откуда трафик идет
Добавлено: 23 апр 2009, 09:18
Народ помогите внести ясность в сложившуюся ситуацию.
Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять).
У бордера есть 2-а интерфейса:
На первом rl0:
Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP.
На втором rl1:
висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам.
Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема:
Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети.
И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз.
Существует сеть. В качестве бордера выступает FreeBSD(раньше стояла Cisco, но из-за глюков пришлось ее снять).
- Код: Выделить всё
uname -a
FreeBSD gateway-bord 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Apr 1 14:35:51 YEKST 2009 root@gateway-bord:/usr/obj/usr/src/sys/gateway i386
У бордера есть 2-а интерфейса:
На первом rl0:
- Код: Выделить всё
flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:13:10:0b:a3:d0
inet 24.115.10.12 netmask 0xfffffffc broadcast 24.115.10.13
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
Данный интерфейс служит для соединения с аплинком. Для этого поднята quagga. Взаимодействие осуществляется по протоколу BGP.
На втором rl1:
- Код: Выделить всё
flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:13:10:0b:a3:d1
inet 143.220.40.1 netmask 0xffffff00 broadcast 143.220.40.255
inet 143.220.50.1 netmask 0xffffff00 broadcast 143.220.50.255
inet 143.220.60.1 netmask 0xffffff00 broadcast 143.220.60.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
висят клиентские подсети, из этих подсетей выдаются IP-шники клиентам.
Подсчет трафика ведется с бордера по нетфлоу. Для этого ядро было собрано с опциями для NETGRAPH. Вот сама схема:
- Код: Выделить всё
!/bin/sh
/usr/sbin/ngctl mkpeer rl1: tee lower left
/usr/sbin/ngctl connect rl1: rl1:lower upper right
/usr/sbin/ngctl mkpeer rl1:lower one2many left2right many0
/usr/sbin/ngctl connect rl1:lower.left2right rl1:lower many1 right2left
/usr/sbin/ngctl name rl1:lower.right2left o2m
/usr/sbin/ngctl mkpeer o2m: netflow one iface0
/usr/sbin/ngctl name o2m:one netflow
/usr/sbin/ngctl mkpeer netflow: hub export one
/usr/sbin/ngctl name netflow:export netflow0
/usr/sbin/ngctl mkpeer netflow0: ksocket two inet/dgram/udp
/usr/sbin/ngctl msg netflow0:two connect inet/(IPбиллинга):9995
Т.е. нетфлоу снимается с интерфейса rl1, где висят клиентские подсети.
И вот в чем непонятки. На клиентский ip каждый день приходит от 5 до 7 Мбайт. Т.е. за сутки набегает столько. Этим ip адресом уже никто не пользуется. А трафик все равно идет. В чем может быть проблема? Может неправильно настроен NETGRAPH или еще что? Объясните плиз.