Здравствуйте.В общем есть небольшая офисная сеть. В качестве шлюза стоит циска (есественно через nat работает).
Вдруг стали приходить приличные счета от провайдера за входящий трафик (инет не безлимитный).
Думаю все же какой-нибудь вирусняк, а может кто-то какое-нибудь видео тащит, но поймать не могу на каком(их) компьютерах.
Умные люди посоветовали включить netflow. В общем включить то я включил как понял (если не правильно или чего-то не включил напишите пожалуйста, т.к. до этого с netflow дел не имел):На внешнем интерфейсе:
ip route-cache flow
ip route-cache policy
ip policy route-map NETFLOWНа внутреннем интерфейсе:
ip route-cache flow
ip route-cache policyНа интерфейсе loopback:
ip address 192.168.50.1 255.255.255.0
ip route-cache flow
ip route-cache policyroute-map NETFLOW permit 10
match ip address 105
set interface <внутренний интерфейс>access-list 105 permit ip any 192.168.10.0 0.0.0.255
А какой коллектор (в идеале сразу с визуализатором) посоветуете под windows?
Задача простая - разовое обнаружение в сети вредителя, после этого Netflow в общем-то по прежнему будет не нужен.
Спасибо.
Читаем - http://www.netup.ru/UTM5/articles.php?n=10 Под windows ничего не посоветую - сам пользуюсь flow-tools на коллекторе под Линукс.
До кучи - http://www.netup.ru/UTM5/articles.php?n=5 описано, как задать экспорт НетФлоу