Документация NetAMS

• Если вы используете трансляцию адресов или bridging, подумайте еще раз

• Если вы используете прозрачный http–прокси, подумайте снова

• Если вы используете подсчет потока NetFlow, ОБЯЗАТЕЛЬНО укажите ip–адрес присылающего статистику роутера в описании соответствующего сервиса data–source.

Начиная с версии NeTAMS 3.4.0 (build 3018) появилась возможность учета трафика путем опроса счетчиков SNMP удаленных устройств. Данная схема работает при наличии:

• Коммутатора или маршрутизатора, имеющего работающий SNMP–агент и поддерживающий MIB–II (фактически, любое устройство поддерживает этот MIB).

• Сервера UNIX, на котором установлены:

• NeTAMS нужной версии

• Пакет net–snmp версии 5

• Perl–модули к net–snmp

• Perl–модуль Net::Telnet

• Настроенного скрипта addon/snmp2netams.pl

• Настроенного data–source … type raw

Скрипт addon/snmp2netams.pl опрашивает перечисленные в его заголовке SNMP–устройства, используя заданное значение community. Запрашиваются имена интерфейсов и значения 64–битных счетчиков байт, прошедших через интерфейс:

ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName =

= 1.3.6.1.2.1.31.1.1.1.1

ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifHCInOctets =

= 1.3.6.1.2.1.31.1.1.1.6

ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifHCOutOctets =

= 1.3.6.1.2.1.31.1.1.1.10

Полученная таблица преобразуется в формат, приемлемый для команды rawdata сервиса data–source. При этом имя юнита составляется из имени устройства, дефиса и имени интерфейса:

rawdata unit name catalyst1–fa0/1 policy ip

in 1234567 out 7654321 incremental

Название политики учета также задается в скрипте.

При помощи модуля Net::Telnet осуществляется подключение к демону netams, которому передаются команды rawdata. Использование параметра incremental приводит к корректному увеличению счетчиков учета netams (show lift full name catalyst1–fa0/1) при постоянном росте значений SNMP–счетчиков устройства.

В заголовке скрипта addon/snmp2netams.pl необходимо:

@devices=(«catalyst»);

Перечислить через запятую заключенные в кавычки имена (hostname) устройств, откуда вы хотите собирать статистику.

$community=«public»;

Коммьюнити для чтения.

$netams_host=«localhost»;

$netams_port=20001;

$netams_login=«admin»;

$netams_password=«aaa»;

Параметры подключения к демону NeTAMS.

$policy_name=«ip»;

Имя политики учета, которая будет использоваться для счетчиков.

Настроить NeTAMS на новый источник данных:

service data–source 2

type raw

Настроить SNMP–устройство для того, чтобы оно могда отдавать статистику по протоколу SNMP. Допустим, что на сервере с адресом 192.168.0.1 работают snmp2netams.pl и сам демон NeTAMS. Для коммутатора Cisco Catalyst его настройки выглядят так:

access–list 1 permit 192.168.0.1

snmp–server community public RO 1

snmp–server ifindex persist

Протестировать скрипт и прописать его периодический запуск (раз в 5…15) минут в cron.

Вы можете включить режим вывода отладочной информации сервисом data–source…raw этой командой:

debug ds_raw

В ответ можно будет наблюдать следующее:

|ds_raw: unit catalyst–fa0/01(004FE6) policy ip(023CAA)

in=1234567, out 7654321,

time=1147365439, type=2, ds=data–source:3

Подробнее об использовании data–source…raw смотрите тут.

Дополнительные сведения о настройке протокола SNMP на коммутаторах Cisco Catalyst можно почитать тут. Часто задаваемые вопросы о поддержке SNMP на Cisco собраны тут.

Значения счетчиков SNMP снимаются по длине пакетов на 2 уровне OSI. Это значит, что в суммарную длину входят заголовки IP пакета, и Ethernet–кадра. Также будут учтены все IP и Ethernet броадкасты и мультикасты, коих может быть много. На практике расхождения показателей IP–счетчиков и SNMP–счетчиков могут достигать 30%.

Здесь собрана «лучшая десятка» наиболее интересных и полезных правил (политик) учета трафика, и 10 описаний различных юнитов. Этот документ поможет вам а) лучше понять механизм работы netams и б) наиболее правильным образом создать ваш конфигурационный файл для ваших задач.

политики учета трафика

Задаются в настройках сервиса processor, формат команды имеет вид:

policy { oid XXX | name NNNNN } target ….

• policy name ip target proto ip

• позволяет выделить весь IP–трафик. простейший случай, т.к. под это правило попадает все, что проходит через netams

• policy name www target proto tcp port 80 81 8080 3128

• определяет TCP–трафик по списку портов, фактически сюда попадет весь WWW–трафик

• policy name t_dns target proto tcp port 53 addr 1.2.3.4

• policy name u_dns target proto udp port 53 addr 1.2.3.4

• policy name extdns target policy–or t_dns u_dns

• если вам вдруг хочется посчитать трафик с/до определенного DNS–сервера, расположенного вне вашей сети и имеющего адрес 1.2.3.4, можно воспользоваться этим примером. для начала определите две политики, отдельно для UDP и TCP (DNS использует оба!), затем скомбинируйте их при помощи правила с логическим ИЛИ

• policy name remote target units oid 0ABCDF

• unit net oid 0ABCDF name remotelan ip 215.236.28.0/24

• если у вас есть удаленный офис, в котором работает подсеть 215.236.28.0/24, можно выделить весь трафик между машинами вашей сети и этой удаленной подсетью. юните назначения target может быть любым — хостом, сетью, кластером. полезно также, если вас интересует трафик до какого–то вашего сервера, расположенного снаружи у провайдера, на collocation.

• policy name anekdotes target addr 217.16.28.51

• аналогичный предыдущему, если вас интересует трафик только до одного определенного ip–адреса, возможно обойтись даже без задания отдельного соответствующего юнита.

• policy name rus target file /etc/ru_networks.txt

• по этой политике подсчитается трафик, предназначенный для сетей, перечисленных в файле префиксов. там может содержаться отображение вашей национальной сети (украинской, русской, молдавской), полученное из базы RIPE или сгенерированное из BGP view

• policy name cust1_in target proto ip ifindex s10

• policy name cust1_out target proto ip ifindex d10

• policy name isp_up_in target proto ip ifindex s8

• policy name isp_up_out target proto ip ifindex d8

• если ваш маршрутизатор Cisco работает с несколькими каналами «наружу», и каждый подключен через свой физический интерфейс, возможно использовать поле номера интерфейса из потока NetFlow.

• policy name worktime target time 9–18 day Mon–Fri

• по этой политике учтётся только трафик, прошедший с 9 до 18 часов в дни с понедельника по пятницу — рабочее время

• policy name sun_night target day Sun time 00:00–06:00

• по этой политике учтётся только трафик, прошедший с 0 до 6 утра воскресенья

• policy name smb target proto tcp port 135 139 445

• policy name day target time 8–20

• policy name daynotsmb target policy–and day !smb

• таким образом можно отделить весь дневной не–SMB трафик. обратите внимание на комбинацию двух ранее определенных политик через логическое И и обращение смысла (!) для учета не–SMB трафика.

создание юнитов

Задаются в настройках сервиса processor ПОСЛЕ политик, формат команды имеет вид:

unit { host | user | cluster | group} { oid XXX | name NNNNN } параметры ….

• unit host name server ip 192.168.0.1 acct–policy ip