dynamische Netflow-Export Filter

Anforderungen :

• doppelte flows eliminieren (basierend aufexportierendem Router und SRC/DST IP-Adresse)

• 2 input Listen benötigt :– export-device-to-location– IP-to-location mapping

• Beide Listen werden täglich von einemNetwork Management System des Kunden importiert

IP1 IP3

IP2

ED1

ED2

ED3

filterIP1IP3ED3

acceptIP1IP3ED1

acceptIP2IP3ED3

acceptIP3IP2ED3

acceptIP3IP1ED3

filterIP3IP1ED1

ActionDSTSRCExport Device

Algorithmus :

1. if location(dst) is “passive”-> accept flow

2. elsif location(dst) == location(ED) -> accept flow

3. else-> drop flow



Flexible Schwellwert-DefinitionenFlexibilitFlexibilitäätt

IT-Symposium 2007 19.04.2007



Applikations-Definitionen

Applikations-Definition über Ports + IP-Adressen :



Flexibilität bei View-Definitionen

Views können Interfaces, IP-Adressen oder Gruppen davon sein

Beliebige Leitungen können mit IsarFlowzu einem „View“ gruppiert werden.

..und mit Schwellwerte korreliert werden, z.B. :

• mehr als 80% Auslastung auf allen 4 Leitungen ?

• mehr als 40% HTTP-Verkehr ?

IntfIntf „View‘s“


Einzelne Leitung

Gruppe von Leitungen

Server

Server-Farm

SubnetsStandort-übergreifend

IPIP

Beliebige IP-Adressen & Subnets können zu einem „View“ gruppiert werden.

• welche Applikationen verwendet die Produktion ?

• welche Bereiche erzeugen untereinander den meisten Verkehr ?

IT-Symposium 2007 19.04.2007



Flexible Schwellwert-Definitionen

Kunden-Beispiel :

Catalyst 6000 mit CatOS < 8.1 => kein „DHCP snooping“ Feature


Abbildung in IsarFlow :

- whitelist für echte DHCP-Server - Schwellwertüberwachung für Verkehr

auf den Ports 68 und 69

DHCP-ServerNetflowNetflow




VielfVielfäältige Anwendungsbereicheltige Anwendungsbereiche


IT-Symposium 2007 19.04.2007



Vielfältige AnwendungsbereicheIsarFlowIsarFlow

• Fehlersuche

• Kapazitätsplanung

• Security Analysen

• Accounting(sehr flexible Konfiguration & viel Erfahrung mit großen Konzernen)

• QoS Monitoring(Netflow & SNMP basiert)

• Reporting

• Schwellwert-Überwachung

• SNMP Analysen => IT Konsolidierung


IT Konsolidierung

Mit IsarFlow können neben cbQoS ab v4.6. drei Klassen von SNMP Variablen gepollt werden :

1. Interface Load (Bytes In & Out)

2. Interface Error (Alignment-, FCS- & Xmit-Errors, CRC, Single-, Multi-,Late-& Excess-Collisions, Undersize, Outdiscards, Carrier-Sensitive, Runts, Giants)

3. System-Variablen (CPU, Memory)

IsarFlowIsarFlow

IT-Symposium 2007 19.04.2007



Eigener Betrieb oder ISP-Service

- Sowohl für Enterprise Kunden (Eigenbetrieb des Produktes) als auch für Service-Provider (Service für Enterprise Kunden)

- Bei ISP‘s : sowohl als Service für Kunden, als auch für den eigenen Betrieb

- Bei ISP‘s : 2 Arten von Service darstellbar : offline reports und online-Analysen für Enterprise Kunden

- Demnächst für ISP‘s : XML für Portallösungen und Abbildung von Mandantenfähigkeit

EnterpriseNetwork

ServiceProvider

IsarFlowIsarFlow






IT-Symposium 2007 19.04.2007



Services/SupportServicesServices

�� Cisco Presales Support– Netflow workshops (Technologie,Design)

– Statistiken zu Netflow Implementierungen (Analysen)

�� Umfassender Service innerhalb der Wartung– Unterstützug bei Router/Switch Konfiguration, Plattform/IOS support, Netflow

Design

– Updates via RAS (IsarFlow & Betriebssystem)

�� Feature request commitments

� Erfahrung mit Netzwerken internationaler Konzerne

� Permanente Weiterentwicklung & Support (vs. open source)

�� Partner in Deutschland, UK, Frankreich, Österreich, Schweiz, USA und Singapur


Referenzliste – AuszugReferenzenReferenzen

IT-Symposium 2007 19.04.2007



Kontaktisarflow.deisarflow.de

IsarNet Software IsarNet Software SolutionsSolutions GmbHGmbHTerminalstrasse Mitte 18Terminalstrasse Mitte 1885356 M85356 Müünchennchen

Tel:Tel: +49 89 97007 499+49 89 97007 499

Fax:Fax: +49 89 97007 200+49 89 97007 200

[email protected]@isarnet.de

http://http://www.isarnet.dewww.isarnet.dehttp://http://www.isarflow.dewww.isarflow.de


IT-Symposium 2007 19.04.2007



Netflow-Design Unterstützung

Tu1 als Interface-View und Input traffic filter zeigen nur eindeutigeflows : nur der erste record stimmt mit Tu1 als Input Interface überein

Int Tu 2

Int Eth0/1

Int Tu 1

Int Eth0/0

Lokation A Lokation BTu2Tu2Eth0/1Eth0/1A A --> B (2)> B (2)

Eth0/0Eth0/0Tu1Tu1A A --> B (1)> B (1)

OutputOutputInputInputPathPath

Doppelte records in der Datenbank – nicht in der SQL query !

Das Netflow enabledInterface sammelt Datendie von der SQL querynicht erfasst werden

Das Netflow enabledInterface sammelt Datendie von der SQL queryerfasst werden

IsarFlowIsarFlow


Netflow VerkehrsanteilIsarFlowIsarFlow

IT-Symposium 2007 19.04.2007


Documents

IsarFlow Überblick - decus.de · 13 10.120.97.159 10.5.65.161 ncp 23.43 mb 1.30 14 10.5.65.161 10.120.97.159 ncp 21.88 mb 1.22 15 10.92.161.30 10.88.36.33 sap 20.31 mb 1.13 16 10.5