IP-Traffic Accounten

Florian Lohoff flo at rfc822.org
Wed Oct 29 12:53:04 CET 2003 

On Wed, Oct 29, 2003 at 12:15:30PM +0100, Markus Wigge wrote:
> Tag zusammen,
> 
> Zunächst ein wenig Erläuterung des IST-Zustandes...
> 
> Hier läuft noch so ein alter Concorde-Router (1-Disketten-Lösung) auf
> DOS-Basis.
> Das Ding liefert an einen Remote-Syslog-Server für "jedes" IP-Paket das
> über die Interfaces läuft eine Nachricht mit alle wichtigen Infos
> zum Accounting (Quelle, Ziel, Größe etc.).
> Hierbei fasst die Kiste allerdings schon Pakete mit gleichem Ziel/Quelle
> für einen bestimmten Zeitraum (Sekundenbereich) zusammen um wenigstens
> etwas weniger "Log-Traffic" zu machen.
> Aus den Logfiles wird dann von uns der Traffic für die einzelnen
> IP-Bereiche der Kunden zusammengefasst.

Unter Cisco heisst dieses verfahren "NetFlow" - D.h. Flows of
communication werden zusammengefasst und ueber ein protokoll an eine
remote kiste geschrieben.

> Nun meine Frage:
> Gibt es eine Möglichkeit etwas ähnliches mit Linux zu realisieren?
> Ich möchte nicht für jede IP einen iptable-Eintrag machen um den Traffic
> auszuwerten, wobei jede IP auch noch doppelt vertreten sein müsste.
> Einmal als Quelle und einmal als Ziel.

Das einfachste koennte es sein ein "tcpdump" permanent ohne promiscuous
mode mitlaufen zu lassen *duck*

Im ernst - Es gibt "NeTraMet" das sowas koennen sollte:

http://www2.auckland.ac.nz/net/NeTraMet/

Schoener waere natuerlich ein einfaches netfilter/iptables target
das sich "netflow" schimpft. Sollte man binnen kuerzester zeit
zusammenhacken koennen.

> Evtl. bestünde auch noch die Möglichkeit ganz auf diesen Router zu
> verzichten, da die vorgeschaltete Cisco das Routing auch machen kann.
> Gäbe es eine Möglichkeit dass die Cisco wie beschrieben den Traffic
> protokoliert? Evtl. ein paar Stichworte für google vielleicht?

Ja - Netflow 

http://www.switch.ch/tf-tant/floma/software.html

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
                        Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20031029/9c4fca0e/attachment.sig>

More information about the Linux mailing list