Здравствуйте.

В общем есть небольшая офисная сеть. В качестве шлюза стоит циска (есественно через nat работает).
Вдруг стали приходить приличные счета от провайдера за входящий трафик (инет не безлимитный).
Думаю все же какой-нибудь вирусняк, а может кто-то какое-нибудь видео тащит, но поймать не могу на каком(их) компьютерах.
Умные люди посоветовали включить netflow. В общем включить то я включил как понял (если не правильно или чего-то не включил напишите пожалуйста, т.к. до этого с netflow дел не имел):

На внешнем интерфейсе:
ip route-cache flow
ip route-cache policy
ip policy route-map NETFLOW

На внутреннем интерфейсе:
ip route-cache flow
ip route-cache policy

На интерфейсе loopback:
ip address 192.168.50.1 255.255.255.0
ip route-cache flow
ip route-cache policy

route-map NETFLOW permit 10
match ip address 105
set interface <внутренний интерфейс>

access-list 105 permit ip any 192.168.10.0 0.0.0.255

А какой коллектор (в идеале сразу с визуализатором) посоветуете под windows?
Задача простая - разовое обнаружение в сети вредителя, после этого Netflow в общем-то по прежнему будет не нужен.
Спасибо.

• NetFlow,Вася, 17:25 , 18-Май-10
  • NetFlow,Вася, 17:26 , 18-Май-10

Читаем - http://www.netup.ru/UTM5/articles.php?n=10 Под windows ничего не посоветую - сам пользуюсь flow-tools на коллекторе под Линукс.

До кучи - http://www.netup.ru/UTM5/articles.php?n=5 описано, как задать экспорт НетФлоу