Существует несколько общих проблем с NetFlow в Cisco 7600, которые вы должны вы должны учитывать при включении функции экспорта NetFlow.

Эти проблемы имеют свой источник в движке супервизора, поэтому мы и рассмотрим два наиболее популярных движка для Cisco 7600 - 720 и 2Т.

Размер таблицы NetFlow
Каждый движок супервизора имеет кэш, который имеет ограниченный объем. Обе системы имеют базовую версию и версию XL, отличающуюся размером этого кэша. Это важно, поскольку наиболее частые проблемы с NetFlow в супервизоре 720 связаны с непониманием данных NetFlow. Это происходит тогда, когда кэш переполняется и уже не может экспортировать все входящие потоки вовремя. Когда это происходит, рекомендуется увеличивать значение тайминга для того, чтобы ... Читать дальше »

Хотя точность работы вашего анализатора NetFlow или Flexible NetFlow зависит от качества экспортируемых данных, обсуждение проблем с NetFlow в оборудовании серии 6500 поможет вам лучше понять, как именно на этих коммутаторах работает система отчетности. Рассмотрим также улучшения, которые произведены в супервизоре 2T.

Переполнение таблицы NetFlow.
До того, как появилась sup2T, серия 6500 имела систему, в которой, в случае чрезмерного количества запросов на соединение, таблица NetFlow TCAM быстро заполнялась и вызывала переполнение NetFlow. Вероятность того, что это случится в супервизоре 2T, существенно уменьшилась благодаря повышению эффективности хэша и увеличении размера таблицы NetFlow. А в случае, если такое происходит, ваш анализатор NetFlow сигнализирует коммутатору о потерянных номерах потоковых последовательностей выставлением флага. Нижеприведенная таблица взята с сайта Cisco. Та ... Читать дальше »

Cisco была первым производителем, который обеспечил экспорт NetFlow из файервола. Тем не менее у этого устройства был ряд проблем с NetFlow при экспорте Cisco ASA NSEL:

• Двунаправленные потоки требовали разного понимания, поскольку входящие потоки включали в себя немного выходящего трафика и наоборот.
• Архитектура шаблонов великолепна, но отличается: Creation Flows, Teardown Flows, и др. содержат дублирующие записи и часто это приводит к неточности в отчетах, когда используется анализатор NetFlow.
• Отсутствие активного таймаута для долгоживущих соединений вызывало появление пиков в отчетах по трендам.
• Нет имен ACL.
• Нет расширенных описаний событий (Extended Event Descriptions).

В прошлом году Cisco обновила свое ПО, что позволило экспорту ASA больше соответствовать поведению других файерволов. Сегодня в Cisco ASA 8.4 (5) двунаправленные потоки веду ... Читать дальше »

Если вы произвели обновление Cisco ASA до версии 8.4 (5), то наверняка отметили, что ваша система отчетности на базе NetFlow от Cisco AS "сломалась". Это связано с тем, что команда Cisco произвела несколько изменений, вернее - улучшений, в экспорте потоков.

• Двунаправленные потоки зафиксированы. Экспорт обоих направлений потоков осуществляется в отдельных элементах, что позволяет повысить точность определения тенденций утилизации сети "туда/обратно".
• Введен активный таймаут. Теперь долгоживущие потоки (т.е. живущие больше 1 минуты) экспортируются каждую минуту, что позволяет предотвратить появление пиков в трендах и позволяет делать более точную отчетность.
• Тип "событие на файерволе" экспортируется с использованием нового элемента. Это позволяет создавать целую новую группу отчетов о том, почему потоки создаются, удаляются и ... Читать дальше »