Eduard Ivanov wrote:
Экземпляр один. Полечилось выставлением версий на обоих девайсах.... поставил -V 5 и файлики начали появляться... но они стабильно длинной 80 байт... flow-cat ничё не показывает... наверное потому что там инфа только том откуда пришли данные. Хотя когда на сиске смотрю: #sh ip cache flow видна инфа всякая с раскладкой по разным IP-шникам... да и активность сетевая есть на циске, потому что телфония заведена через неё ... Вот где истина то? почему фалы по 80 байт то? или может быть этого вполне достаточно, но я тогда не умею смотреть их? :)
1) flow-cat не для этого. Смотреть - flow-print, но 80 байт действительно маловато. Обычно приблизительно такой размер имеют только-что созданные ещё не закрытые дампы.
2) Подробнее посмотреть что за netflow идёт с маршрутизатора можно tcpdump'ом с параметром -T cnfp. Например, в моём случае:
# tcpdump -np -T cnfp port 200115:29:55.010098 IP 10.0.1.1.40180 > 10.0.4.10.2001: NetFlow v5, 1048580.999 uptime, 1097234995.019500000, #2514572, 21 recs 15:29:55.021424 IP 10.0.1.1.40180 > 10.0.4.10.2001: NetFlow v5, 1048576.011 uptime, 1097234995.030770000, #2514593, 30 recs
т.е. чётко видно какая версия netflow используется маршрутизатором и сколько записей было в каждом принятом пакете.
3) Когда flow-capture подхватывает поток - фактически, по факту приёма первого же пакета, он репортует об этом через syslog, указывая откуда и какой версии поток идёт: flow-capture[2570]: New exporter: time=1097034637 src_ip=10.0.1.1 dst_ip=10.0.4.10 d_version=5
С этого момента все должно работать. -- Save the Earth - kill a lawyer. -- Anonymous