Вход использования пропускной способности?
По данным Cisco, максимальный допустимый порядковый номер в списке доступа IOS 2147483647. Можно ли подтвердить, какую платформу/версию кода Вы выполняете?
С точки зрения персистентности через перезагрузки, как упомянуто Jeb, порядковые номера не хранятся в конфигурационном файле. (сделайте 'выставочную конфигурацию запуска' для проверки этого), я не думаю, что это - ошибка, просто известное ограничение.
Каково требование для того, чтобы иметь Ваши определенные порядковые номера? В более новых версиях IOS всегда существует неявное, 'отклоняют любого любой' в конце любого непустого списка доступа. Если Вы не вводите, 'отклоняют какой-либо журнал' так, чтобы можно было зарегистрировать несанкционированный трафик к системному журналу, можно ли просто добавить к существующему ACL, и неявные отклоняют, всегда будет в конце?
Править:
Я не полагаю, что существует способ измениться, неявные отклоняют поведение. Одно решение могло бы состоять в том, чтобы сохранить Вашу конфигурацию (включая порядковые номера) удаленно, и затем удалить и воссоздать весь ACL при внесении изменений? К сожалению, реализация ACL Cisco разработана на основе, 'разрешение, в чем Вы нуждаетесь, отклоняет остальных' подход.
Один путь вокруг проблемы, принимая Вас выполняет достаточно недавнюю версию кода, мог бы быть должен использовать Основанный на группе объектов ACLs. У Вас могла затем быть политика следующим образом.
Примечание: вручите конфигурацию сокращения; удостоверьтесь, чтобы Вы протестировали перед развертыванием!
object-group network denied-destination-hosts
host 192.168.38.27
host 192.168.38.32
host 192.168.38.37
host 192.168.38.38
host 192.168.38.43
!
ip access-list extended BLOCK
deny ip any object-group denied-destination-hosts
permit ip any any
!
Это затем позволило бы Вам изменять список отклоненных хостов независимо от 'БЛОКА' ACL и гарантирует, что Ваш оператор 'разрешения' всегда был последней записью.
Моя рекомендация является vnStat:
vnStat является основанным на консоли монитором сетевого трафика для Linux и BSD, который сохраняет журнал сетевого трафика для выбранного интерфейса (интерфейсов)
Это работает, как рекламируется и походит на хорошее соответствие для Ваших потребностей.
Для упрощения парсинга, вероятно, требуется смотреть на --xml и --dumpdb переключатель в vnstat документации:
--xml: Покажите содержание базы данных для выбранного интерфейса или всех интерфейсов в xml формате. Все транспортные значения в выводе находятся в кибибайте.--dumpdb: Вместо того, чтобы показать базу данных с отформатированным выводом, этот вывод выведет целую базу данных в формате, который должно быть легко проанализировать с большинством языков сценария.
Список функций:
- быстрый и простой установить и получить выполнение
- собранная статистика сохраняется через системные перезагрузки
- может контролировать несколько интерфейсов одновременно
- несколько выходных опций
- сводка, каждый час, ежедневно, ежемесячно, еженедельные, лучшие 10 дней
- дополнительные png отображают вывод (использующий libgd)
- месяцы могут быть настроены для следования за расчетным периодом
- легкое, минимальное использование ресурсов
- то же низкое использование CPU независимо от трафика
- может использоваться без корневых полномочий
Вы могли использовать munin:
Графики в качестве примера:
сопроводительный текст http://munin.ping.uio.no/ping.uio.no/bimbo.ping.uio.no-if_eth0-day.png сопроводительный текст http://munin.ping.uio.no/ping.uio.no/bimbo.ping.uio.no-if_eth0-month.png
Так как Вы сказали, что eth0, я должен предположить, что необходимо выполнять некоторый дистрибутив Linux. Если так, добавьте тег Linux к своему вопросу.
Если Вы ищете хороший регистратор сетевого трафика для Linux, рассматриваете ulogd. Это может регистрировать очень подробные данные о пакетах IP в файлы простого текста и базы данных. Можно управлять тем, что Вы должны быть зарегистрированы при помощи-j ULOG в правилах iptables.
Вы рассмотрели использование SNMP для входа этого (и многие, много других вещей) в системе? Много системы контроля должно смочь получить Вас информация, и если Вы уже имеете в распоряжении один, можно, вероятно, использовать ее, не будучи должен развернуть другое решение.
можно попробовать ntop, или bandwidthd. зависит от того, какие сервисы - Вы выполнение.
те два чаще всего развертываются на маршрутизаторах, передающих трафик ко многим компьютерам, но должны работать над одной машиной также.
При использовании лог-файла с kibana это легко настроить
Что мы сделали, так это записали общий трафик в лог-файл с помощью следующего bash-скрипта.
LOGPATH="systemstatus.log"
timestamp() {
date +"%Y-%m-%dT%T.%N"
}
while ( sleep 60 ) ; do
#clear log file
truncate -s 0 $LOGPATH
#log timstamp and type of log line
echo -n "$(timestamp) linux::systemstatus::network " >> $LOGPATH
#remove tabs and spaces from grep result
grep "eth" /proc/net/dev |head -n1|sed -e 's/^[ \t]*//'| sed -n 's/ \+/ /gp' >> $LOGPATH
Done
Nxlog экспортирует журнал в logstash и kibana.
В лог-файле строка разбивается на отдельные значения. Kibana делает трафик видимым на производной гистограмме (это показывает разницу от 1 значения к следующему)
Это дает нам красивую комбинезонную диаграмму используемой полосы пропускания. Кроме того, мы ведем журнал использования процессора, диска и памяти сервера.
Примечание: мы разбиваем всю строку журнала из /proc/net/dev на отдельные значения на тот случай, если захотим следить за потерянными пакетами или ошибками
.